ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Malware-Bedrohung O.O

Geschlossen
  1. Di. 28.05.2013 23:08 Uhr #1
    User Pic
    Cookie2788 Mitglied
    Registriert seit
    12.02.2013
    Beiträge
    16
    Beitragswertungen
    0 Beitragspunkte
    Hallo ihr Lieben,

    ich bin akut arg verzweifelt. Und zwar wird meine HP bei Norten, Chrome & Firefox als Malware-Infiziert und "Bedrohung" gemeldet.

    auch unter dem Malware-Online test unter website-klinik.de/?scan=http%3A%2F%2Fwww.realistic-minecraft.de%2F#scan wird dies bestätigt.

    Allerdings habe ich die kompletten Dateien, die dort aufgeführt werden überprüft und auch noch mal die Dateien mit einer anfänglichen Sicherheitskopie ersetzt. Leider vergeblich.

    Norten zeigt nach wie vor
    ZitatZitat
    Kategorie:Intrusion Prevention
    Datum/Uhrzeit,Risiko,Aktivität,Status,Empfohlene Aktion,Name der IPS-Warnung,Standardaktionen,Durchgeführte Aktion,Angreifender Computer,Angreifer-URL,Zieladresse,Quelladresse,Beschreibung des Datenverkehrs
    28.05.2013 22:57:17,Hoch,Ein Eindringversuch von 217.237.149.142 wurde blockiert.,Blockiert,Keine Aktion erforderlich,Web Attack: Mass Injection Website 5,Keine Aktion erforderlich,Keine Aktion erforderlich,"217.237.149.142, 80",www.realistic-minecraft.de/,"MUSH-PC (192.168.2.104, 60138)",217.237.149.142,"TCP, www-http"
    Netzwerkverkehr von <b>www.realistic-minecraft.de/</b> entspricht der Signatur eines bekannten Angriffs. Der Angriff wurde von \DEVICE\HARDDISKVOLUME2\USERS\MUSH\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\CHROME.EXE verursacht. Wenn Sie keine weiteren Benachrichtigungen über diese Art von Netzwerkverkehr erhalten möchten, klicken Sie unter <b>"Aktionen"</b> auf <b>"Nicht mehr benachrichtigen"</b>.



    an.

    Mit dem Google Safe Browsing ( google.com/safebrowsing/diagnostic?site=http://realistic-mc.bplaced.net/ ) wird auch nichts erkannt.

    Kennt sich da jemand aus? Ich werd noch verrückt traurig

    betroffene Homepage: externer Link
    0 Mitglieder finden den Beitrag gut.
  2. Di. 28.05.2013 23:34 Uhr #2
    User Pic
    Ahrtas Moderator
    Registriert seit
    17.12.2007
    Beiträge
    2.368
    Beitragswertungen
    210 Beitragspunkte
    Schau mal in allen Dateien die den Namen "index" haben also in htm-,php-dateien usw...
    Gut möglich dass sich dort irgendwo ein iframe oder ähnliches eingeschlichen hat.
    Ansonsten noch Verzeichnisse durchsuchen auf ungewöhnliche Dateien.
    0 Mitglieder finden den Beitrag gut.
  3. Mi. 29.05.2013 01:31 Uhr #3
    User Pic
    Cookie2788 Mitglied
    Registriert seit
    12.02.2013
    Beiträge
    16
    Beitragswertungen
    0 Beitragspunkte
    Danke für die schnelle Hilfe,


    leider konnte ich damit nicht viel anfangen. ich habe zwar immer wieder in den verschiedensten Dateien ungewöhnlichen Quelltext entdeckt und entfernt, leider wurde die Warnung nicht aufgehoben.

    Also habe ich komplett ein altes Backup genutzt und übergespielt und die "verseuchten" Dateien entfernt.


