Friday, May 24th 2013, 2:27am UTC+2

You are not logged in.

  • Login
  • Register

Quelltext komisch

HB-Marketing

Professional

Date of registration: May 25th 2010

Posts: 632

Thanks: 2

Location: Essen

Occupation: Administrator

1

Monday, October 11th 2010, 2:22pm

Quelltext komisch

Hasan, ich habe soeben bemerkt, dass sich im Quelltextde Seite etwas merkwürdiges befindet.

(This term was hidden for guests. To be able to read it you should register!)
Was ist das, ich sehe, dass meine Seiten dadurch verschoben sind, also das Layout ist verschoben.
Dieses Phänomen habe ich nur im Graosshandelsportal, nicht im Einzelhandelsportal.
www.ek-welt.de
All stores are made with HHG-Multistore
___________________________________________
Netten Gruß
Harry HB-Marketing
  • Go to the top of the page

chris

Intermediate

Date of registration: Feb 16th 2009

Posts: 443

2

Monday, October 11th 2010, 2:28pm

Ich sag es dir ja nicht gern, aber das sieht nach einem Virusinfekt deiner Seite aus.... Schnellstmöglich alle FTP Zugangsdaten ändern ggf. auch die der Datenbanken und deine Seiten von diesem Schadcode befreien. Die Seite

(This term was hidden for guests. To be able to read it you should register!)

wird mir als attackierende Website angemahnt, und ein script include im javascript von einer Russischen Seite ist nur selten gesund^^
  • Go to the top of the page

HB-Marketing

Professional

Date of registration: May 25th 2010

Posts: 632

Thanks: 2

Location: Essen

Occupation: Administrator

3

Monday, October 11th 2010, 2:36pm

Ist ja merkwürdig, ich habe alle Berechtigungen so gesetzt wie von euch empfohlen. Also muss es irgendwo eine Sicherheitslücke geben.
Nun zum Thema:
Woher weis ich, wo ein Virus Daten hinschreibt die in meinem Quellcode erscheinen?
Ich sage es leider auch nur ungern, wenn eure Software nicht sicher ist, sollte man lieber die Finder davon lassen!!!!
www.ek-welt.de
All stores are made with HHG-Multistore
___________________________________________
Netten Gruß
Harry HB-Marketing
  • Go to the top of the page

chris

Intermediate

Date of registration: Feb 16th 2009

Posts: 443

4

Monday, October 11th 2010, 2:42pm

Das hat mit der Software nix zu tun. Es liegt an der Sicherheit eurer Computer, auf denen die FTP Daten gesichert sind. Bestimmte Hoster (z.B. allinkl) verweigern auch den Upload von Dateien mit Schadcode, was auch hilfreich sein kann. Ich bin mir sicher dass mindestens einer der PC's in eurem Netzwerk, oder gar deiner, einen Virusbefall vorweist. Am besten mal scannen ggf. Firewall regeln überprüfen und Zugangsdaten ändern! Außerdem all diesen Schadcode entfernen
  • Go to the top of the page

HB-Marketing

Professional

Date of registration: May 25th 2010

Posts: 632

Thanks: 2

Location: Essen

Occupation: Administrator

5

Monday, October 11th 2010, 2:49pm

Nochmal:
Wo speichert ein Schädling die Daten, die später im Quelltext erscheinen? Also wo schreibt er diese hin, in welche Datei der Software?

Alle PCs werden regelmäßig auf Schädlinge untersucht, alle sind Stand gestern 12 Uhr schadstofffrei.
Der Serveraccount ist ebenfalls durch Virussoftware und Firewall abgesichert und steht in einem krisensicheren Rechenzentrum.
Irgendwo müssen die Daten, die im Quelltext stehen ja gespeichert sein, oder?
www.ek-welt.de
All stores are made with HHG-Multistore
___________________________________________
Netten Gruß
Harry HB-Marketing
  • Go to the top of the page

chris

Intermediate

Date of registration: Feb 16th 2009

Posts: 443

6

Monday, October 11th 2010, 2:52pm

Das komm ganz auf den Virus an. Der Gumblar z.B. von dem auch wir durch eine Sicherheitslücke der Arbeitsplatz PC's befallen waren, speicherte die Daten in alle .js und .html Dateien. Es ist gut möglich das du da einen ganz neuen Virus abbekommen hast, zudem es noch keine Virendefinition gibt.
  • Go to the top of the page

HB-Marketing

Professional

Date of registration: May 25th 2010

Posts: 632

Thanks: 2

Location: Essen

Occupation: Administrator

7

Monday, October 11th 2010, 3:31pm

Habs gefunden, waren Einträge vom 20.09.2010:
Hier hat er eingetragen, warum auch immer er dort Zugriff hat?
/admin/core/modules/default.php
/admin/icons/index.html
/admin/images/index.html
/admin/images/graphs/index.html
/admin/images/icons/index.html
/core/modules/default.php
www.ek-welt.de
All stores are made with HHG-Multistore
___________________________________________
Netten Gruß
Harry HB-Marketing
  • Go to the top of the page

chris

Intermediate

Date of registration: Feb 16th 2009

Posts: 443

8

Monday, October 11th 2010, 3:34pm

Ich denke der wird sich, wie der Gumblar, die FTP Daten von einem der PC's geholt haben. Ändere auf jeden fall deine FTP Zugänge und überprüfe nochmal ALLE komputer sowohl mit sypbot als auch mit einem Antivirenprogramm. Und durchsuche nochmal deinen kompletten server nach

(This term was hidden for guests. To be able to read it you should register!)


und nach

(This term was hidden for guests. To be able to read it you should register!)

damit solltest du alle Vorkommnisse finden.
  • Go to the top of the page

HB-Marketing

Professional

Date of registration: May 25th 2010

Posts: 632

Thanks: 2

Location: Essen

Occupation: Administrator

9

Monday, October 11th 2010, 3:39pm

wie durchsuche ich den server, welchen befehl gibtt es dazu?
www.ek-welt.de
All stores are made with HHG-Multistore
___________________________________________
Netten Gruß
Harry HB-Marketing
  • Go to the top of the page

chris

Intermediate

Date of registration: Feb 16th 2009

Posts: 443

10

Monday, October 11th 2010, 3:48pm

Welche Entwicklungsumgebung nutzt ihr? Beim Dreamweaver gibt es die Option "durchsuche Ordner" mit Zend kannst du meines Wissens nach auch direkt den Webserver durchsuchen. Ich glaube für Notepad++ gibt es ein ähnliches Plugin, dafür musst du aber den kompletten Inhalt deines Webservers runter laden und lokal durchsuchen.
  • Go to the top of the page

HB-Marketing

Professional

Date of registration: May 25th 2010

Posts: 632

Thanks: 2

Location: Essen

Occupation: Administrator

11

Monday, October 11th 2010, 3:52pm

Ist ok, ich dachte es gibt einen shell befehl der den inhalt durchsucht, also den dateiinhalt, denn nur dort stand es drinnen.
www.ek-welt.de
All stores are made with HHG-Multistore
___________________________________________
Netten Gruß
Harry HB-Marketing
  • Go to the top of the page

chris

Intermediate

Date of registration: Feb 16th 2009

Posts: 443

12

Monday, October 11th 2010, 3:58pm

Naja, du könntest dir ein skript schreiben aber ich denke nicht dass das sinnig ist. Ich glaube aber kaum dass das alle Dateien waren die befallen wurden. Durchsuche lieber alles nochmal. Nicht das du noch was vergisst
  • Go to the top of the page

HHGAG

Sage

Date of registration: Jun 14th 2008

Posts: 15,315

Thanks: 37

Occupation: CEO

13

Tuesday, October 12th 2010, 12:55pm

Gumblar befällt in den meisten Fällen nur die Dateien mit dem Namen
(This term was hidden for guests. To be able to read it you should register!)
Wie bereits chris schrieb, ist dies ein Sicherheitsproblem auf dem genutzen lokalen Rechner, da der Wurm sich die FTP Passwörter ausliest und dann selbst auf dem FTP Dateien manupuliert, dies stellt keine Sicherheitslücke des H.H.G. multistore dar, eher vom genutzten FTP Programm.
H.H.G. A.Ş.
Hasan H. Gürsoy (CEO)
--------------------------------------------------------------------------------------------------------------------
Shopsoftware - Shopsystem - Webshop - Onlineshop - Sanal mağaza - Sanal market - eTicaret
  • Go to the top of the page

HB-Marketing

Professional

Date of registration: May 25th 2010

Posts: 632

Thanks: 2

Location: Essen

Occupation: Administrator

14

Tuesday, October 12th 2010, 1:35pm

Danke Hasan, hab alles wieder gesäubert und ein PC der in der Fertne steht muss noch überprüft werden, dann sind wir durch.
Derzeit ist das Therma erledigt und der eine PC hat Zugangsverbot erhalten.
www.ek-welt.de
All stores are made with HHG-Multistore
___________________________________________
Netten Gruß
Harry HB-Marketing
  • Go to the top of the page

chris

Intermediate

Date of registration: Feb 16th 2009

Posts: 443

15

Tuesday, October 12th 2010, 1:40pm

Habt ihr denn irgendwo eine Infektion gefunden? Wenn ihr alle Rechner geprüft habt und keinen Fund erhaltet, solltet ihr mal einen anderen Virenscanner probieren. Und wenn ihr bereits einen Fund hattet, wie heißt der garstige Freund?
  • Go to the top of the page

HB-Marketing

Professional

Date of registration: May 25th 2010

Posts: 632

Thanks: 2

Location: Essen

Occupation: Administrator

16

Tuesday, October 12th 2010, 4:17pm

Kein Fund mit avira und mcafee
Sollte der andere Rechner befallen sein, informiere ich darüber
www.ek-welt.de
All stores are made with HHG-Multistore
___________________________________________
Netten Gruß
Harry HB-Marketing
  • Go to the top of the page

HHGAG

Sage

Date of registration: Jun 14th 2008

Posts: 15,315

Thanks: 37

Occupation: CEO

17

Tuesday, October 12th 2010, 4:26pm

Nimm den, der hat eins der besten Erkennungsraten von den kostenlosen: Microsoft Security Essentials
H.H.G. A.Ş.
Hasan H. Gürsoy (CEO)
--------------------------------------------------------------------------------------------------------------------
Shopsoftware - Shopsystem - Webshop - Onlineshop - Sanal mağaza - Sanal market - eTicaret
  • Go to the top of the page

HB-Marketing

Professional

Date of registration: May 25th 2010

Posts: 632

Thanks: 2

Location: Essen

Occupation: Administrator

18

Wednesday, October 13th 2010, 12:00am

Hasan, der hat es gefuden, gutes Tool:
Hier das Ergebnis:
"Trojan:JS/Redirector.EV
file:C:\Users\Harald\AppData\Local\Mozilla\Firefox\Profiles\qvnsx1qr.default\Cache\4FD7CC1Cd01->(UTF-8)
Trojan:JS/Redirector.EV is a generic detection for specific JavaScript contained within Web pages that is used to redirect users to web sites other than those of the user's choice.
Symptoms
System changes
The following system changes may indicate the presence of this malware:
• When visiting a web page containing Trojan:JS/Redirector.DQ is encountered, the web browser may be directed to pages within the following domains:
nuttypiano.com
pocketbloke.ru
alienradar.ru
"
Nochmals Danke, jetzt ist alles wieder sauber.
www.ek-welt.de
All stores are made with HHG-Multistore
___________________________________________
Netten Gruß
Harry HB-Marketing
  • Go to the top of the page

HHGAG

Sage

Date of registration: Jun 14th 2008

Posts: 15,315

Thanks: 37

Occupation: CEO

19

Wednesday, October 13th 2010, 12:21pm

kein Problem =)
H.H.G. A.Ş.
Hasan H. Gürsoy (CEO)
--------------------------------------------------------------------------------------------------------------------
Shopsoftware - Shopsystem - Webshop - Onlineshop - Sanal mağaza - Sanal market - eTicaret
  • Go to the top of the page

Similar threads

Tagging