JS:Illredir-W auf Webserver

#1 Hallo,

als ich heute morgen meine Seite aufraufen wollte, auf der ich das CMS Redaxo installiert habe, bekam ich einen PHP Error. Ein Blick in den Quelltext hat auch schnell offenbart, warum: In der letzten Zeile der redaxo index.php war ein Inline Javascript eingefügt, was innerhalb von <?php ?> natürlich nicht funktionieren kann.

Soweit so gut, fragt sich nur, woher der kryptische Javascript kommt! (Kann den Quelltext bei Bedarf gerne mal posten ) Am Tag davor hat die Seite noch funktioniert und der Skript war noch nicht vorhanden. Hab die Datei mal bei VirusTotal checken lassen und auch promt was gefunden. Habe mal ein bisschen bei Google gesucht, aber viel lässt sich dazu nicht finden. Der Trojaner ist in der Avastdatenbank auch erst seit gestern und in der Sophosdatenbank sogar erst seit heute.

Als nächstes habe ich mal das Änderungsdatum der infizierten Dateien angeschaut (index.php im obersten Verzeichnis und index.php in /redaxo/, möglicherweise noch andere). Die letzten Änderungen waren gestern um 22:18:02 bzw. um 22:26:24. Zu dieser Zeit war mein Rechner definitiv ausgeschaltet und er wurde auch erst heute morgen wieder eingeschaltet. Anschließend habe ich mein FTP Log auf dem Server gecheckt (1und1), da waren die letzte Einträge von gestern um ca. 18 Uhr. Über FTP kann der Trojaner also nicht eingeschleust worden sein. Habe noch die CHMOD der entsprechenden Dateien gecheckt, die stehen auf 644.

Wichtig zu wissen ist auch, dass ich kurz vor Weihnachten bereits ein ähnliches Problem hatte, damals hat NOD32 den Trojaner "JS/TrojanDownloader.Agent.NRL" erkannt, der bei Avast wohl "JS:Illredir-C" heißt - bis auf den letzten Buchstaben also der gleiche Name wie bei meinem jetzigen "Problem".

Damals wie heute habe ich Redaxo zu Testzwecken in einem Unterverzeichnis auf dem Server installiert. Interessanterweise sind die restlichen Dateien auf dem Server absolut "clean", da lässt sich kein Schadcode finden. Da scheint es natürlich nicht unwahrscheinlich, dass das ganze irgend etwas mit Redaxo zu tun hat.

Als ich das Problem zum ersten Mal hatte, habe ich das Verzeichnis schlichtweg gelöscht und gehofft, dass das Problem damit gelöst ist (schließlich waren alle anderen Datein auf dem Server wie gesagt ja sauber). Ich habe also keine Passwörter oder dergleichen geändert.

Wie ich herausgefunden habe, öffnet der Trojaner übriegens verschiedene Dateien auf folgendem Server: h**p://aebn-net.adobe.com.sfgate-com.jerseyhomesite.ru:8080/... Ich denke der interessante Teil der URL ist jerseyhomesite.ru:8080, bei Google habe ich aber nur wenig dazu gefunden.

Hat einer von euch eine Idee, wo der Trojaner herkommen könnte/wie er auf den Server kommen konnte? Was sind weitere Möglichkeiten, Nachforschungen anzustellen?

Hoffe sehr, ihr könnt mir irgendwie weiterhelfen! Danke schon einmal vorab!

Gruß
SmolkaJ

#2 kannst du mir mal das script sowie die urls schicken, die geöffnet werden, per persönlicher nachicht.
1. hast du deinen pc auf malware geprüft?
2.
ist dein cms auf dem neuesten stand sowie evtl. andere instalierte Sachen auf dem server?
hast du das letzte mal das passwort geendert?

#3 Hab dir eine PM geschickt

1: bin gerade dabei...
2: Redaxo ist auf dem neusten Stand. Außer Redaxo ist noch mySQLDumper installiert, was aber beim letzten Mal nicht der Fall war. Desweiteren sind noch Redaxo Addons installiert. Habe übriegens auch mal ins Redaxo Forum geschrieben, um zu sehen, ob die mir weiterhelfen können.

und nein ich habe das pw nicht geändert...aber wie gesagt wurden die Datein ja wie es scheint nicht über FTP modifiziert.