    Laut dem Test sitecheck.sucuri.net/results/www.realistic-minecraft.de scheint nun alles clean zu sein, warum der erste Test, den ich gepostet habe immer noch die Fehlermeldungen anzeigt, ist mir n rätsel o.O
    0 Mitglieder finden den Beitrag gut.
  4. Mi. 29.05.2013 08:30 Uhr #4
    User Pic
    Rock@wulf Hall Of Fame
    Registriert seit
    03.06.2004
    Beiträge
    3.282
    Beitragswertungen
    239 Beitragspunkte
    1. Eigenen PC checken auf Maleware, Keylogger & Co
    2. Alle Passwörter wechseln! Email, Webspace admin, FTP, seiten admin, DB
    3.1 Wenn ein Backup da ist, den Webspace platt machen, mit DB und dann Backup rauf.
    3.2 Wenn kein backup da ist... A****Karte. Alle datein auf code untersuchen der da nich hingehört.

    danach sollte das nicht mehr auftreten
    Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
    MFG Rock@wulf
    0 Mitglieder finden den Beitrag gut.
  5. Mi. 29.05.2013 12:44 Uhr #5
    User Pic
    Cookie2788 Mitglied
    Registriert seit
    12.02.2013
    Beiträge
    16
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von Rockwulf

    1. Eigenen PC checken auf Maleware, Keylogger & Co
    2. Alle Passwörter wechseln! Email, Webspace admin, FTP, seiten admin, DB
    3.1 Wenn ein Backup da ist, den Webspace platt machen, mit DB und dann Backup rauf.
    3.2 Wenn kein backup da ist... A****Karte. Alle datein auf code untersuchen der da nich hingehört.

    danach sollte das nicht mehr auftreten


    1. gemacht
    2. was ist DB? den rest habe ich logischer weise gemacht
    3.1 webspace mit fehlercode komplett platt gemacht und das Backup aufgespielt.


    weiß jemand, wie das überhaupt passieren konnte? sind solche sicherheitslücken normal? oder habe ich ggf beim installieren etwas falsch gemacht? schockiert
    0 Mitglieder finden den Beitrag gut.
  6. Mi. 29.05.2013 12:50 Uhr #6
    User Pic
    holz Hall Of Fame
    Registriert seit
    17.11.2005
    Beiträge
    4.606
    Beitragswertungen
    117 Beitragspunkte
    DB = datenbank ....
    0 Mitglieder finden den Beitrag gut.
  7. Mi. 29.05.2013 17:50 Uhr #7
    User Pic
    Cookie2788 Mitglied
    Registriert seit
    12.02.2013
    Beiträge
    16
    Beitragswertungen
    0 Beitragspunkte
    Hallo,


    heute Nacht habe ich es neu aufgespielt und von Norten & co getestet, da war alles in ordnung. heute ist schon wieder dieser komische Code im Index.php zu sehen und wird wieder geblockt >.<

    irgendwo scheint ne riesen Sicherheitslücke zu sein, dass es sich immer wieder einnistet. ich verstehe es nicht >.<
    0 Mitglieder finden den Beitrag gut.
  8. Mi. 29.05.2013 18:20 Uhr #8
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    Hast du weitere PHP Scripte auf dem Server liegen? (Weiteres CMS / Kalender / Shops ....)
    Hast du bereits, wie zuvor vorgschlagen, deine Passwörter für FTP / MySQL / Admin Accounts Script geändert?
    Hast du deinen Rechner gecheckt, Virenscanner + z.b. Malwarebytes
    Welches FTP Programm benutzt du?
    Prüfmal ob in den Ordnern neue Dateien drin sind, (PHP). Welche nicht zum Ilch System passen. (evt. am Namen zu erkennen)


    Zuletzt modifiziert von Revolution am 29.05.2013 - 18:22:18
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  9. Mi. 29.05.2013 19:32 Uhr #9
    User Pic
    Cookie2788 Mitglied
    Registriert seit
    12.02.2013
    Beiträge
    16
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von Revolution

    Hast du weitere PHP Scripte auf dem Server liegen? (Weiteres CMS / Kalender / Shops ....)
    Hast du bereits, wie zuvor vorgschlagen, deine Passwörter für FTP / MySQL / Admin Accounts Script geändert?
    Hast du deinen Rechner gecheckt, Virenscanner + z.b. Malwarebytes
    Welches FTP Programm benutzt du?
    Prüfmal ob in den Ordnern neue Dateien drin sind, (PHP). Welche nicht zum Ilch System passen. (evt. am Namen zu erkennen)


    Zuletzt modifiziert von Revolution am 29.05.2013 - 18:22:18


    Also ich habe nur das ilch script drauf mit verschiedenen Modulen - wie zB. verbesserte Memberliste & Profilansicht, bbcode, tiltviewer etc. )
    ja, ich habe erst meinen Pc komplett gecheckt, und anschließend alle passwörter für ftp, mysql und die PWs für den Admin Account geändert.
    Ich benutze Filezilla.
    Die Ordner habe ich gestern bereits auf neue Dateien geprüft und nichts ungewöhnliches feststellen können.

    :(((


    :((((


    Zuletzt modifiziert von Cookie2788 am 29.05.2013 - 19:36:33
    0 Mitglieder finden den Beitrag gut.
  10. Mi. 29.05.2013 22:27 Uhr #10
    User Pic
    Ahrtas Moderator
    Registriert seit
    17.12.2007
    Beiträge
    2.368
    Beitragswertungen
    210 Beitragspunkte
    Kann auch vom Hoster kommen... derartige Probleme sind mir von diversen großen Free Hoster (Anbieter für kostenlosen Webspace) bekannt.

    Mal beim Hoster anfragen, ob du ein Einzelfall bist oder mehrere solche Fälle gemeldet wurden, ggf. liegts am Hoster und er merkt es nicht ( xD ) oder ist schon drann den Fehler in den Griff zu bekommen.
    0 Mitglieder finden den Beitrag gut.
  11. Mi. 29.05.2013 22:38 Uhr #11
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    Es gibt halt sehr viele Varianten, das Problem (Einfallstor) kann auch bei einem andern Kunden des Webspace Hoster liegen. Dazu muss es sich nichtmal um ein Freehoster handeln. (Mit dem du dir den Server teilst)

    Ich hab vor Jahren mal eine Sicherheitslücke in Filezilla angesprochen und wie alle anderen die so etwas tun, nur Kritik dafür bekommen. Tatsache ist das Filezilla (wenn die Zugangsdaten gespeichert werden) ein hohes Sicherheitsrisiko ist und daran wird sich auch nie was ändern. Weil die Programmier einfach eine roser Brille aufhaben.

    Wenn du also Filezilla benutzt, und die Passwörter speicherst, könnte es daran liegen, da diese im Klartext gespeichert werden. Es ist ein Kinderspiel diese Datei mit einem Programm auszulsen (selbst getestet).

    UserVerzeichnis/Appdata/Roaming/Filezilla/recentservers.xml
    und sitemanager.xml

    Wie gesagt, es ist auch nur eine von vielen Möglichkeiten...


    Zuletzt modifiziert von Revolution am 29.05.2013 - 22:40:20
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  12. Do. 30.05.2013 03:47 Uhr #12
    User Pic
    Cookie2788 Mitglied
    Registriert seit
    12.02.2013
    Beiträge
    16
    Beitragswertungen
    0 Beitragspunkte
    Ohje,


    vielen vielen Dank bereits für die Hilfe.
    Gibt es ggf. ein alternatives Programm, ähnlich wie Filezilla, welches ihr empfehlen könnt?

    Ich habe den Hoster nun mal kontaktiert und habe ihm die Situation geschildert und darum gebeten, das im Auge zu behalten und / oder ggf. Maßnahmen in Angriff zu nehmen.

