Demo

Probiere ClanSphere aus und teste daran herum. Demo


Antworten: 15
Seite [1]
coolcat


King for a day



Herkunft: Buchholz in der Nordheide
Beiträge: 252
# Thema - 03.11.2009 um 11:48 Uhr
Hiho Community,

Wie schon mal erwähnt wurde, ist auf der Seite wenn man www.fones.de eingibt, ein Virus auf der Seite vorhanden.

so nun war aber auf meiner eigentlichen Seite nix weiter mit Sachen wie Virus etc.... zu finden.

Seit gestern aber bekomme ich von einigen Leuten aus meinem Clan die Meldung das dass Virenproggi "Antivir" eine Meldung rauschmeisst mit der Bezeichnung:

(hier mal eine Meldung von einem Member von Uns)

antivir macht nen riesen aufstand wenn man auf die page will
findet und stresst bei jedem aktualisieren oder pagewechsel HTML/Crypted.Gen


Ich ahbe definitiv nix verändert an der Page, sowie auch net unter der fones.de page, nun mache ich mir Sorgen das es ein Virus bzw noch eine Lücke ist, in die schadhafter Code einfeügt werden kann /und vlt wurde?????!!!!

kann mir wer helfen?

also die erste Domain wo das Problem schon aufgetaucht ist seit längerem lautet:

www.fones.de

die neuste Meldung kommt von:

www.tollkuehne-crew.de


Bitte um HIlfe!

Mfg
Coolcat


------------------
aktuelle Page

www.tollkuehne-crew.de
Inaktiv
e30micha


Poststar




Herkunft: Trier
Beiträge: 639
# Antwort: 1 - 03.11.2009 um 11:53 Uhr
Ich hoffe dieser Thread hier hilft dir weiter
http://www.hijackthis-forum.de/archiv/30877-html-crypted-gen-temporary-internet- files.html

Hier auf Avira:
http://www.avira.com/en/threats/section/fulldetails/id_vir/3666/html_crypted.gen .html

Es handelt sich dann um HTML.Malware / Trojaner.


------------------
„Wenn Unrecht zu Recht wird, wird Widerstand zur Pflicht!“ - Bertolt Brecht


Zuletzt editiert von e30micha am 03.11.2009 um 11:58 Uhr (2x Editiert)
Inaktiv
|
Dobi


Rock the board



Herkunft: Erde
Beiträge: 59
# Antwort: 2 - 03.11.2009 um 13:14 Uhr
Wenn ich mir www.tollkuehne-crew.de den Quelltext anschaue entdecke ich gaaanz am Ende ein Javascript...

Mehrfach verschlüsselt.. ich hab damit mal ein wenig gespielt und letztlich auf folgendes gestoßen: http://www.admin-blog.com/archives/186-Seltsames-JavaScript-in-Homepage-eingebun den-Sinn-und-Ursprung-unbekannt.html

Auch den ersten Kommentar in dem Blog beachten.





Inaktiv
|
UnKn0wn ClanSphere Team


Geekboy





Beiträge: 1160
# Antwort: 3 - 03.11.2009 um 13:18 Uhr
Kennen wir doch.

Durch einen Trojaner auf meinen Rechner wurden meine Zugangsdaten die ich täglich nutze abgefangen. Hier wurde dann per Script auf meinem Webspace alle Dateien index.php und index.htm(l) per Script meinem einem iframe versehen.

Computer auf Viren prüfen, alle Passwörter die Du verwendest sofort ändern. Datensicherung der Webseite einspielen, wo die Scripte nicht drinne sind.

Sollte ein andere User Zugriff per FTP auf den Webspace haben, sollte er auch seinen Rechner durchscannen.


------------------
Mit freundlichen Grüßen

SEBEL-DESIGN
http://www.sebel-design.com


Inaktiv
|
coolcat
Thread-Ersteller


King for a day



Herkunft: Buchholz in der Nordheide
Beiträge: 252
# Antwort: 4 - 03.11.2009 um 13:55 Uhr
stellt sich mir aber die Frage, wie genau ist das dann passiert?

Auf der Seite www.tollkuehne-crew.de laufen nur 3 Scripte.

Oben 2 stk von google (sowohl google-maps als auch google-analytics.

Wenn ich mir www.tollkuehne-crew.de den Quelltext anschaue entdecke ich gaaanz am Ende ein Javascript...

Mehrfach verschlüsselt.. ich hab damit mal ein wenig gespielt und letztlich auf folgendes gestoßen: http://www.admin-blog.com/archives/186-Seltsames-JavaScript-in-Homepage-eingebu nden-Sinn-und-Ursprung-unbekannt.html


am Ende der Index ist nur noch ein Script von Bin-Layer, stellt sich die Frage ob das diesen Code verursacht hat oder net? Für mich ist immer nhoch net schlüssig in und über welche Sache der Code eingeschleust werden kann/konnte?????

Ich hänge mal meine Index mit ran, damit man vlt Rückschlüsse daraus ziehen kann!


P.S.

Ja ich ahbe die Seiten gelesen die sich damit behandeln, aber ich weiss nicht wie ich dioe LÖsungen anwenden soll/kann?

Beispiel :

stufe 1:
im ersten schritt ersetzt das script große Z gegen das %-Zeichen. dadurch wird er für das "unescape" valide.

Frage hierzu, wo ersetze ich das Zeichen, denn in der INdex wird der Code ja net angezeigt?

stufe 2:
das unescape fördert viele codeschnipsel-variablen und einen in eine cookie-prüfroutine eigebetteten aufruf zu tage, der die variablen wild zusammenwürfelt und durch eine einfache byteweise entschlüsselungsroutine jagt.

hier meine Index





wieso kann ich a) keine Index mit ranhängen als txt. und wieso kann ich unter Clip Funktion sie net einbringen in den Text?

kommt immer You have dont Permission bla bla bla


so hier ist der Code aus der INdex.php der ist dassselbe wie in der index.htm im Quelltext



------------------
aktuelle Page

www.tollkuehne-crew.de


Zuletzt editiert von coolcat am 03.11.2009 um 14:24 Uhr (3x Editiert)
Inaktiv
|
Dobi


Rock the board



Herkunft: Erde
Beiträge: 59
# Antwort: 5 - 03.11.2009 um 14:18 Uhr
Die in dem Blog genannten "Stufen" sind nicht Dinge die du machen sollst, sondern der Ablauf des Scriptes.

Der Code hängt bei dir in der Index nach </html> ganz am Ende.

Wie das da hin kommt? Böser Bube mit FTP-Daten, unsicherer Webserver oder Scripte usw sind möglich. Da hat dir irgendjemand irgendwie bissel Text in die Index (und evtl. nicht nur die) geschrieben. Das sollte da wieder raus.

Post von Sebel-Design beachten!


Zuletzt editiert von Dobi am 03.11.2009 um 14:24 Uhr (1x Editiert)
Inaktiv
|
coolcat
Thread-Ersteller


King for a day



Herkunft: Buchholz in der Nordheide
Beiträge: 252
# Antwort: 6 - 03.11.2009 um 14:25 Uhr
ich habe aber in der Index.html keinen Coder wie im Quelltext zu finden, aber in der index.php als Important Update von Clansphere?????

das wäre ja was.....

ich hänge das mal als .rar mit rann
Dateianhänge:
rar index-tollkuehne-crew.rar (2.21 KiB - 29 mal heruntergeladen )


------------------
aktuelle Page

www.tollkuehne-crew.de


Zuletzt editiert von coolcat am 03.11.2009 um 14:26 Uhr (1x Editiert)
Inaktiv
|
UnKn0wn ClanSphere Team


Geekboy





Beiträge: 1160
# Antwort: 7 - 03.11.2009 um 14:37 Uhr
Hmm, scheint die globale Mitteilung zu sein die angezeigt wird bzgl. Neuerungen. Kannst du mal die reine index.htm im template/deintemplate posten?


------------------
Mit freundlichen Grüßen

SEBEL-DESIGN
http://www.sebel-design.com


Inaktiv
|
Dobi


Rock the board



Herkunft: Erde
Beiträge: 59
# Antwort: 8 - 03.11.2009 um 15:01 Uhr
Ich find in den CSP-Standarddateien keine Funktion secruity_update...

Mmh nee... das is nicht von CSP.. das is der Code der in die PHP gebastelt wurde. Getarnt als Security Update...

Jemand meiner Meinung? O.o


Inaktiv
|
coolcat
Thread-Ersteller


King for a day



Herkunft: Buchholz in der Nordheide
Beiträge: 252
# Antwort: 9 - 03.11.2009 um 15:04 Uhr
@ Sebel.

hängt mit dran

@ Dobi:

Ich find in den CSP-Standarddateien keine Funktion secruity_update...

Mmh nee... das is nicht von CSP.. das is der Code der in die PHP gebastelt wurde. Getarnt als Security Update...

