Suche

[Heinz-Juergen]

 :questLiebe Pragma-Gemeinde, vor einigen Stunden habe ich diese Mitteilung erhalten, leider kann ich sie nicht so bearbeiten, wie ich es gerne möchte, ich benötige dort einige Hilfestellung.
Meine Seite ist zu finden unter www.p***lub.de.
Ich würde mich freuen, wenn mir ein Mitglied der Gemeinde behilflich sein könnte.

Hallo Jürgen!
Sein ein paar Tagen startet beim Öffnen der Euro-Puch Seite jedesmal der Windows Media Player. bzw. versucht der PC eine Datei mit Namen "grctcodmkrywd.pdf" downzuloaden mit Verbindung zu einer Webseite geopozitiv.com - Gemäss unserer Virendatenbank in der Firma ist das ein Trojaner - http://www.trojaner-board.de/93899-unbekannter-virus-verseucht-alle-index-html-php-dateien-auf-dem-server.html - der dürfte auf der Euro-Puch Server sein Unwesen treiben!
Gruss, Andy


edit by Andi: URL entfernt

[Andi]

Moin

rufe mal bitte die Versionsüberwachung auf und schau welche System-Dateien alle verändert sind.
Die solltest du zunächst neu hochladen. Bitte dran denken, dass nicht mitgelieferte Module wie das mxBoard oder der Kalender nicht von der Versionsüberwachung erfasst sind.

Wie in dem verlinkten Forumsthread angedeutet müsstest du vorher
- deinen eigenen Rechner mit einem aktuellen Vienscanner prüfen
- deine FTP-Passwörter ändern
- ein anderes FTP-Programm verwenden

[FrankP]

Es ist wie jedes Jahr die Zeit der Hackergilde.  Derzeit werden gezielt Webs, die auf älteren mod_php-Servern gehostet werden, angegriffen.

Ich möchte Andis Antwort noch ergänzen:

-Es ist selten, dass Schadcode per ausgesähtem ftp-Passwort aufgespielt wurde. Das passiert i.d.R. über Scripte. Natürlich nicht über den pmx-Kern aber man weiß ja nicht, was da noch auf dem Web liegt.

-Wenn eine Site Schadcode an den Client verbreitet, muß (!) diese unverzüglich abgeschalten werden. Es kann nicht angehen, eine Virenschleuder zu betreiben und das mal ganz gemächlich zu reparieren. Außer dem moralischen Anspruch, den jeder verantwortungsbewußte Webmaster haben sollte, weise ich mal dezent auf haftungsrechtliche Ansprüche hin. Oder im Klartext, wenn ich mir von deiner Site trotz normalem Schutz Schadcode auf einer meiner Workstations einfange und du von der Gefahr Kenntnis hattest, zahlst du. Also sei so gut und nimm deine Site vom Netz, bis das alles bereinigt ist.

-Solltest noch was Anderes außer pmx auf deinem Web liegen haben, schau per ftp und nicht nur per Versionskontrolle nach veränderten Dateien.

-Du mußt nach entfernen des Schadcodes unbedingt die Logfiles analysieren, um herauszufinden, wie der Schadecode auf dein Web kam. Wenn du nicht weißt, wie man Logfiles liest, lern es.

Nichts für ungut aber Virenschleudern gehen gar nicht, bitte kümmer dich ernsthaft darum.

[Andi]

Moin


@ Heinz-Juergen
Der Crash deiner Seite ist noch nicht vollständig repariert. Es befinden sich immer noch verseuchte Dateien im Dateisystem.

Beispiel: h**p://www.***-hamburg.de/modules/index.html

[Heinz-Juergen]

Danke Andi, da hab ich eben den Zahlencode raus genommen,  sollte dir noch einer auffallen sage mir bitte Bescheid.

Nach Auskunft einer Bekannten soll sich der Schädling immer wieder Aktivieren?
Weiß Du was darüber und kennst Du ein Gegenmittel.
Gruß Jürgen

[Andi]

Moin

die eine Datei war nur ein Beispiel. vermutlich sind alle index.html in allen Unterordnern betroffen.
Und zumindest eine andere .php Datei war auch noch betroffen, als die Seite noch funktionierte, denn der Schadcode war in der Startseite immernoch vorhanden.

Die Lösungswege wurden von mir dargelegt und von FrankP ausführlich ergänzt.