ComputerBase Menü
Aktuelles

Malware-Problem auf diversen Webseiten

marvinm

marvinm

Cadet 3rd Year
Registriert
Okt. 2011
Beiträge
35
hallo,

habe kürzlich alle meine webseiten (liegena alle auf demselben server) via sitecheck.sucuri.net auf malware prüfen lassen und bekam ein recht erschreckendes ergebnis:

malware.png

bei allen webseiten wird diese meldung angezeigt. die angegebene codezeile konnte ich in einer index.html datei finden und entfernen, ansonsten bin ich leider erfolglos geblieben.

die webseiten befinden sich alle auf demselben server und basierne auf unterschiedlichen cms systemen. von 20 sind 17 infiziert .... was kann ich tun?
Ergänzung ()

die 404 seiten existieren übrigens nicht :(
 
Hi,

also eine Malware direkt lässt sich hier nicht erkennen, lediglich ein iframe der total aus der mode ist ;)
ein iframe ist ein eingebetteter frame in einer webseite das heisst in diesem bereich kann einen beliebige url geladen werden.

So bindet man z.b. einen teil einer anderen webseite in die eigene ein, macht man aber so eigentlich schon seit jahren nicht mehr.
Dieser iframe hat als quelle allerdings ein php script. Sieht nach einem Counter aus der die besuche zählt aber nicht anzeigt (attribut hidden).

Ich sehe keinen Schädling, welcher Code aber tatsächlich hinter diesem php script steckt kann ich dir natürlich nicht sagen.

Wenn ich raten müsste würde ich sagen die seite ist was den teil angeht harmlos, und dein virenscanner warnt halt lediglich vor dem iframe tag in html quelltexten (vermute ich). die größe des iframes mit 10x10 pixeln ist auch sehr klein (geht aber durchaus auch mit 1x1 :D).

Wasn das für ein CMS? oder was für welche sind es? :)

Merkwürdig bleibt die url mit der tld ir... kurios
Vielleicht ist das CMS das du einsetzt easy zu hacken... welches ist es?

Gruß X23
 
Zuletzt bearbeitet:
es handelt sich dabei um das cms cantao in version 2.9.

die malware scheint aber schon zu existieren, denn ich habe bereits mehrere rückmeldungen, dass auf besucher-rechnern virenscanner anschlagen oder sogar ein javascript ausgeführt wird, welches den bildschirm einfriert ...
 
Hi,

gib mir mal eine konkrete URL ich schau mir das an.
Das Teil heißt contao ;D

Ich halte das erstmal immer noch für false positives.


Gruß X23
 
das merkwürdige ist, dass die malware auch auf reinen html-seiten angezeigt wird
 
Zuletzt bearbeitet:
das ist Malware, der iFrame soll dann die eigentliche Malware ziehen. Überprüfe doch mal die Seite wenn du den iFrame entfernst. Ich würde mein FTP Passwort ändern, ein bot zieht die php, htm, html ... Seiten, fügt den iFrame dazu, und lädt sie wieder hoch...
 
Hi,

ich hab ihn schon gebeten die seiten die den betroffenen quelltext ausliefern mal zu isolieren und zu schicken (pm).

http://labs.sucuri.net/db/malware/malware-entry-mwiframeenc1560

Vermutlich irgendeine nette Schweinerei hinter der counter.php die irgendeine java oder flash lücke ausnutzen möchte.


Gruß X23
 
yep, wenn man nach der 404javascript.js datei googelt findet man einiges.
 
Hi,

C22 schrieb:
yep, wenn man nach der 404javascript.js datei googelt findet man einiges.
Zum Vergrößern anklicken....

die wird ja vermutlich erst durch die php im iframe erzeugt und gefeuert ;)
deshalb findet er diese datei ja auch nicht.

Bleibt die Frage ist das nicht ganz aktuelle contao 2.9 (aktuell 3.0.6) schuld oder der Server auf dem irgendeine nette Lücke eingeladen hat :)

Ist das ne Managed Kiste, ein Root Server oder gar nur ein Web hosting?

Wenn es ein reines Web hosting ist und du den Schadcode nicht schon mitgebracht hast bist du aus dem Schneider ansonsten Arschkarte.


Gruß X23
 
Zuletzt bearbeitet:
Tippe auf ein kompromittiertes System das die FTP Zugangsdaten in Klartext gespeichert hat. (FileZilla)

Seiten sofort offline nehmen.
Beim Provider nach FTP Logs fragen und auf fremde Zugriffe untersuchen, FTP Passwort ändern.
Sich überlgen wer alles die FTP Zugangsdaten hat und auf welchen Rechnern diese möglicherweise gespeichert sind. Diese Rechner überprüfen.
Alle Seiten auf diesen iframe kram untersuchen.
 
Zuletzt bearbeitet:
Hi,

viel arbeit für dich. Mein Beileid.


Gruß X23
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Chrissader
Kryptische Symbole im Browser auf diversen Webseiten
Antworten
14
Aufrufe
5.404
cumulonimbus8
cumulonimbus8
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz