Thema: Umleitung auf verseuchte Virus / Malware-Seite

Hallo Christian,

danke schonmal für deine schnelle Antwort.

Habe ich keine Möglichkeit diese Umleitung von Hand wieder zu entfernen und dann die von dir genannte Sicherheitsliste abzuarbeiten? Weil Backup der Seite gibt es meines Wissens nach nicht (ich bin eigentlich dort nicht Admin, aber man hatte mich jetzt gebeten mal zu schauen woran es liegt). Oder ist es hoffnungslos verloren?

Hallo zusammen,
ich habe das selbe Problem. Rausgefunden habe ich dass in manchen Dateien ein Base 64 Code eingeschlust wurde. Am häufigsten ist die index.php und include/defines.php betroffen. Zu erkennen ist die Weiterleitung dass meißt ganz oben der base 64 code drin steht.
Nun gut code raus Seite geht wieder...
Nachdem ich eine Weile gewartet habe passierte das selbe wieder.... Also ist die Lücke wohl noch offen.
Auf dem Trojanerboard fand ich folgendes script das alle infizierten Dateien findet.
Also neues .php file erstellen, Code rein und aufrufen. Jetzt kommts knallhart... einige hundert dateien auf meinem Server hatten den Code drin. Alles neu aufsetzten nein danke.

Code:

<?php
set_time_limit(0);

$exclude_files = array(
$_SERVER['DOCUMENT_ROOT'] . '/' . file_checker.php’,
);

function scan_files($dir) {

global $exclude_files;

// malware strings to search
$search = array(
'.cn/',
'gumblar',
'eval(unescape',
'eval(base64_decode',
'eval(decode',
'eval(base',
'base64_decode',
'(function(){',
'<!--(function(',
'(unescape(',
'(function(xwBPE)',
'eval(String.fromCharCode',
'neglite.com',
'niklejo.net',
'internetcountercheck.com'
);

$dirs_array = array();

 if ($handle = opendir($dir)) {

echo "<br>Open dir: " . $dir . "";

// this is the correct way to loop over the directory.
while (false !== ($file = readdir($handle))) {
if ($file != '.' && $file != '..') {

$path = $dir . $file;

if (is_file($path)) {

// skip large files
if (filesize($path) > 1000000) {
continue;
}

// exlude fieles
if (in_array($path, $exclude_files)) {
continue;
}

// get content
$file_handle = fopen($path, 'r');
$contents = ”;
while (!feof($file_handle)) 
{
$contents = fgets($file_handle);

// loop for search string
$found = false;
foreach ($search as $search_string) {
if (stristr($contents, $search_string)) {
$found = true;
break;
}
}

if ($found == true) {
echo '<br>' . $path . ' … <font color="red">[FOUND ' . $search_string . ']</font>';
break;

}
else {
//echo ‘[CLEAN]‘;
}

}

fclose($file_handle);

} elseif (is_dir($path)) {

$dirs_array[] = $path;

}
}
}
closedir($handle);
}



foreach ($dirs_array as $dir) {
scan_files($dir . '/');
}

unset($dirs_array);
}

$start_dir = $_SERVER['DOCUMENT_ROOT'] . '/';

echo 'Starting from: ' . $start_dir . ”;

scan_files($start_dir);


?>

Vermutet wurd dass der eigene Rechner mit dem Gumblar Virus/Trojaner befallen ist.
Er scant die Registry und findet gespeicherte FTP Logins. Diese benutzt er um auf die befallene Seite zu kommen. Ist er erst mal drauf dann hat er freies Spiel.
Da ich mir nicht mehr siher bin wie geschützt mein System ist scanne ich es online mit http://secunia.com
Ich hoffe ich konnte etwas Licht in die Sache bringen.

leider muss ich dir da vollkommen Recht geben. Das Sicherste ist natürlich den Webspace, sowie den eigenen PC Platt zu machen und neu aufzusetzen. Die Lösung will ich jedoch ganz zum Schluss in betracht ziehen, da sie eine Menge Arbeit mit sich bringt.
Was auch nützlich sein kann wenn man seine Seite mit dem SSS (Shadow Security Scanner) nach vuln. scannen läässt. Der Scanner zeigt einem dann die eigentlichen Sicherheitslücken im System.