Hi,

eine meiner Weiterleitungsdomains wurde scheinbar gehackt und hat nen Virus/Trojaner. Ist der Code nur in der index.htm Wie gehe ich jetzt vor, daß Ding zu entfernen ohne mir was einzufangen?

Im Filezilla sehe ich, daß die index vor wenigen Tagen verändert wurde. Ich war da seit vielen Monaten nicht dran, da muss also was sein. Passwort ändern etc. ist auch klar.

Danke für die Hilfe!

Ich würde prinzipiell alle index.*, start.*, default.*, sowie alle *.js Dateien untersuchen.

Modulfux hat geschrieben:Ich würde prinzipiell alle index.*, start.*, default.*, sowie alle *.js Dateien untersuchen.

Bin in diesen Dingen nicht bewandert. Was heißt untersuchen? Kann ich die Dateien auf lokal ziehen und mit dem notepad öffnen ohne das ich mir den Rechner infiziere?

daytrader hat geschrieben: Bin in diesen Dingen nicht bewandert. Was heißt untersuchen? Kann ich die Dateien auf lokal ziehen und mit dem notepad öffnen ohne das ich mir den Rechner infiziere?

Ja, so wäre das mit ein bisschen Vorsicht auch gefahrlos möglich. Sobald Windows z.B. eine Vorschau erzeugt, wirds allerdings potenziell brenzlig. An einem weniger 'wertvollen' PC direkt im Filezilla FTP-Programm mit Notepad öffnen ("ansehen/Bearbeiten") und Antiviren-Programm im Hintergrund laufen lassen wäre ratsam. Manche Viren sind lokal aber ohnehin nicht ausführbar, da sie sich auf PHP-Base64-Code stützen.

Wenn es "nur" eine Weiterleitungsdomain ist ...

... einfach alle Dateien im Webverzeichnis löschen. Das wäre am sichersten. Hast Du ein Backup?

Hab die offensichtlich betroffene Datei gelöscht und die vom Backup aufgespielt. Logischerweise erscheint jetzt noch die Meldung vom Firefox. Trau mich nicht die Seite zum Test zu öffnen

Browser-Cache leeren

Du könntest zum "testen" ein Livelinux von DVD nutzen. Dann kann nicht wirklich was passieren.
Allerdings ist dann immer noch die Frage ob du als Laie klären kannst, ob du wirklich sauber bist...

"Die Webseite auf xxxxx wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert."

Glaube nicht, daß das mit Browser Cache leeren erledigt ist!?

Nachtrag: Diese Meldung erscheint im Firefox. Wo wurde die Seite da gemeldet und wie bekomme ich sie da raus? Im WMt habe ich es als erledigt gemeldet.

Hat WMT es überhaupt schon überprüft?
Ist der Warnhinweis in den Google-Serps ist verschwunden?

Heute Nacht kam von Google eine Mail, daß die Seite wieder sauber ist und der Warnhinweis erscheint nicht mehr.

Danke für die Mithilfe!

Ich bin auf dem Gebiet leider auch nicht sehr bewandert, habe aber selbst schon einmal eine schlechte Erfahrung damit gemacht. Mein Fehler war es, die Datei nur zu löschen und dann "abzuwarten", das hat meinen Pc ruiniert, weil der Virus langsam alles zerfressen hat.
Ich würde deshalb dieses mal direkt ein Backup erstellen und den gesamten Pc sofort resetten um kein unnötiges Risiko einzugehen - dennoch, wenn dir das zuwider ist, dann such lieber einen Experten auf!

Das ist ja ganz nett... aber die Gretchenfrage ist doch eher: Wie konnte das passieren und ist die Sicherheitslücke jetzt gestopft?

Wenn man Zugriff auf den Server hat wo die Domain liegt, würde ich empfehlen den Server mit rkhunter mal zu scannen und eventuelle Lücken zu stopfen sprich Updates des Systems einspielen usw. Im zweiten Schritt die Sicherheitskonfiguration des Servers überprüfen sprich die Logfiles sich ansehen um den Grund herauszufinden warum überhaupt ein Schädling ins System gekommen ist und daran ansetzen das ganze zu überarbeiten.

catcat2 hat geschrieben:Das ist ja ganz nett... aber die Gretchenfrage ist doch eher: Wie konnte das passieren und ist die Sicherheitslücke jetzt gestopft?

Filezilla? Hatte solche Fälle mehrfach mit Kunden. Wahrscheinlichste Ursache war ein lokal infizierter Rechner. Dadurch sind FTP-Zugangsdaten nach aussen gelangt und über ein Botnetz wurden dann die Server automatisiert infiziert. Filezilla speichert Zugangsdaten im Klartext und ist somit sicher ein gern genommenes Angriffsziel für Würmer und Trojaner.

Kann ja auch beim Hoster liegen. Mir wurden auch schon Domains komplett verseucht und es lag an den Billig-Kack-Routern von godaddy.