Viren auf meinen Webseiten |
||
---|---|---|
#0
| ||
19.02.2009, 10:51
Member
Beiträge: 18 |
||
|
||
19.02.2009, 12:05
Member
Beiträge: 647 |
#2
Benutzt du irgendeine Forensoftware auf deinen Webseiten, oder ist das alles reines html? Evtl. wäre auch ein link nicht verkehrt, da kann man sich schneller ein Bild machen über welche Lücke da jemand Dateien ausgetauscht hat.
__________ Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen... |
|
|
||
19.02.2009, 13:46
Member
Themenstarter Beiträge: 18 |
#3
Zitat heptamer666 postetehallo, es sind 4 websites, die betroffen waren. Auf einer (zahn-im-netz.de) habe ich auch ein externes Forum eingebunden. Ich bin aber ziemlich sicher, daß der Angriff über Leech Ftp gekommen sein muß, denn eine der Webseiten habe ich seit Jahren nicht mehr betreten - es ist auch fast nichts drauf außer der index-html und einem Bild. Die Zugangsdaten zu dieser website stehen ausschließlich in Leech ftp. Ich kann mir absolut nicht vorstellen, wie jemand anders als mit Leech ftp selbst (wenn z.B. während eines Uploads der port offen war) Zugriff auf meinen Rechner hatte.Die beiden anderen websites sind kostenlose websites von www.kilu.de und www.bplaced.net, auf denen nur ein paar mit jalbum erstellte Fotos sind. Auch bei diesen websites war die index.html mit Datum vom 25.12 überschrieben worden. Leider habe ich diese Dateien sofort gelöscht und somit würde Euch der Link zu den Seiten wohl jetzt nichts mehr nutzen. Da ist im Moment nicht mal mehr eine index.html drauf, denn ich wollte vermeiden, daß sich Besucher infizieren. Tschüß Michael |
|
|
||
19.02.2009, 14:12
Member
Beiträge: 1543 |
#4
Ich persönlich glaube, daß entweder Dein System kompromitiert ist/war, oder (und das ist für mich die wahrscheinlichere Variante) im privaten Umfeld jemand hast, der eben doch an Deinem PC war, während Du im Ausland warst. (Und sich dann evtl. was eingefangen hat?)
Leech FTP ist doch nur ein gängiges Programm und selbst wenn Du da Deine Zugangsdaten gespeichert hast/hattest (geht das? ich kenne das PGM nicht) kommt man da eben nur von innen ran denke ich. Ergo kompromitiert oder jemand aus dem privaten Umfeld. f1: Hatte jemand Zugang? f2: Ist Dein Rechner sauber? Sind nur meine aktuellen Gedanken dazu, lass Dich nicht abhalten, hier von jemanden (bessere) Hilfe zu bekommen. TS |
|
|
||
19.02.2009, 14:33
Member
Themenstarter Beiträge: 18 |
#5
Zitat TurnRstereO postetezu f1: nein, kann ich ausschließen. zu f2: aktuelle Virenprogramme zeigen nichts (Antivir). Kann man sonst noch tests durchführen? Tschüß Michael |
|
|
||
19.02.2009, 19:11
Member
Beiträge: 3716 |
||
|
||
19.02.2009, 22:09
Moderator
Beiträge: 2312 |
#7
Möglich wären ja auch schwache Passwörter bei deinen Webaccounts.
__________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
20.02.2009, 10:10
Member
Beiträge: 1543 |
#8
daran hatte ich auch gedacht.
Aber wie heißt es so schön? Die einfachste Erklärung ist die wahrscheinlichste! Und daß genau in der Zeit wo TE im Ausland ist etwas passiert.... ist einfach zu auffällig. Klar könnte das ein dummer Zufall sein... Möglicherweise ist hier ja auch WLAN im Spiel und jemand aus der Nachbarschaft hatte den Moment abgepasst. Wie auch immer, ich glaube da nicht an einen Zufall. TS Dieser Beitrag wurde am 20.02.2009 um 10:13 Uhr von TurnRstereO editiert.
