Antworten: 9
Seite [1] |
|
 reVerBGeekboy Beiträge: 1237 |
# Thema - 18.12.2009 um 03:58 Uhr
Mir ist etwas aufgefallen. Eine Clanpage und eine Bandpage sind von einem Angriff betroffen gewesen. In der Index.php befanden sich Codes, die zum Beispiel interessante Worte wie Shutdown DOC_DOC enthielt. Ich weiß nicht, wie es da hinein gekommen ist. Aber auf jeden fall musste ich die Indexdateien wieder neu aufspielen. Wenn dieser Code drinne ist, lädt die Seite nicht. Sie bleibt weiß. Ist dort jemanden eine Lücke bekannt? Fehler wo anders auch schon aufgetreten? Sobald ich wieder zu Hause an meinem PC bin, werde ich den Inhalt der beschädigten Datei mal pasten. MfG |
Offline |
|
Fr33z3m4n  Medal of Honor  Herkunft: Hamm Beiträge: 11094 |
# Antwort: 1 - 18.12.2009 um 07:59 Uhr
könnte auch ein Trojaner deinerseits in deinem FTP PRogramm sein, gab es schon öfters, unerklärlicher code in php Dateien. Könnte aber auch sein, dass ein Admin-Acc von dir ausgenutzt wurde, um per Explorer die Datei zu bearbeiten. Sicherheitslücke ist mir nicht bekannt. Versuch mal an die FTP Logs, Apache Logs etc ranzukommen. Such nach Einträgen in welcher die index.php bearbeitet wurde CSP Logs könnten auch helfen. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski  Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
   |  |
| Jam2 Highlander  Beiträge: 3291 |
# Antwort: 2 - 18.12.2009 um 09:31 Uhr
Das schlimmste an diesem Trojaner(wenn der es auch bei dir war).... Er fügt diesen Code nicht nur in eine Datei an. Bei mehreren Usern wurde der Code nicht in der index.php gefunden, sondern in mehreren anderen Dateien... 
------------------ Gruß/ Best regards Jam2 Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes) Template Switch for index.php Board Navlist last posts Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....  Edi: hö ? Jam2: nichts ist unmöglich! |
Inaktiv |
| |
| coolcat King for a day Herkunft: Buchholz in der Nordheide Beiträge: 252 |
# Antwort: 3 - 18.12.2009 um 11:27 Uhr
der wurde sogar in vielen Dateien implementiert, wie ich festgestellt habe. Bei mir war anfangs nur in der index.htm ein Code an letzter Stelle in der letztn Zeile vorhanden....nach austauschen bzw. löschen des betreffenden Codes, war ein paar tage später dieser Code wieder da,m was zur Folge hatte, das Ich mir den gesamten Inhalt von CSP und deren Dateien mal angesehen habe und siehe da er war in versch. Dateien von versch. Modulen auch eingepflegt, welche nicht nur trojaner sondern auch keylogger beinhalten.... Das ganze habe ich auf ein Testsystem geladen und dann begonnen den Code zu verfolgen bzw. den Weg der infizierung zu erkennen..... Es wurden immer und ich sage es so wie es ist, immer Dateien angegriffen bzw. befallen, die einen weiteren Zugriff auf CSP benötigen und bereitstellen.....(was bei CSP ja ne menge sind) Ferner wurden sämtliche index, und create.php´s befallen Des Weiteren wurde in der Index.php ein Crypt.Gen Win23. eingeschleust welcher unter bestimmten Vorraussetzungen es ermöglicht das ein Keylogger (simpler geht es nicht als Tiny) auf den FTP geladen wird in einem Ordner der Schreib und lese sowie execute Rechte gestellt bekommt vom user... Nach langer Überlegung und weiter und immer wiederkehrender Meldungen von Usern die meine HP(s) besuchten , das sie einen Warnmeldung bekommen haben, habe ich CSP komplett neu eingespielt und damit versucht ein sauberes System zu bekommen.... Das ganze dauerte 2 Tage dann waren die Meldungen wieder da. Nun aber das seltsame, Ich habeden gesamten FTP-Server (also den gesamten Inhalt) immerhin 212,45 GB auf eine externes Laptop unter Linux gelden und 5 versch. Antivierprogramme installiert und laufen lassen (natürlich hintereinander und nach immer wiederkehrender Neuinstallation) und bis auf den Crypt.Gen Win23 nix gefunden...(in versch. Ordnern hatte er sich eingenistet), ihn gelöscht und das ganze Prozedre nochmals laufen lassen und keinerlei Meldungen bekommen... dann habe ich den sauberen* Inhalt woeder auf den FTP-Geladen (der war bis im Rootverzeichniss Leer***) und CSP neu aufgespielt, ein sauberes Backup der SQL eingespielt was nur User und Forumsbeiträge sowie die Forumsstruktur beinhaltete, und nach wiederum 3 Tagen erhielt sogar Ich eine neue Fehlermeldung von den Antivierenprogrammen das der Crypt.Gen Win23 gefunden wurde. nun frage ich mich wie das sein kann? wie kann es sein wenn alles sauber und alles neu ist, und kein AntivierProggi etwas findet auf einem System das nicht Win. ist und es nichts bzw keine Meldungen gab das ein paar tage später wieder der selbe Code in den Indx Dateien vorhanden ist???? Verwendete Antivir Proggis. Kaspersky 2010 Norton 2010 und 2009 Antivir Saq 2,3 und einen Online Check über Panda Antivirus Des Weiteren Highjack* ausgeführt und Spybot benutzt.... Ich finde langsam gehen mir die Ideen aus und langsam komme ich immer mehr zu dem Entschluss, das irgendwas übersehen wurde bzw wird in Sachen CSP???? Sry aber es bleiben nicht mehr viele Möglichkeiten, und nach 5 maligem Neuinstallieren und 3 Neuen festplatten mit neuem System, bin Ich zum entschluss gekommen das es nicht an meiner Hard oder Software liegen kann. Irgendwas geht da vor und ich weis leider nicht mehr wo ich noch suchen soll. P.s In den Logs finde ich die Aktivitäten des Crypt.Gen auch, aber eben nur das und nix weiter.... mfg Coolcat ------------------ aktuelle Page www.tollkuehne-crew.de |
Inaktiv |
| |
| 1a Schnitzel Going for pro  Beiträge: 518 |
# Antwort: 4 - 18.12.2009 um 20:27 Uhr
Hatte ich auch, allerdings waren bei mir auch Seiten befallen die auf ein anderes CMS liefen. Bei mir lags also an nem Trojaner der das FTP Programm ausgelesen hatte. Wenn AntiVir Programme bei dir nichts finden ist das System nicht automatisch sauber, es wird sogar meistens kein Fund festgestellt und es ist was drauf. Da dir Highjackthis nicht unbekannt ist wende dich doch mal direkt an das Forum, die habens da drauf und wenn auf deinem Rechner was drauf ist finden die es auch. |
Inaktiv |
| |
| reVerB Thread-Ersteller Geekboy Beiträge: 1237 |
# Antwort: 5 - 19.12.2009 um 01:16 Uhr
Mein Rechner kann es definitiv nicht sein. Bei dem war nämlich die Graka kaputt und war seit fast 2 Monaten nicht mehr Online. Das problem war aber auch erst seit 6 Tagen. Mein G-Data auf meinem Rechner (Graka wieder heile ^^), Kaspersky auf meinem Netbook Und die Programme Spybot und AdAware machen keine Meldungen. Zudem habe ich mein Glück auch noch einmal mit AVG, Bitdefender und Avira versucht. Keines der Programme hat was gesagt. Die PHP-Dateien sehen auch alle soweit sauber aus. Auf meinem Netbook habe ich kein FTP-Client. Damit fällt also auch die FTP-Gechichte raus. Außerdem habe ich bereits von einem bekannten gehört, das seine Internetseite das gleiche Problem hatte. Und es gibt zwischen allen 3 Seiten nur 2 Gemeinsamkeiten. Clansphere und den Webhoster Goneo. Die CSP-Logs sagen garnichts über änderungen in der index.php. Ich bin auch Ratlos. Werde wohl beten müssen, das es nicht wieder auftritt. |
Offline |
| |
| UnKn0wn Geekboy  Beiträge: 1160 |
# Antwort: 6 - 19.12.2009 um 06:44 Uhr
Ich hatte genau das gleiche Problem. Meine FTP-Daten wurden ausspioniert und anschließend über ein Programm alle Daten auf dem Webserver mit dem Code versehen. Gibt für solche Sachen ein nettes Tool. Auch eine Joomla Installation die nicht öffentlich war ist davon betroffen gewesen. Der Trojaner kann vorher auf deinem System gewesen sein und derjenige hat sich einfach nur Zeit gelassen. Oder jemand der deine Daten hatte, arbeitet mit ein infiziertem System. ------------------ Mit freundlichen Grüßen SEBEL-DESIGN http://www.sebel-design.com |
Inaktiv |
| |
| reVerB Thread-Ersteller Geekboy Beiträge: 1237 |
# Antwort: 7 - 19.12.2009 um 12:27 Uhr
Ok !! Ich habe mir den Code genauer angesehen. Also ersteinmal waren auf allen 3 Seiten nur die Index.php betroffen. Der Code sollte die eigentliche Seite ausblenden lassen und dann Links für Medikamente zum kaufen einbinden. Es muss sich ein Anfänger ausgedacht haben, da er Fehler im Code hatte. Das Problem sollte behoben sein denke ich. Und an einem schläfer glaube ich auch nicht. Wenn der Trojaner auf dem Server von Goneo war (Und davon gehe ich am ehesten aus), dann ist das deren Problem und wenn sie das nicht in den Griff bekommen, dann verlieren sie Kunden. Denn mein Rechner ist definitiv sauber. Noch gründlicher kann man das nicht checken. |
Offline |
| |
| coolcat King for a day Herkunft: Buchholz in der Nordheide Beiträge: 252 |
# Antwort: 8 - 22.12.2009 um 11:42 Uhr
Da stellt sich mir aber nun eine Frage...... Ich habe mir gestern (eher letzte Woche schon) eine neues Paket bei 1blue bestellt (anderer Name anderes Paket anderere neuer und sauberer FTP) auf einem nigelnagelneuen Lappy (ohne System) WinxP installiert und auch Ubuntu 9.0. Dann habe ich mir das CSP Paket runtergeladen von dieser Page, es installiert auf dem Webspace und mein mysql Backup von annodazumal (war meine erste Page mit CSP*) eingespielt. *alles über den Laptop* keine weiteren Sachen installiert ausser das Template was aktuell auf meiner Page ist genommen, und siehe da nun bekomme ich auch wieder die Meldung über den Cryptgen Virus. Danach habe ich (also genau gesagt Heute Morgen um 6 Uhr)auf diesem Laptop alles gelöscht Festplatten formatiert (lowlevelformat) und ein neues Vista Home Premium installiert. danahc habe ich den "alten" FTP Account genommen (wo das Problem mit dem Virus besteht), den gesamten Inhalt des FTP´s auf den Laptop übertragen, und einen Scan mit 5 Antivierenproggis gemacht (wieder hintereinander alle in und deinstalliert)und mit dem Avira Antivir Programm wurde der Cryptgen nicht gefunden, aber von meinem Pc aus mit Avira schon. Nun könnte man meinen es läge an meinem PC, aber dort habe ich ebenfalls gestern alles platt gemacht und neu WinxP installiert und dann Avira und dann den Firefox. Auf die Page gegangen und siehe da der Virus wird wieder erkannt, was mich vermuten lässt, das der noch irgendwo auf dem FTP sein muss, was aber seltsam ist da ich vom FTP ein Backup gezogen habe auf dem der Virus drauf ist (laut Avira), aber auf dem Lappy er nix findet????? Wo kann ich noch suchen, bzw was gibt es noch für möglichkeiten diesen Virus /Trojaner wieder loszuwerden???? mfg Coolcat ------------------ aktuelle Page www.tollkuehne-crew.de |
Inaktiv |
| |
| 1a Schnitzel Going for pro Beiträge: 518 |
# Antwort: 9 - 22.12.2009 um 13:01 Uhr
Dann kanns nur noch an deinem Template liegen, gehe stark davon aus da dort irgendwo ne codezeile ist die da nicht hingehört. Ansonsten nutzt du nen USB Stick oder sonstige Wechselträger? |
Inaktiv |
| |
Antworten: 9
Seite [1] |
|
| Sie müssen sich registrieren, um zu antworten. |
