Die Tatsache, dass die Meldung immer wieder auftaucht bedeutet wohl, dass nicht die index.php direkt infiziert wurde sondern irgendwo an einer anderen Datei herumgebastelt bzw. eine zusätzlich Datei hochgeladen wurde, in der der eigentliche Schadcode sitzt und die von dort aus immer wieder deine index.php ändert.
Es ist jetzt schwierig, Dir zu sagen, woran es liegen könnte.
Ich hatte ja hier: http://www.pragmamx.org/Forum-topic-24362-start-msg163104.html#new
ein ähnliches Problem, die gegebenen Ratschläge von Andi und Sitki kannst Du ebenfalls aufnehmen.
Auf jeden Fall überprüfe Deine Ordner, ob irgendwo eine Datei liegt, die da nicht hingehört. Über das FTP-Programm kannst Du auch erstmal schauen, ob Dateien zu einem Termin verändert wurden, wo Du schon selbst gar nichts mehr dran gemacht hattest.
Das Bildchen von Deiner index.php weist übrigens möglicherweise auf ein JavaScript als Übeltäter hin... Document.write und so... Könnte sein, dass irgendwo ein Script liegt, dass quasi "onLoad" sich jedesmal neu einschreibt.
Viel Erfolg
Markus
danke ersteinmal für diese schnelle hilfe ..
werde die ratschläge aus dem Linkl befolgen
o man es ist echt ärgerlich naja aber wie sagt man so schöm
alles wird gut...
wird schion irgentwie schief gehen halte euch auch auf dem laufendem
P.s. nur weiter mit tips und ideen :)
gruss MerT
Zitat von: insanehsp in 01 Februar 2008, 00:50:48
ich kann jetzt auch voll ins klo greifen *G*
aber wenn keine schreibrechte vorhanden sind, dann könnte ja auch nichts geändert werden?
habe ich mir auch gedacht aber nix da
und eventuell hilft es ja weiter
habe auf dem server einmal den ordner
flatcast in disem ist pragma instaliert
und einmal den ordner
radyo im ordner radyo liegt ne ienfache index.html diese ist auch immer infiziert !. :(
dort lösche ich die zeile und anschlisent ist sie wieder da
boah werde noch verrückt
übrigens oben die url war nicht die direkt url
www.flatcast-paylasim.de/flatcast <<pargma :) und da liegt inder index.php der virus
www.flatcast-paylasim.de/radyo <<html seite index.html infieziert
ZitatEin Besucher einer infizierten Webseite wird selber mit JavaScript-Dateien mit zufälligen Dateinamen verseucht.
Vielleicht sollte man den Link oben besser unkenntlich machen. :gruebel:
Problem wurde gelöst ...
nachdem das backup hergestellt wurde und dir passwörter geändert worden sin ist nun ruhe :)
was mir aufgeflen ist, ist das sämtliche index.php / index.html datein infieziert waren (ca 30 stück)
die einzige index.php die sauber war, war die SMF forums (denke mal auf grund der ebenen ) keine ahnung
Haupsache es ist alles wieder alles sauber ..
vielen dank nochmal für die tips.
Hallo zusammen,
seit letzter Woche habe ich auch einen Virus auf meiner Seite. Sämtliche Index Datein sind mit dem js/downloader.agent Virus identifiziert. Nach dem ich hier den Beitrag gelsen habe, habe ich ebenfalls meine Index Datein aus dem Backup geholt und neu hochgeladen. Zuvor habe ich alle Passwörter geändert insbesondere das FTP Passwort. Mein Provider Strato hat sich davon nichts angenommen und mein Rechner ist sauber. Jetzt war zwei Tage ruhe und seit gestern ist der Virus wieder da!!!! Wenn ich über FTP auf meine Datein gehe sieht man keine veränderte Datein (Datum). Ich habe zwar auf meinen Rechner noch saubere Index Dateien aber ein erneutes austauschen der verseuchten Datein bringt keinen Erfolg. Sobald ich die sauberen Datein hochlade und meine Seite aufrufe meldet sich der Virenscanner. Wie gesagt mein PC ist sauber. Gestern Abend habe ich die kpl. Seite per FTP heruntergeladen und auf Vieren geprüft bis auf die Index Datein gab es keine weiteren Vieren. Auch Trojaner werden bei mir nicht gefunden.
Ich erlaube es mir, hier einmal den Inhalt der Index.php aus dem Root hier zu veröffentlichen in der Hoffnung ihr seht am Code die Ursache oder ????
Danke für eure Hilfe
<?php
/**
* pragmaMx Content Management System
* Copyright (c) 2006 pragmaMx Dev Team - http://pragmaMx.org
*
* This program is free software; you can redistribute it and/or modify
* it under the terms of the GNU General Public License as published by
* the Free Software Foundation; either version 2 of the License, or
* (at your option) any later version.
*
* $Source: /home/www/dps3311/home/cvsroot/pragmamx/html/index.php,v $
* $Revision: 1.8.4.7 $
* $Author: tora60 $
* $Date: 2006/12/03 11:53:11 $
*/
if (!defined("MX_TIME")) {
$vstarttime = explode(" ", microtime());
define("MX_TIME", (float)$vstarttime[1] + (float)$vstarttime[0]);
unset($vstarttime);
}
/**
* wenn $name übergeben wurde, die modules.php verwenden
*/
if (isset($_GET['name']) || isset($_POST['name'])) {
include('modules.php');
exit;
}
/**
* jop, die modules.php ist geladen ;)
*/
define("mxModFileLoaded", "2");
/**
* nur zum initialisieren der Variablen, wird durch das Modul überschrieben
*/
$index = 0;
/**
* PHP_SELF macht auf manchen Servern Probleme bei mod_rewrite,
* es wird die umgeschriebene URL verwendet anstatt modules.php
* deshalb hier umschreiben, aber hier modules.php verwenden, wegen nuke-Kompatibilität
*/
$_SERVER['PHP_SELF'] = preg_replace('#^[\\\\/]+#', '/', dirname($_SERVER['PHP_SELF']) . '/modules.php');
/**
* pragmaMx Hauptdatei includen
*/
require_once("mainfile.php");
/**
* jpCache laden, nur bei Anonymen Besuchern
*/
if (isset($_REQUEST['noJpC'])) {
$mxJpCacheUse = false;
}
if (!MX_IS_ADMIN && !MX_IS_USER && $mxJpCacheUse) {
if (@file_exists('includes/jpcache/mx_jpcache.php')) {
include_once('includes/jpcache/mx_jpcache.php');
// print "jpcache aktiv: $JPCACHE_ON<br>";
}
}
/**
* einen Modulnamen verpassen
*/
$name = mxGetMainModuleName();
define("MX_MODULE", $name);
$modfile = "modules/" . $name . "/index.php";
$op = "modload";
$file = "index";
if (!@file_exists($modfile)) {
$index = 1;
if (MX_IS_ADMIN) {
mxErrorScreen("<b>" . _HOMEPROBLEM . "</b><br><br>[ <a href=\"admin.php?op=modules\">" . _ADDAHOME . "</a> ]");
} else {
mxErrorScreen(_HOMEPROBLEMUSER);
}
die();
}
$home = 1;
include_once($modfile);
?>