JS:Illredir-W auf Webserver |
||
---|---|---|
#0
| ||
24.02.2010, 19:57
...neu hier
Beiträge: 10 |
||
|
||
24.02.2010, 20:10
Member
Beiträge: 3716 |
#2
kannst du mir mal das script sowie die urls schicken, die geöffnet werden, per persönlicher nachicht.
1. hast du deinen pc auf malware geprüft? 2. ist dein cms auf dem neuesten stand sowie evtl. andere instalierte Sachen auf dem server? hast du das letzte mal das passwort geendert? |
|
|
||
24.02.2010, 20:29
...neu hier
Themenstarter Beiträge: 10 |
#3
Hab dir eine PM geschickt
1: bin gerade dabei... 2: Redaxo ist auf dem neusten Stand. Außer Redaxo ist noch mySQLDumper installiert, was aber beim letzten Mal nicht der Fall war. Desweiteren sind noch Redaxo Addons installiert. Habe übriegens auch mal ins Redaxo Forum geschrieben, um zu sehen, ob die mir weiterhelfen können. und nein ich habe das pw nicht geändert...aber wie gesagt wurden die Datein ja wie es scheint nicht über FTP modifiziert. |
|
|
||
24.02.2010, 20:44
Member
Beiträge: 3716 |
#4
das pw gehört trotzdem geendert.
bitte unsere anleitung abarbeiten um zu sehen ob du malware auf dem pc hast. |
|
|
||
24.02.2010, 20:54
...neu hier
Themenstarter Beiträge: 10 |
#5
Ich nehme an du meinst diese Anleitung?
http://board.protecus.de/t12578.htm Melde mich dann wieder, das wird ein bisschen dauern |
|
|
||
24.02.2010, 20:58
Member
Beiträge: 3716 |
||
|
||
24.02.2010, 23:51
...neu hier
Themenstarter Beiträge: 10 |
#7
Hier erstmal das Malwarebytes Log:
Code
Habe alle infizierten Dateien löschen lassen (aber erst nachdem das Log erstellt wurde), wobei 1 und 3 meiner Meinung nach Fehlmeldungen sind. Bleibt der nfoviewer, den ich aber nicht ausgeführt habe. |
|
|
||
25.02.2010, 12:03
Member
Beiträge: 3716 |
#8
mit der ersten exe haben einige ihre probleme bitte gmer und hijackthis.
|
|
|
||
25.02.2010, 12:04
Member
Beiträge: 3716 |
#9
poste auch mal den Redaxo Forum link zu deinem thread dort.
|
|
|
||
25.02.2010, 16:13
...neu hier
Themenstarter Beiträge: 10 |
#10
HijackThis
Code Logfile of Trend Micro HijackThis v2.0.3 (BETA)Gmer versuche ich gleich noch einmal, hab gestern zwei mal einen Bluescreen bekommen unter Windows 7. Hier noch der Link zum Redaxo Forum: http://forum.redaxo.de/ftopic14003.html?&sid=9ee90b789e43c05e9aa4571975232f8a |
|
|
||
25.02.2010, 16:18
Member
Beiträge: 3716 |
#11
der pc ist ok.
windowsupdate.microsoft.com bitte hiermit deine software prüfen, ob updates fällig sind. |
|
|
||
25.02.2010, 16:49
...neu hier
Themenstarter Beiträge: 10 |
#12
Windows Update habe ich ausgeführt, 4 neue Updates waren da.
Diesmal habe ich Google Chrome geschlossen, bevor ich mit Gmer gescannt habe. Gab auch keinen Bluescreen sondern nur eine Fehlermeldung (nach einiger Zeit). Der Bluescreen kam dann erst, als ich Chrome geöffnet habe um hier reinzuschreiben. Es scheint, als ob Gmer entweder mit Google Chrome oder Windows 7 inkompatibel ist. Oder habe ich vielleicht tatsächlich ein Rootkit auf dem Rechner, dass nicht gefunden werden will? Werde es noch einmal im Abgesicherten Modus versuchen. |
|
|
||
25.02.2010, 16:56
Member
Beiträge: 3716 |
#13
bitte mit rechtsklick und als admin ausführen.
auch den secunia geladen? der zeigt dir, was an software außerdem geupdatet werden muss. |
|
|
||
25.02.2010, 18:43
...neu hier
Themenstarter Beiträge: 10 |
#14
Habe leider immer noch das selbe Problem. Auch als Administrator ausgeführt bricht Gmer nach einiger Zeit die Such mit einem Absturz (des Programms) ab (solange Google Chrome geschlossen ist aber immerhin kein Bluescreen).
Gibt es irgendwelche guten Alternativen zu Gmer? Secunia werde ich mal anschauen. |
|
|
||
25.02.2010, 19:05
Member
Beiträge: 3716 |
#15
versuch mal das
http://forum.avira.de/wbb/index.php?page=Thread&threadID=105079 rechtsklick als admin starten. |
|
|
||
als ich heute morgen meine Seite aufraufen wollte, auf der ich das CMS Redaxo installiert habe, bekam ich einen PHP Error. Ein Blick in den Quelltext hat auch schnell offenbart, warum: In der letzten Zeile der redaxo index.php war ein Inline Javascript eingefügt, was innerhalb von <?php ?> natürlich nicht funktionieren kann.
Soweit so gut, fragt sich nur, woher der kryptische Javascript kommt! (Kann den Quelltext bei Bedarf gerne mal posten ) Am Tag davor hat die Seite noch funktioniert und der Skript war noch nicht vorhanden. Hab die Datei mal bei VirusTotal checken lassen und auch promt was gefunden. Habe mal ein bisschen bei Google gesucht, aber viel lässt sich dazu nicht finden. Der Trojaner ist in der Avastdatenbank auch erst seit gestern und in der Sophosdatenbank sogar erst seit heute.
Als nächstes habe ich mal das Änderungsdatum der infizierten Dateien angeschaut (index.php im obersten Verzeichnis und index.php in /redaxo/, möglicherweise noch andere). Die letzten Änderungen waren gestern um 22:18:02 bzw. um 22:26:24. Zu dieser Zeit war mein Rechner definitiv ausgeschaltet und er wurde auch erst heute morgen wieder eingeschaltet. Anschließend habe ich mein FTP Log auf dem Server gecheckt (1und1), da waren die letzte Einträge von gestern um ca. 18 Uhr. Über FTP kann der Trojaner also nicht eingeschleust worden sein. Habe noch die CHMOD der entsprechenden Dateien gecheckt, die stehen auf 644.
Wichtig zu wissen ist auch, dass ich kurz vor Weihnachten bereits ein ähnliches Problem hatte, damals hat NOD32 den Trojaner "JS/TrojanDownloader.Agent.NRL" erkannt, der bei Avast wohl "JS:Illredir-C" heißt - bis auf den letzten Buchstaben also der gleiche Name wie bei meinem jetzigen "Problem".
Damals wie heute habe ich Redaxo zu Testzwecken in einem Unterverzeichnis auf dem Server installiert. Interessanterweise sind die restlichen Dateien auf dem Server absolut "clean", da lässt sich kein Schadcode finden. Da scheint es natürlich nicht unwahrscheinlich, dass das ganze irgend etwas mit Redaxo zu tun hat.
Als ich das Problem zum ersten Mal hatte, habe ich das Verzeichnis schlichtweg gelöscht und gehofft, dass das Problem damit gelöst ist (schließlich waren alle anderen Datein auf dem Server wie gesagt ja sauber). Ich habe also keine Passwörter oder dergleichen geändert.
Wie ich herausgefunden habe, öffnet der Trojaner übriegens verschiedene Dateien auf folgendem Server: h**p://aebn-net.adobe.com.sfgate-com.jerseyhomesite.ru:8080/... Ich denke der interessante Teil der URL ist jerseyhomesite.ru:8080, bei Google habe ich aber nur wenig dazu gefunden.
Hat einer von euch eine Idee, wo der Trojaner herkommen könnte/wie er auf den Server kommen konnte? Was sind weitere Möglichkeiten, Nachforschungen anzustellen?
Hoffe sehr, ihr könnt mir irgendwie weiterhelfen! Danke schon einmal vorab!
Gruß
SmolkaJ