    Ich habe nun vorhin noch mal komplett alles gewechselt und geändert und wieder das backup aufgespielt. Bislang erfolgreich. Mal sehen, obs nun so bleibt o.o Diesmal habe ich die Daten von einem anderen Rechner aufgespielt, dessen Windows erst vor ein paar tagen neu installiert wurde. Dementsprechend ist dort die Wahrscheinlichkeit, dass dort irgendwelche Viren ihr Unwesen treiben ( sollte es denn bei meinem anderen Desktop der Fall gewesen sein) doch sehr gering. Auch die Passwörter wurden hier geändert und auf dem "ggf. verseuchten" Rechner nicht mehr benutzt.
    Sollte also nun noch mal eine Änderung der Dateien durchgeführt werden, so könnte man ja eigentlich davon ausgehen, dass der "Fehler" nicht auf meiner Seite liegt, oder?


    vielen vielen Dank noch mal für die Tatkräftige Unterstützung! lächeln
    0 Mitglieder finden den Beitrag gut.
  13. Do. 30.05.2013 06:35 Uhr #13
    User Pic
    she Mitglied
    Registriert seit
    13.11.2010
    Beiträge
    1.115
    Beitragswertungen
    82 Beitragspunkte
    ZitatZitat geschrieben von Cookie2788

    Ohje,


    vielen vielen Dank bereits für die Hilfe.
    Gibt es ggf. ein alternatives Programm, ähnlich wie Filezilla, welches ihr empfehlen könnt?

    Ich habe den Hoster nun mal kontaktiert und habe ihm die Situation geschildert und darum gebeten, das im Auge zu behalten und / oder ggf. Maßnahmen in Angriff zu nehmen.


    Es liegt nicht im Rahmen eines Internet Hosters deine Domain zuueberpruefen. Du solltest schon deinen Rechner von Viren/Trojaner oder Wuermer sauberhalten. Etwaige Plugins die Schadecodes einspielen koennen solltest du auch "Entfernen" bzw. Verbessern.

    Du gehst ja auch nicht zur Telekom und sagst mein PC ist Virenverseucht koennten Sie bitte meine Verbindung von meinen PC zum Internet stets Ueberwachen ggf. auch "Blockieren".
    Google+ shelfinger.eu
    Das Wissen verfolgt mich - doch ich bin schneller!
    0 Mitglieder finden den Beitrag gut.
  14. Do. 30.05.2013 12:22 Uhr #14
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    Nun du kannst FileZilla nutzen, nur das PW sollte nicht gespeichert werden.
    Schau mal im Internet nach Filezilla und KeyPass (gibt auch andere Tools die das PW speichern können und in Filezilla eintragen)

    Wenn es den die Lösung ist
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  15. Do. 30.05.2013 20:48 Uhr #15
    User Pic
    Cookie2788 Mitglied
    Registriert seit
    12.02.2013
    Beiträge
    16
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von she

    ZitatZitat geschrieben von Cookie2788

    Ohje,


    vielen vielen Dank bereits für die Hilfe.
    Gibt es ggf. ein alternatives Programm, ähnlich wie Filezilla, welches ihr empfehlen könnt?

    Ich habe den Hoster nun mal kontaktiert und habe ihm die Situation geschildert und darum gebeten, das im Auge zu behalten und / oder ggf. Maßnahmen in Angriff zu nehmen.


    Es liegt nicht im Rahmen eines Internet Hosters deine Domain zuueberpruefen. Du solltest schon deinen Rechner von Viren/Trojaner oder Wuermer sauberhalten. Etwaige Plugins die Schadecodes einspielen koennen solltest du auch "Entfernen" bzw. Verbessern.

    Du gehst ja auch nicht zur Telekom und sagst mein PC ist Virenverseucht koennten Sie bitte meine Verbindung von meinen PC zum Internet stets Ueberwachen ggf. auch "Blockieren".


    nun ja, was soll ich nun dazu sagen? No shit?! ^^ jap. das passt ^^
    So völlig aus dem Kontext gerissen, lasse ich das nun mal so stehen lachen



    Danke Dir, Revolution lächeln
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten