ständig virus in der index.php trotz das ich es lösche

Begonnen von mertk78, 31 Januar 2008, 22:53:51

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 2 Gäste betrachten dieses Thema.

mertk78

Moin moin

Habe da ein echt grosses problem bzw da ich nicht mehr weiter weis ist es für mich ein grosses problem

meine user bekomen immer eine virus meldung auf der seite

habe es  auch mal mit avg 7.5 getestet und ne meldung bekommen
habe mir die index.php auf dem server angeschaut und folgende zeile gefunden

füge es mal als bil  ein :)
http://img171.imageshack.us/img171/8962/viruskp1.jpg

ich löche diese zeile   und nach 1-2 stdunden ist sie wieder da   bitte um allen möglichen tips
es geht um die seite ***.flat*cast-paylasim.de


danke im vorraus


edit by Andi: Link unbrauchbar gemacht

breakdancer

#1
Die Tatsache, dass die Meldung immer wieder auftaucht bedeutet wohl, dass nicht die index.php direkt infiziert wurde sondern irgendwo an einer anderen Datei herumgebastelt bzw. eine zusätzlich Datei hochgeladen wurde, in der der eigentliche Schadcode sitzt und die von dort aus immer wieder deine index.php ändert.

Es ist jetzt schwierig, Dir zu sagen, woran es liegen könnte.

Ich hatte ja hier: http://www.pragmamx.org/Forum-topic-24362-start-msg163104.html#new
ein ähnliches Problem, die gegebenen Ratschläge von Andi und Sitki kannst Du ebenfalls aufnehmen.

Auf jeden Fall überprüfe Deine Ordner, ob irgendwo eine Datei liegt, die da nicht hingehört. Über das FTP-Programm kannst Du auch erstmal schauen, ob Dateien zu einem Termin verändert wurden, wo Du schon selbst gar nichts mehr dran gemacht hattest.

Das Bildchen von Deiner index.php weist übrigens möglicherweise auf ein JavaScript als Übeltäter hin... Document.write und so... Könnte sein, dass irgendwo ein Script liegt, dass quasi "onLoad" sich jedesmal neu einschreibt.

Viel Erfolg

Markus

mertk78

danke ersteinmal für diese schnelle hilfe ..

werde die ratschläge aus dem Linkl befolgen

o man es ist echt ärgerlich  naja aber  wie sagt man so schöm

alles wird gut...

wird schion irgentwie schief gehen halte euch auch auf dem laufendem

P.s. nur weiter mit tips und ideen :)
gruss MerT

insanehsp

ich kann jetzt auch voll ins klo greifen *G*

aber wenn keine schreibrechte vorhanden sind, dann könnte ja auch nichts geändert werden?
Werde zum Hörspielsprecher: Hoerspielprojekt.de
ODER
Besuche das Hörspiel-Forum: Hoertalk.de


mertk78

Zitat von: insanehsp am 01 Februar 2008, 00:50:48
ich kann jetzt auch voll ins klo greifen *G*

aber wenn keine schreibrechte vorhanden sind, dann könnte ja auch nichts geändert werden?

habe ich mir auch gedacht  aber nix da

und eventuell hilft es ja weiter

habe auf dem server einmal den ordner  flatcast in disem ist pragma instaliert
und einmal den ordner  radyo im ordner radyo liegt ne ienfache  index.html diese ist auch immer infiziert !.  :(

dort lösche ich die zeile und anschlisent ist sie wieder da
boah werde noch verrückt

übrigens  oben die url war nicht die  direkt url

www.flatcast-paylasim.de/flatcast     <<pargma :)  und da liegt inder index.php der  virus
www.flatcast-paylasim.de/radyo     <<html seite  index.html  infieziert

Andi

Moin :)

hört sich verdächtig an:
http://www.silicon.de/enid/security_management/33003

Setze dich auf jeden Fall mir deinem Hoster in Verbindung
schön´s Grüssle, Andi

Eismann1976

ZitatEin Besucher einer infizierten Webseite wird selber mit JavaScript-Dateien mit zufälligen Dateinamen verseucht.

