Der folgende Beitrag wurde am 18. 12. 2008, 09:59 Uhr von Honda veröffentlicht.
Hallo,
hat jemand von Euch schon mal das Problem gehabt, dass im Quelltext plötzlich nach dem <body>-tag ein leerer Iframe mit einem <script>...</script> steht?
Ich verwende auf der Seite einen Iframe,.. dieser ist dafür verschwunden,.. d.h. durch den obigen offenbar ersetzt worden.
D.h. es wurde ein Trojaner eingeschleust (sagt zumindest McAffee wenn ich das script downloaden möchte).
Wie kann das passieren?
Gruß,
Honda
Der folgende Beitrag wurde am 18. 12. 2008, 10:03 Uhr von LX veröffentlicht.
Jemand bösartiges hat die Sicherheitsmechanismen Deines Servers (passwortgeschützter Zugang, SSL-Protokoll, etc.) auf irgendeine Weise kompromittiert. Ändere sofort alle bestehenden Passwörter, lösche alle Accounts, die Du nicht benötigst, prüfe sämtliche Init-Scripte und die Konfigurationsdateien sämtlicher Serverdienste auf Veränderungen und starte den Server neu.
Gruß, LX
--
X-Self-Code: sh:( fo:) ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: Unusual
X-Please-Search-Archive-First: Absolutely Yes
Der folgende Beitrag wurde am 18. 12. 2008, 10:16 Uhr von Honda veröffentlicht.
Hallo LX;
danke für den Hinweis.
Ich hab jetzt mal in confixx das FTP-Passwort geändert.
Der Code wird seit kurzem offenbar immer um Mitternacht eingeschleust. Hoffe, dass es diesmal nicht der Fall ist.
Gruß,
Honda
Der folgende Beitrag wurde am 18. 12. 2008, 10:25 Uhr von steckl veröffentlicht.
Hi,
> Ich hab jetzt mal in confixx das FTP-Passwort geändert.
> Der Code wird seit kurzem offenbar immer um Mitternacht eingeschleust. Hoffe, dass es diesmal nicht der Fall ist.
Es ist gut moeglich, dass du irgendwo auf dem Server ein Script liegen hast, das den Code automatisch neu generiert.
mfG,
steckl
Der folgende Beitrag wurde am 18. 12. 2008, 10:28 Uhr von Honda veröffentlicht.
> Es ist gut moeglich, dass du irgendwo auf dem Server ein Script liegen hast, das den Code automatisch neu generiert.
wie finde ich den am besten... indem ich alle dateien nach <script> durchsuche?
Gruß,
Honda
Der folgende Beitrag wurde am 18. 12. 2008, 10:42 Uhr von Cheatah veröffentlicht.
Hi,
> wie finde ich den am besten... indem ich alle dateien nach <script> durchsuche?
nein, Dein Server interpretiert kein HTML, und das Betriebssystem, auf dem er läuft, ebenfalls nicht. Ein Anfang wären cron-Jobs (ich vermute einfach mal ein Linux-System). Durchsuche auch alle Verzeichnisse, auf die Du und der Server Zugriff haben, nach Dateien, die Du nicht kennst, und untersuche ihre Funktion.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes
Der folgende Beitrag wurde am 18. 12. 2008, 10:58 Uhr von steckl veröffentlicht.
Hi,
> > Es ist gut moeglich, dass du irgendwo auf dem Server ein Script liegen hast, das den Code automatisch neu generiert.
>
> wie finde ich den am besten... indem ich alle dateien nach <script> durchsuche?
Es ist gut moeglich, dass <script> nicht im Klartext in der Datei steht und Du es nicht finden kannst. Oder wenn es sich um eine kompilierte exe-Datei handelt wirst Du auch Pech haben.
Am sichersten wäre es, wenn Du den Server komplett neu aufsetzt, falls du die Moeglichkeit dazu hast. Dabei solltest du nur Dateien sichern, von denen du weißt, dass sie nicht infiziert sind.
Wenn Dir das uebertrieben erscheint koenntest Du vielleicht mal nach allen Dateien suchen, die sich seit der Zeit, als noch alles funktionierte, geaendert haben und diese ueberpruefen. Wie du das am besten machst haengt vom System und den Zugriffsmoeglichkeiten auf den Server ab.
mfG,
steckl
© 1998-2013 SELFHTMLImpressumSoftware: Classic Forum 3.4