Jemand meiner Meinung? O.o


das mag schon sein, aber ganzgenau kann ich leider net sagen ob das vor oder nach dem Sicherheitsleck von CSP war.....von daher Obacht der HUnd beisst *fg*
Dateianhänge:
rar indexhtml-tollkuehne-crew.rar (2.57 KiB - 21 mal heruntergeladen )


------------------
aktuelle Page

www.tollkuehne-crew.de


Inaktiv
|
1a Schnitzel


Going for pro





Beiträge: 518
# Antwort: 10 - 03.11.2009 um 15:05 Uhr
Wenn du Filezilla nutzt könnten auch darüber deine FTP Daten ausgelesen worden sein.
Ich hatte auch einen Trojaner der meine Filezilla Quicklist ausgelesen hat und auf alle meine Pages einen iframe eingefügt hat.

Du solltest von einen anderen Rechner aus alle FTP Passwörter ändern, deinen Rechner mit hilfe des HiJackThis Forums bereinigen und mit ihm erst dann wieder online gehen.


Inaktiv
|
Dobi


Rock the board



Herkunft: Erde
Beiträge: 59
# Antwort: 11 - 03.11.2009 um 15:11 Uhr
index.html is sauber.
index.php "verseucht" - den Codeblock den du da drin hast solltest du löschen.

btw.. Das Script scheint eh nicht zu funktionieren, da "$a= " nur als "=" in den Quelltext der Seite geschrieben wird. Also dürfte der Code nix angerichtet haben ausser eben vorhanden zu sein (unvollständig).

Bugzilla sagt auch:
syntax error
="Z63cZ3dZ22ds.leZ256eZ2567tZ2568;i+Z252...Z2529Z253bsZ2574Z253d;Z22;cbZ3dZ 22apZ256..

Das Javascript funzt so einfach net.

Jetzt musst du nur noch rausfinden, wie der Kram auf deine Webseite kam..


Inaktiv
|
coolcat
Thread-Ersteller


King for a day



Herkunft: Buchholz in der Nordheide
Beiträge: 252
# Antwort: 12 - 03.11.2009 um 15:20 Uhr
@ schnitzel....

nein nutze flashfxp, als feste verbindung, sprich die Daten sind alle als "Sternchen makiert" und fest verschlüsselt gespeichert, somit keylogger auszuschliessen...

was das mit dem Rechner angeht, sieht es so aus als wäre da irgendwas im argen because:

der Rechner sitzt hinter eine Linux-Firewall als simpler Rechner getarnt unsichtbar hinter einem Router der zwar sichtbar ist, aber halt eben die POrts die der rechenr mit Linux benutzt verschleiert (klar 100% Schutz gibt es nicht, aber da muss ja jemand mind 6 Monate vorsitzen damit er die Ports bekommt meiner Meinung nach), und das Problem ist erst seit kurzem....


hmmmm..das alles sehr seltsam...ich nehm erstmal aus der index.php das araus und dann sehen wir weiter weil ein Backup aus "alten" Tagen ist nicht verfügbar nur neuere"

mfg
Coolcat


p.s ab wo begtinnt denn der schädliche Code?

und was muss stehen bleiben?

<?php ob_start("security_update"); function security_update($buffer){return $buffer."<script language=\"javascript\">$a=\"Z63cZ3...........


------------------
aktuelle Page

www.tollkuehne-crew.de


Zuletzt editiert von coolcat am 03.11.2009 um 15:23 Uhr (1x Editiert)
Inaktiv
|
Dobi


Rock the board



Herkunft: Erde
Beiträge: 59
# Antwort: 13 - 03.11.2009 um 16:55 Uhr
Häng mal die gesamte index.php an


Inaktiv
|
coolcat
Thread-Ersteller


King for a day



Herkunft: Buchholz in der Nordheide
Beiträge: 252
# Antwort: 14 - 04.11.2009 um 06:08 Uhr
da bitte

hängt mit drann
Dateianhänge:
rar index.rar (2.36 KiB - 28 mal heruntergeladen )


------------------
aktuelle Page

www.tollkuehne-crew.de


Inaktiv
|
Dobi


Rock the board



Herkunft: Erde
Beiträge: 59
# Antwort: 15 - 04.11.2009 um 09:56 Uhr
Die gesamte 1. Zeile in der Datei muss raus.

Das <?PHP stehen lassen.

Ausserdem würd ich empfehlen, alle Dateien nach "security_update" zu durchsuchen. Das gibt es in Clansphere in keiner Datei.


Inaktiv
|
Antworten: 15
Seite [1]


Sie müssen sich registrieren, um zu antworten.