Vielleicht sollte man den Link oben besser unkenntlich machen.   :gruebel:
LG Eismann


Kein Support per PN/ICQ/MSN ect.
Bitte schreibt eure Frage ins Forum, so haben Alle was von der Antwort.
Viele Antworten findest du auch im DOKUWIKI



http://www.wtj-clan.de | pragmaMx 0.1.11.2 &  1.12 RC2 | PHP: 5.2.9 | mysql: 5.1.33 | apache: 2.2.11 (Win32) & Microsoft-IIS/7.5

mertk78

Problem wurde gelöst ...

nachdem das backup hergestellt wurde und  dir passwörter geändert worden sin ist nun ruhe :)

was mir aufgeflen ist, ist das sämtliche index.php / index.html datein infieziert waren  (ca 30 stück)

die einzige index.php die sauber war, war die  SMF forums   (denke mal auf grund der ebenen  ) keine ahnung

Haupsache es ist alles wieder alles sauber ..

vielen dank nochmal für die  tips.

micha1904

Hallo zusammen,

seit letzter Woche habe ich auch einen Virus auf meiner Seite. Sämtliche Index Datein sind mit dem js/downloader.agent Virus identifiziert. Nach dem ich hier den Beitrag gelsen habe, habe ich ebenfalls meine Index Datein aus dem Backup geholt und neu hochgeladen. Zuvor habe ich alle Passwörter geändert insbesondere das FTP Passwort. Mein Provider Strato hat sich davon nichts angenommen und mein Rechner ist sauber. Jetzt war zwei Tage ruhe und seit gestern ist der Virus wieder da!!!! Wenn ich über FTP auf meine Datein gehe sieht man keine veränderte Datein (Datum). Ich habe zwar auf meinen Rechner noch saubere Index Dateien aber ein erneutes austauschen der verseuchten Datein bringt keinen Erfolg. Sobald ich die sauberen Datein hochlade und meine Seite aufrufe meldet sich der Virenscanner. Wie gesagt mein PC ist sauber. Gestern Abend habe ich die kpl. Seite per FTP heruntergeladen und auf Vieren geprüft bis auf die Index Datein gab es keine weiteren Vieren. Auch Trojaner werden bei mir nicht gefunden.

Ich erlaube es mir, hier einmal den Inhalt der Index.php aus dem Root hier zu veröffentlichen in der Hoffnung ihr seht am Code die Ursache oder ????

Danke für eure Hilfe

<?php
/**
* pragmaMx  Content Management System
* Copyright (c) 2006 pragmaMx Dev Team - http://pragmamx.org
*
* This program is free software; you can redistribute it and/or modify
* it under the terms of the GNU General Public License as published by
* the Free Software Foundation; either version 2 of the License, or
* (at your option) any later version.
*
* $Source: /home/www/dps3311/home/cvsroot/pragmamx/html/index.php,v $
* $Revision: 1.8.4.7 $
* $Author: tora60 $
* $Date: 2006/12/03 11:53:11 $
*/

if (!defined("MX_TIME")) {
    $vstarttime = explode(" ", microtime());
    define("MX_TIME", (float)$vstarttime[1] + (float)$vstarttime[0]);
    unset($vstarttime);
}

/**
* wenn $name übergeben wurde, die modules.php verwenden
*/
if (isset($_GET['name']) || isset($_POST['name'])) {
    include('modules.php');
    exit;
}

/**
* jop, die modules.php ist geladen ;)
*/
define("mxModFileLoaded", "2");

/**
* nur zum initialisieren der Variablen, wird durch das Modul überschrieben
*/
$index = 0;

/**
* PHP_SELF macht auf manchen Servern Probleme bei mod_rewrite,
* es wird die umgeschriebene URL verwendet anstatt modules.php
* deshalb hier umschreiben, aber hier modules.php verwenden, wegen nuke-Kompatibilität
*/
$_SERVER['PHP_SELF'] = preg_replace('#^[\\\\/]+#', '/', dirname($_SERVER['PHP_SELF']) . '/modules.php');

/**
* pragmaMx Hauptdatei includen
*/
require_once("mainfile.php");

/**
* jpCache laden, nur bei Anonymen Besuchern
*/
if (isset($_REQUEST['noJpC'])) {
    $mxJpCacheUse = false;
}
if (!MX_IS_ADMIN && !MX_IS_USER && $mxJpCacheUse) {
    if (@file_exists('includes/jpcache/mx_jpcache.php')) {
        include_once('includes/jpcache/mx_jpcache.php');
        // print "jpcache aktiv: $JPCACHE_ON<br>";
    }
}

/**
* einen Modulnamen verpassen
*/
$name = mxGetMainModuleName();
define("MX_MODULE", $name);

$modfile = "modules/" . $name . "/index.php";
$op = "modload";
$file = "index";

if (!@file_exists($modfile)) {
    $index = 1;
    if (MX_IS_ADMIN) {
        mxErrorScreen("<b>" . _HOMEPROBLEM . "</b><br><br>[&nbsp;<a href=\"admin.php?op=modules\">" . _ADDAHOME . "</a>&nbsp;]");
    } else {
        mxErrorScreen(_HOMEPROBLEMUSER);
    }
    die();
}

$home = 1;
include_once($modfile);

?>
CMS-Version: pragmaMx 0.1.7

PHP-Version: 4.4.1
MySQL-Version: 4.0.24
Server-Version: Apache/1.3.31 (Unix)