#4 das pw gehört trotzdem geendert.
bitte unsere anleitung abarbeiten um zu sehen ob du malware auf dem pc hast.

#5 Ich nehme an du meinst diese Anleitung?
http://board.protecus.de/t12578.htm
Melde mich dann wieder, das wird ein bisschen dauern

#6 http://board.protecus.de/t23187.htm

#7 Hier erstmal das Malwarebytes Log:

Code

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3785
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

24.02.2010 21:20:07
mbam-log-2010-02-24 (21-20-00).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 307360
Laufzeit: 1 hour(s), 10 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files\FritzBoxReconnect\nc.exe (PUP.KeyLogger) -> No action taken.
C:\OLD\Software Backup\***\nfoviewer.exe (Trojan.Agent) -> No action taken.
C:\Users\ME\Desktop\oldDesktop\u98.exe (Adware.UltraReach) -> No action taken.

Habe alle infizierten Dateien löschen lassen (aber erst nachdem das Log erstellt wurde), wobei 1 und 3 meiner Meinung nach Fehlmeldungen sind. Bleibt der nfoviewer, den ich aber nicht ausgeführt habe.

#8 mit der ersten exe haben einige ihre probleme bitte gmer und hijackthis.

#9 poste auch mal den Redaxo Forum link zu deinem thread dort.

#10 HijackThis

Code

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:08:31, on 25.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\own\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\own\FileZilla FTP Client\filezilla.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\Steffen\AppData\Local\Google\Google Talk Plugin\googletalkplugin.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\own\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.spybye.org:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\own\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\own\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\own\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\own\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\own\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Steffen\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\own\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\own\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\own\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\own\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\own\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\own\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\own\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\own\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verkn�pfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\own\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verkn�pfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\own\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\own\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\own\ICQ7.0\ICQ.exe
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\own\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\own\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Virtual CD v10 Management Service (VC10SecS) - H+H Software GmbH - C:\Program Files\own\Virtual CD v10\System\VC10SecS.exe

--
End of file - 6998 bytes

Gmer versuche ich gleich noch einmal, hab gestern zwei mal einen Bluescreen bekommen unter Windows 7.

Hier noch der Link zum Redaxo Forum:
http://forum.redaxo.de/ftopic14003.html?&sid=9ee90b789e43c05e9aa4571975232f8a

#11 der pc ist ok.
windowsupdate.microsoft.com
bitte hiermit deine software prüfen, ob updates fällig sind.

#12 Windows Update habe ich ausgeführt, 4 neue Updates waren da.
Diesmal habe ich Google Chrome geschlossen, bevor ich mit Gmer gescannt habe. Gab auch keinen Bluescreen sondern nur eine Fehlermeldung (nach einiger Zeit). Der Bluescreen kam dann erst, als ich Chrome geöffnet habe um hier reinzuschreiben.
Es scheint, als ob Gmer entweder mit Google Chrome oder Windows 7 inkompatibel ist. Oder habe ich vielleicht tatsächlich ein Rootkit auf dem Rechner, dass nicht gefunden werden will?

Werde es noch einmal im Abgesicherten Modus versuchen.

#13 bitte mit rechtsklick und als admin ausführen.
auch den secunia geladen? der zeigt dir, was an software außerdem geupdatet werden muss.

#14 Habe leider immer noch das selbe Problem. Auch als Administrator ausgeführt bricht Gmer nach einiger Zeit die Such mit einem Absturz (des Programms) ab (solange Google Chrome geschlossen ist aber immerhin kein Bluescreen).
Gibt es irgendwelche guten Alternativen zu Gmer?
Secunia werde ich mal anschauen.

#15 versuch mal das
http://forum.avira.de/wbb/index.php?page=Thread&threadID=105079
rechtsklick als admin starten.