|
|
|
||
20.02.2009, 10:33
Member
Themenstarter Beiträge: 18 |
#9
Zitat TurnRstereO posteteSehr sehr unwahrscheinlich. 1. Es muß von meinem Laptop ausgegangen sein, denn das Paßwort für eine der Seiten war nur dort zu finden. 2. Der Laptop war während meiner Abwesenheit nicht mit dem Netz oder dem Router verbunden. 3. Im Haus waren keinerlei Einbruchsspuren, der Laptop lag noch genauso versteckt in seiner Ecke, wie ich ihn da hingelegt habe. 4. Warum sollte jemand, der sich Zugang zum Haus und zum Rechner verschafft, ausgerechnet die Zugangswörter für die Webseiten nutzen, um da ein sinnloses Virus unterzubringen. Er hätte weißgott bessere Möglichkeiten, sich Dinge zu verschaffen oder Schaden anzurichten als damit. Tschüß Michael Nachtrag: Ich werde mal die seite von virenfinder abarbeiten - Danke .................................................................. Hallo, hab mal Malwarebytes arbeiten lassen: Habe den Sinowal :-( Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> No action taken. mbr.exe sagt: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully MBR rootkit code detected ! malicious code @ sector 0x951dfc5 size 0x1a9 ! copy of MBR has been found in sector 62 ! MBR rootkit infection detected ! Use: "mbr.exe -f" to fix. Welches Vorgehen wäre jetzt empfehlenswert? Tschüß Michael Dieser Beitrag wurde am 20.02.2009 um 20:42 Uhr von aut editiert.
|
|
|
||
21.02.2009, 11:03
Member
Beiträge: 3716 |
#10
naja wir könnten versuchen den code zu entfernen oder du formatierst, dabei musst du den mbr aber neu schreiben lassen!
|
|
|
||
21.02.2009, 11:11
Member
Themenstarter Beiträge: 18 |
#11
Zitat virenfinder posteteHallo, es ist vielleicht sinnvoller, einen neuen Thread im Viren Trojaner und Malware Forum zu beginnen...das mache ich jetzt Tschüß Michael |
|
|
||
21.02.2009, 11:36
Member
Beiträge: 3716 |
#12
allo ogs posten, combofix hjt und malwarebytes auch das vom mbr rootkit detector.
|
|
|
||
21.02.2009, 11:41
Member
Themenstarter Beiträge: 18 |
#13
Zitat virenfinder postetehallo, habe irgendwo gelesen, daß Combofix auch Schaden anrichten kann, wenn garkeine Malware mehr da ist... Weißt Du was darüber? Tschüß Michael |
|
|
||
21.02.2009, 13:09
Member
Beiträge: 3716 |
#14
combofix könnte (ich sage könnte) teoretisch wie jedes andere programm auch schaden anrichten s hat aber backup funktionen also ausfüren und logs posten
|
|
|
||
bin neu hier, deshalb kann ich nicht einschätzen, ob ich in disem Teilforum richtig bin:
Als ich neulich meine Website besuchte, kam von meiner Antivirensoftware die Meldung, daß ein Virus oder Wurm gefunden wurde "sign of VBS Malware-gen has been found..."
Ich fand heraus, daß es sich um eine infizierte js-Datei und um eine infizierte index.html handelte.
Beide waren am 25.12.08 gegen die echten Dateien asgetauscht worden. Ich war an diesem Tag aber im Ausland. Zu meinem PC hatte niemand Zugang.
Ich habe festgestellt, daß noch weitere index.html Dateien anderer Webseiten auf anderen Servern entsprechend verändert wurden zum selben Datum.
Tatsächlich gab die Antivirensoftware auch Alarm, wenn diese Webseite aufgerufen wurde.
Mit einem der Webhoster hatte ich Kontakt deswegen und er stellte fest, daß die Zugriffe wohl von einem PC in Arizona aus erfolgten...
Ich habe weiter festgestellt, daß ich die Zugangsdaten aller dieser Webseiten in meinem Leech ftp gespeichert habe.
Meine Vermutung:
Jemand hat sich währenmd des Uploads auf eine der Seiten mittels Leech ftp Zugang zu meinem PC verschafft und die Zugangsdaten auch für die anderen Webseiten auslesen können. Später (am 25.12. hat er dann diese Daten genutzt, um auf meinen Webseiten den Wurm/Virus/Trojaner (?) einzubauen.
Meine Frage:
Wie konnte das geschehen und wie kann man es verhindern?
Ich benutze WinXP auf dem Laptop mit WLAN im heimischen Netzwerk und habe keine Firewall außer der Routereigenen.
Tschüß
Michael