+ Antworten
Seite 2 von 5 ErsteErste 1 2 3 4 5 LetzteLetzte
Ergebnis 11 bis 20 von 41

Thema: Malware?!

  1. #11
    Wohnt hier Avatar von Joomla-Hilfe
    Registriert seit
    12.08.2010
    Beiträge
    4.157
    Bedankte sich
    109
    Erhielt 1.258 Danksagungen
    in 984 Beiträgen

    Standard

    Du vermutest falsch. Der Zugriff erfolgt per FTP. Kontrollier die entsprechenden Logs. Der Hack hat auch nichts mit Joomla zu tun, sondern befällt alles, was mindestens eine index.* hat, auch reine HTML-Sites.

    Ob dazu ein Trojaner gespeicherte Zugangsdaten ausspäht oder ein Keylogger die Dateneingabe mitliest, ist eigentlich egal. Die Daten kommen von einem verseuchten Rechner.
    Danke?

    Stell dir vor, es geht, aber keiner kriegt's hin.
    In vielen Fällen bleibt der Hirntod jahrelang unbemerkt. (Nuhr)

  2. #12
    Neu an Board
    Registriert seit
    25.03.2012
    Beiträge
    18
    Bedankte sich
    8
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Mein Hoster hat mir folgendes geschrieben:

    Es war keine Aenderung durch FTP sondern durch ein Javascript Inject via Joomla Atom/RSS feed Modul.

  3. #13
    Neu an Board
    Registriert seit
    25.03.2012
    Beiträge
    18
    Bedankte sich
    8
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Laut dem Analytic tool ist jetzt wieder alles Ok, ich möchte aber dennch wissen woher der angriff kam und was ich machen soll.
    Passwörter ändern ok. Alles Updaten Ok. Mein hoster hat zudem einen Schreibschutz auf die Index.php gesetzt.
    Geändert von johi86 (12.04.2013 um 09:47 Uhr)

  4. #14
    Neu an Board
    Registriert seit
    25.03.2012
    Beiträge
    18
    Bedankte sich
    8
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Zitat Zitat von bembelimen Beitrag anzeigen
    Aus allen der vielen tausend angelegten? Das sind wahrscheinlich mehr als eine.
    Ich kann keine neuen entdecken.

  5. #15
    Kommt häufiger vorbei
    Registriert seit
    30.01.2006
    Beiträge
    310
    Bedankte sich
    35
    Erhielt 52 Danksagungen
    in 43 Beiträgen

    Standard

    Hallo johi86,
    dann musst du dir die Logflies besorgen, und diese durcharbeiten.
    Dann kannst du rausfinden wie der Angriff ablief.

    Laut dem Analytic tool ist jetzt wieder alles Ok,
    Ja, im Moment.
    Wenn du die Lücke nicht findest, kann der Angreifer die gleiche Lücke wieder ausnutzen.

  6. #16
    Wohnt hier
    Registriert seit
    14.03.2011
    Beiträge
    2.579
    Bedankte sich
    54
    Erhielt 884 Danksagungen
    in 794 Beiträgen

    Standard

    Eine gute Variante zur Vorkontrolle ist, per FTP alle Ordner durchzugehen und das Dateidatum anzusehen. Hier die Ausreißer *.js, .htaccess (meist erst ab Zeile x00 irgendwas drin), *.php durchecken.
    Aber die Vorredner haben recht. Das ist basteln an Symptomen.

    Laut dem Analytic tool ist jetzt wieder alles Ok
    Wären diese Tools zuverlässig, würde bei allen Anfragen zu Hacks als Antwort kommen: "Verwende dieses Tool und du bist auf der sicheren Seite."
    Besagt nichts.

  7. #17
    Neu an Board Avatar von schmakki
    Registriert seit
    05.03.2009
    Beiträge
    17
    Bedankte sich
    6
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    FILEZILLA ist das Einfallstor, unbedingt lesen!
    Bei mir handelt es sich um einen Trojaner der den FTP-Client FILEZILLA befällt! Und das mir... professionell bis an die Zähne geschützter PC, per Spybot dauerüberwacht, alles auf Auto-Updates - aber irgend einen erwischt es immer zuerst, bevor sie die Löcher stopfen Immerhin ist es das erste Mal - in über 20 Jahren.

    Der Trojaner greift auf die Filezilla.xml zu. Dadurch dass Filezilla alle Passworte im Klartext speichert, ein leichtes ausspionieren. Die Daten liegen in C:\Dokumente und Einstellungen\User\Anwendungsdaten\FileZilla\filez illa.xml.
    Dadurch, dass Filezilla KEIN MASTERPASSWORT verwendet, hat der Trojaner unbegrenzten Zugriff. Das Masterpasswort wird von der Community schon sehr lange eingefordert - aber Filezilla sagt, es hätte nichts mit der PC-Sicherheit zu tun und lehnt das strikt ab.

    Schnief.... also werde ich mein geliebtes Filezilla rauskicken. Bin User der ersten Stunde.... aber das passiert mir nicht noch mal.

    Was ist zu tun?
    1. Man kann versuchen per Spybot alles gerade zu biegen. Ist aber nicht empfehlenswert - man weiß nie wo sich noch Reste rumtreiben und wie aggressiv der Trojaner wirklich war (hat der evtl. was nachgeladen?). Zudem lief Spybot bei mir ununterbrochen mit.
    2. Also werde ich den PC formatieren und alles neu installieren.
    3. Kein Filezilla mehr verwenden - so was kann immer wieder passieren.

    Neuer FTP-Client gesucht!
    Werde mal als FTP-Client WinSCP ausprobieren - das schützt mit 256bit AES-Verschlüsselung. Kann das evtl. auch FireFTP für Firefox?
    Wer noch bessere Alternativen kennt => bitte hier posten.


    Alternativ kann man sich
    Filezilla mit Master-Passwort schützen (Anleitung)
    http://www.maxrev.de/ftp-programm-mi...rt-t261569.htm
    Geändert von schmakki (12.04.2013 um 18:26 Uhr)

  8. #18
    Moderator Avatar von flotte
    Registriert seit
    20.03.2005
    Ort
    Neustadt
    Beiträge
    6.451
    Bedankte sich
    122
    Erhielt 1.900 Danksagungen
    in 1.490 Beiträgen

    Standard

    Alternative: Keine Passwörter abspeichern!

  9. #19
    Wohnt hier
    Registriert seit
    14.03.2011
    Beiträge
    2.579
    Bedankte sich
    54
    Erhielt 884 Danksagungen
    in 794 Beiträgen

    Standard

    Der Link unten wegen Kiosk-Modus Filezilla. Anfangs war ich genervt, weil er immer mal wieder neu nach Passwort fragt. Man gewöhnt sich aber daran, wenn man einen gut sortierten Passwort-Safe hat.

    Das mit der Kombination FZ, KeePass und Autotype ist fraglich. Hängt vom Virus ab, den man hat. Keylogger nimmt das Autotype vermutlich mit.

    http://www.joomlaportal.de/joomla-2-...ml#post1431287

  10. #20
    Neu an Board Avatar von schmakki
    Registriert seit
    05.03.2009
    Beiträge
    17
    Bedankte sich
    6
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Die Ursache der Injektion von <iframe src="http: ******** . com /img2/count . htm" width="1" height="1" frameborder="0"></iframe>

    Die Ursache war eine installierte iLivid-Toolbar, vermutlich kam die beim Download des Tools "Downloadhelper" mit. Es war ein Fehler von mir den PC kurz mal anderen zum Surfen zu überlassen

    Wie wird man iLivid (******. com) wieder los?
    Das Programm ADWCleaner haut alles weg, Download bei Chip: http://www.chip.de/downloads/AdwCleaner_58118522.html
    1. Das funzt ohne Installation. Nach dem Download starten, dann suchen.
    2. Wenn fertig, das Meldungsfenster schließen.
    3. Dann auf Löschen klicken und den Meldungen folgen.
    4. Nach dem PC-Neustart kommt ein neuer Statusbericht. Falls noch was drin sein sollte, nochmal laufen lassen.
    5. Fertig, iLivid ist tot

    Ach ja, da jemand per iLivid auf die FTP-Daten von Filezilla zugreift ist die WICHTIGSTE 1. Maßnahme:
    ÄNDERE ALLE FTP-Zugangspassworte und speichere sie NICHT in FILEZILLA!!!
    Wenn du das nicht machst, wird dein Account immer wieder injiziert!

    Sodele... bei mir ist der Spuk vorbei. Hoffe das hat jemandem geholfen
    Geändert von Helrunar (12.04.2013 um 19:02 Uhr) Grund: Nicht so laut :-)

+ Antworten
Seite 2 von 5 ErsteErste 1 2 3 4 5 LetzteLetzte

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein