Viren auf meinen Webseiten

#0
19.02.2009, 10:51
Member

Beiträge: 18
#1 Hallo,

bin neu hier, deshalb kann ich nicht einschätzen, ob ich in disem Teilforum richtig bin:

Als ich neulich meine Website besuchte, kam von meiner Antivirensoftware die Meldung, daß ein Virus oder Wurm gefunden wurde "sign of VBS Malware-gen has been found..."

Ich fand heraus, daß es sich um eine infizierte js-Datei und um eine infizierte index.html handelte.

Beide waren am 25.12.08 gegen die echten Dateien asgetauscht worden. Ich war an diesem Tag aber im Ausland. Zu meinem PC hatte niemand Zugang.

Ich habe festgestellt, daß noch weitere index.html Dateien anderer Webseiten auf anderen Servern entsprechend verändert wurden zum selben Datum.

Tatsächlich gab die Antivirensoftware auch Alarm, wenn diese Webseite aufgerufen wurde.

Mit einem der Webhoster hatte ich Kontakt deswegen und er stellte fest, daß die Zugriffe wohl von einem PC in Arizona aus erfolgten...

Ich habe weiter festgestellt, daß ich die Zugangsdaten aller dieser Webseiten in meinem Leech ftp gespeichert habe.

Meine Vermutung:
Jemand hat sich währenmd des Uploads auf eine der Seiten mittels Leech ftp Zugang zu meinem PC verschafft und die Zugangsdaten auch für die anderen Webseiten auslesen können. Später (am 25.12. hat er dann diese Daten genutzt, um auf meinen Webseiten den Wurm/Virus/Trojaner (?) einzubauen.

Meine Frage:
Wie konnte das geschehen und wie kann man es verhindern?

Ich benutze WinXP auf dem Laptop mit WLAN im heimischen Netzwerk und habe keine Firewall außer der Routereigenen.

Tschüß
Michael
Seitenanfang Seitenende
19.02.2009, 12:05
Member

Beiträge: 647
#2 Benutzt du irgendeine Forensoftware auf deinen Webseiten, oder ist das alles reines html? Evtl. wäre auch ein link nicht verkehrt, da kann man sich schneller ein Bild machen über welche Lücke da jemand Dateien ausgetauscht hat.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
19.02.2009, 13:46
Member

Themenstarter

Beiträge: 18
#3

Zitat

heptamer666 postete
Benutzt du irgendeine Forensoftware auf deinen Webseiten, oder ist das alles reines html? Evtl. wäre auch ein link nicht verkehrt, da kann man sich schneller ein Bild machen über welche Lücke da jemand Dateien ausgetauscht hat.
hallo,

es sind 4 websites, die betroffen waren. Auf einer (zahn-im-netz.de) habe ich auch ein externes Forum eingebunden.

Ich bin aber ziemlich sicher, daß der Angriff über Leech Ftp gekommen sein muß, denn eine der Webseiten habe ich seit Jahren nicht mehr betreten - es ist auch fast nichts drauf außer der index-html und einem Bild. Die Zugangsdaten zu dieser website stehen ausschließlich in Leech ftp.

Ich kann mir absolut nicht vorstellen, wie jemand anders als mit Leech ftp selbst (wenn z.B. während eines Uploads der port offen war) Zugriff auf meinen Rechner hatte.Die beiden anderen websites sind kostenlose websites von www.kilu.de und www.bplaced.net, auf denen nur ein paar mit jalbum erstellte Fotos sind. Auch bei diesen websites war die index.html mit Datum vom 25.12 überschrieben worden.

Leider habe ich diese Dateien sofort gelöscht und somit würde Euch der Link zu den Seiten wohl jetzt nichts mehr nutzen. Da ist im Moment nicht mal mehr eine index.html drauf, denn ich wollte vermeiden, daß sich Besucher infizieren.


Tschüß
Michael
Seitenanfang Seitenende
19.02.2009, 14:12
Member
Avatar TurnRstereO

Beiträge: 1543
#4 Ich persönlich glaube, daß entweder Dein System kompromitiert ist/war, oder (und das ist für mich die wahrscheinlichere Variante) im privaten Umfeld jemand hast, der eben doch an Deinem PC war, während Du im Ausland warst. (Und sich dann evtl. was eingefangen hat?)

Leech FTP ist doch nur ein gängiges Programm und selbst wenn Du da Deine Zugangsdaten gespeichert hast/hattest (geht das? ich kenne das PGM nicht) kommt man da eben nur von innen ran denke ich. Ergo kompromitiert oder jemand aus dem privaten Umfeld.

f1: Hatte jemand Zugang?
f2: Ist Dein Rechner sauber?

Sind nur meine aktuellen Gedanken dazu, lass Dich nicht abhalten, hier von jemanden (bessere) Hilfe zu bekommen.

TS
Seitenanfang Seitenende
19.02.2009, 14:33
Member

Themenstarter

Beiträge: 18
#5

Zitat

TurnRstereO postete


f1: Hatte jemand Zugang?
f2: Ist Dein Rechner sauber?

Sind nur meine aktuellen Gedanken dazu, lass Dich nicht abhalten, hier von jemanden (bessere) Hilfe zu bekommen.

TS
zu f1: nein, kann ich ausschließen.
zu f2: aktuelle Virenprogramme zeigen nichts (Antivir). Kann man sonst noch tests durchführen?

Tschüß
Michael
Seitenanfang Seitenende
19.02.2009, 19:11
Member

Beiträge: 3716
#6 http://board.protecus.de/t23187.htm
kannst ja mal abarbeiten
Seitenanfang Seitenende
19.02.2009, 22:09
Moderator
Avatar hevtig

Beiträge: 2312
#7 Möglich wären ja auch schwache Passwörter bei deinen Webaccounts.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
20.02.2009, 10:10
Member
Avatar TurnRstereO

Beiträge: 1543
#8 daran hatte ich auch gedacht.
Aber wie heißt es so schön?

Die einfachste Erklärung ist die wahrscheinlichste!

Und daß genau in der Zeit wo TE im Ausland ist etwas passiert.... ist einfach zu auffällig.
Klar könnte das ein dummer Zufall sein...

Möglicherweise ist hier ja auch WLAN im Spiel und jemand aus der Nachbarschaft hatte den Moment abgepasst.
Wie auch immer, ich glaube da nicht an einen Zufall.

TS
Dieser Beitrag wurde am 20.02.2009 um 10:13 Uhr von TurnRstereO editiert.
Seitenanfang Seitenende
20.02.2009, 10:33
Member

Themenstarter

Beiträge: 18
#9

Zitat

TurnRstereO postete
daran hatte ich auch gedacht.
Aber wie heißt es so schön?

Die einfachste Erklärung ist die wahrscheinlichste!

Und daß genau in der Zeit wo TE im Ausland ist etwas passiert.... ist einfach zu auffällig.
Klar könnte das ein dummer Zufall sein...

Möglicherweise ist hier ja auch WLAN im Spiel und jemand aus der Nachbarschaft hatte den Moment abgepasst.
Wie auch immer, ich glaube da nicht an einen Zufall.

TS
Sehr sehr unwahrscheinlich.

1. Es muß von meinem Laptop ausgegangen sein, denn das Paßwort für eine der Seiten war nur dort zu finden.

2. Der Laptop war während meiner Abwesenheit nicht mit dem Netz oder dem Router verbunden.

3. Im Haus waren keinerlei Einbruchsspuren, der Laptop lag noch genauso versteckt in seiner Ecke, wie ich ihn da hingelegt habe.

4. Warum sollte jemand, der sich Zugang zum Haus und zum Rechner verschafft, ausgerechnet die Zugangswörter für die Webseiten nutzen, um da ein sinnloses Virus unterzubringen. Er hätte weißgott bessere Möglichkeiten, sich Dinge zu verschaffen oder Schaden anzurichten als damit.


Tschüß

Michael


Nachtrag:

Ich werde mal die seite von virenfinder abarbeiten - Danke


..................................................................



Hallo,

hab mal Malwarebytes arbeiten lassen: Habe den Sinowal :-(

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> No action taken.

mbr.exe sagt:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x951dfc5 size 0x1a9 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.



Welches Vorgehen wäre jetzt empfehlenswert?

Tschüß

Michael
Dieser Beitrag wurde am 20.02.2009 um 20:42 Uhr von aut editiert.
Seitenanfang Seitenende
21.02.2009, 11:03
Member

Beiträge: 3716
#10 naja wir könnten versuchen den code zu entfernen oder du formatierst, dabei musst du den mbr aber neu schreiben lassen!
Seitenanfang Seitenende
21.02.2009, 11:11
Member

Themenstarter

Beiträge: 18
#11

Zitat

virenfinder postete
naja wir könnten versuchen den code zu entfernen oder du formatierst, dabei musst du den mbr aber neu schreiben lassen!
Hallo,

es ist vielleicht sinnvoller, einen neuen Thread im Viren Trojaner und Malware Forum zu beginnen...das mache ich jetzt

Tschüß
Michael
Seitenanfang Seitenende
21.02.2009, 11:36
Member

Beiträge: 3716
#12 allo ogs posten, combofix hjt und malwarebytes auch das vom mbr rootkit detector.
Seitenanfang Seitenende
21.02.2009, 11:41
Member

Themenstarter

Beiträge: 18
#13

Zitat

virenfinder postete
allo ogs posten, combofix hjt und malwarebytes auch das vom mbr rootkit detector.
hallo,

habe irgendwo gelesen, daß Combofix auch Schaden anrichten kann, wenn garkeine Malware mehr da ist...

Weißt Du was darüber?

Tschüß
Michael
Seitenanfang Seitenende
21.02.2009, 13:09
Member

Beiträge: 3716
#14 combofix könnte (ich sage könnte) teoretisch wie jedes andere programm auch schaden anrichten s hat aber backup funktionen also ausfüren und logs posten
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: