Seite 1 von 3
Trojaner im Forum
Verfasst: 24.03.2007 19:04
von ballong
Hallo,
einige unserer User teilen uns mit, dass ihre Virenscanner beim Aufrufen
unserer Seite eine Trojanermeldung anzeigen, die in etwa so ausschaut:
Ich habe bereits unseren Provider angeschrieben, der mir folgendes zurück geschrieben hat:
Unter der Ziel-URL befindet sich ein Javascript, das eine alte IE-Schwachstelle ausnutzt. Ich konnte jedoch weder bei der Suche nach Javascript noch unter dem Namen bzw. der IP etwas auf Ihrem Webspace finden. Den Quelltext der Startseite hab ich mir auch einmal näher angesehen und ebenfalls keine Verlinkung/Einbindung irgendwelchen Schadcodes finden können. Eventuell sind die Meldungen Ihrer User auch eher Falschmeldungen anderer von Ihnen eingesetzten Javascripts. Mehr konnte ich leider nicht herausfinden.
Jetzt steh ich wie der Ochs vorm Berg und weiß weder, wo das Script sitzt, noch wie ich es herausfinde. Könnt Ihr mir helfen?
Hier unser URL:
http://www.fighterfitnessforum.com
Danke!
Verfasst: 24.03.2007 20:32
von ballong
Soeben wurde uns eine weitere Trojanermeldung gemeldet:
Trojan horse Downloader Generic.4.Q on C:\U.exe
Verfasst: 24.03.2007 23:29
von Tobi91
Hallo,
Link zum Forum wäre evl. Hilfreich!
Dankö.
Gruß,
Tobias
Verfasst: 24.03.2007 23:34
von larsneo
bzw. die genaue url bei der das problem auftritt.
...und hoffentlich ist das "phpBB 2.0.11 CHANGELOG" nur nie aktualisiert worden
Verfasst: 25.03.2007 08:52
von ballong
Hallo,
ich hatte die Seite im oberen Teil der Nachricht verlinkt. Hier nochmal offensichtlich:
http://www.fighterfitnessforum.com
Gruß
andreas
Verfasst: 25.03.2007 20:53
von Fabi168
Ich surfe mit Opera und bekomme keine Trojanermeldung.
Verfasst: 25.03.2007 22:52
von ballong
Wo könnte denn praktisch so ein Trojaner sitzen, wo könnte er eingebettet sein? Wie komme ich da dran? Welche Mittel gibt es um ihn zu finden? Ich bin wirklich überfragt.
Danke für Eure Hilfe!
Verfasst: 26.03.2007 01:36
von redbull254
Hallo,zusammen
Die Meldung stimmt, es wird auch von Kaspersky ein Trojaner gemeldet und desinfiziert.
Code: Alles auswählen
gefunden: trojanisches Programm Trojan-Downloader.JS.Psyme.cz URL: http://202.157.177.19/x/in.php?adv=2//Crypt.DCScript//Crypt.DCScript
Eine Info dazu.
http://www.pcwelt.de/index.cfm?pid=20&pk=72757
Verfasst: 26.03.2007 07:13
von ballong
Hallo,
vielen Dank für die Info. Bedeutet das, dass das Script in der index.php liegt, oder kann es auch woanders sein?
Verfasst: 26.03.2007 08:01
von redbull254
Hallo,ballong
lasse das Forum doch mal bei diversen Herstellern von Antivirenprogrammen
online scannen. Vielleicht bekommst Du so einen Hinweis, wo es her kommt.
Ich gehe auch noch mal bei Dir auf die Seite, sollte ich noch einen Hinweis finden, editiere ich diesen Beitrag entsprechend.
EDIT:
Wenn ich das aufrufe, kommt die Trojanermeldung:
202.157.177.19/x/in.php
Code: Alles auswählen
route: 202.157.176.0/23
descr: Asianfrontiers Network Services (Malaysia) Sdn Bhd
A Subsidiary of Webvisions Pte Ltd (Singapore)
Kuala Lumpur, Malaysia
origin: AS17464
notify: indra@webvisions.com
mnt-by: MAINT-WEBVISIONS
changed: indra@webvisions.com 20030620
source: RADB