Author Topic: Webseite mit neuem Forum  (Read 5378 times)

amplifier

  • Administrator
  • Verified
  • ****
  • Posts: 259
    • View Profile
    • http://www.amplifier.cd
Webseite mit neuem Forum
« on: March 29, 2012, 12:18:31 AM »
Hallo Jungs und Mädels,

es hatten mich freundlicherweise viele von Euch angeschrieben mit dem Hinweis, die Webseite war infiziert, insbesondere Google und Mozilla hat das oft gemeldet.
Vielen Dank für die Information, darauf wurde reagiert.

Die Seite ist wieder sauber. ich kenne leider die Funktion von diesem Schädling nicht, wer weiß was der machen sollte und vor allem wie er rein kam?
   
Betroffen waren alle index.html Seiten, auf meiner Startseite wurde von einer Maschine oder manuell ein Script eingefügt.
Betroffen waren alle index.php Seiten in restlos jedem Verzeichnis in der sich ein index.php befindet, muss eine Maschine gewesen sein.
Betroffen waren noch ein paar andere xxxx.php Seiten.
In einer avatar/index.html Datei im SMF Forum und auch einer anderen index.html auf dem Server war ein Blackhole Virus
(MS Essentials hat ihn entdeckt, habe mir die ganze SMF Datei zum Scann auf den PC geladen).
Diese verseuchte avatar/index.html mit einem Text Editor zu öffen war mir absolut nicht gelungen, ständig kam "Zugriff verweigert" egal welche Rechte man vergab.   
Außerdem wollte der MS Essentials immer gleich sofort löschen.

Das Forum habe ich auf die neueste Version upgegraded, die gesamte Webseite mit Online Tools nochmals auf Viren gescannt.

    http://www.unmaskparasites.com/
    http://www.siteadvisor.com/
    http://sitecheck.sucuri.net/scanner/?scan=www.amplifier.cd

Diese Tools finden alle nichts mehr
Alle Passwörter geändert
Passwörter hatte ich nie auf dem Rechner gespeichert.
Entweder wurde der Server gehackt oder mein PC.
Wie kam vor allem das Script in die html Startseite hinein????
Der PC ist nach MS Essentials sauber
Bei Google muss die Seite noch von der Blacklist runtergenommen werden
Mehr kann ich jetzt nicht mehr tun - oder?

Sämtliche Dateien die auf dem Server infiziert waren trugen das Datum: 22.03.2012 ca. um 20Uhr04, wird daher eine Maschine gewesen sein.

Der Schädling wo er sich versteckt hatte hier zu Eurer Information:


Auf der Startseite index.html habe ich das Script Zeichen im WYSIWYG Editor NVU entdeckt.



Im Source Code der Startseite index.html findet sich das grüne Script mit der Nummer d93065



Bei Beispiel für eine verseuchte index.php Datei, am Ende der Datei wurde von einer Maschine der blau markierte codierte Code eingefügt,
beachtenswert ist der Zusammenhang mit der "Rufnummer" d93065 von der Startseite.



Hier die beiden index.php Dateien im direkten Vergleich, einmal im Sollzustand und im verseuchten Istzustand.

Gruss Ralf

Wenigstens mal ein anständig dokumentierter Schädling  ;)
« Last Edit: March 30, 2012, 10:19:48 PM by amplifier »

TekMan

  • Verified
  • Posts: 154
    • View Profile
Re: Webseite mit neuem Forum
« Reply #1 on: March 29, 2012, 08:47:53 AM »
Gute Arbeit Ralf, nochmals Danke für Deine Mühe und das Du es so sauber gelöst hast !
please respond here, not via PM - so all off us can use the information. PM only for urgent questions. THX.

Matt

  • Verified
  • Posts: 37
    • View Profile
Re: Webseite mit neuem Forum
« Reply #2 on: March 29, 2012, 06:41:00 PM »
Hallo

Schön, dass du das hinkriegst.

Paar Foto zu Plugin komme bald.:-D

Grüss
Matt

Martin

  • Verified
  • Posts: 132
    • View Profile
Re: Webseite mit neuem Forum
« Reply #3 on: April 03, 2012, 04:57:46 PM »
Hauptsache es klappt wieder  8)

lediglich angehängte Bilder sofort sehen, das klappt (noch?) nicht bei mir.

nette Grüße
Martin