zurück zur Startseite
  


Zurück XHTMLforum > Sonstiges > Offtopic
Seite neu laden Virus? BlacoleRef

Antwort
 
LinkBack Themen-Optionen Ansicht
  #1 (permalink)  
Alt 11.06.2013, 13:02
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 07.01.2008
Ort: Potsdam
Beiträge: 276
tichy ist in Verruf geraten
Standard Virus? BlacoleRef

Hallo,
ich habe gerade ein Backup einer Webseite gezogen und mein Virenprogramm(Avira) fängt auf einmal an Alarm zu schlagen (Nach Monaten mit der Webseite auf dem Rechner).

Er meldet in vielen Datein folgendes Sachverhalt:

JS/BlacoleRef.DD.17

in mehreren Datein,
.html, .php uns .js, .json datein.... Avira sagt eigentlich das alles betroffen ist, was ich runtergeladen habe. wo kommt das her? Was ist das?

Ist das vielleicht nur eine Falschmeldung?

Das Internet sagt bei ähnlichen namen, es sei eine Malware.

Geändert von tichy (11.06.2013 um 13:05 Uhr)
Mit Zitat antworten
Sponsored Links
  #2 (permalink)  
Alt 11.06.2013, 14:44
Benutzerbild von hemfrie
Administrator
XHTMLforum-Kenner
 
Registriert seit: 18.12.2003
Ort: Düsseldorf
Beiträge: 2.777
hemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannt
Standard

Hallo,

habe den Schadcode hier im Forum gelöscht, da er bereits dafür gesorgt hat, dass bei Benutzern der Virenscanner anschlägt.

Solche Angriffe auf Webseiten kommen recht häufig vor. Vor allem beliebte CMS, Blog oder Forensysteme sind davon betroffen.

Es reicht schon, dass einige wichtige Updates der betriebenen Software nicht durchgeführt wurden und somit bekannte Lücken im System genutzt werden konnten.

Als erstes müsstest Du also versuchen herauszufinden welche Lücke bei Dir ausgenutzt wurde.
Mit Zitat antworten
Sponsored Links
  #3 (permalink)  
Alt 11.06.2013, 15:41
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 07.01.2008
Ort: Potsdam
Beiträge: 276
tichy ist in Verruf geraten
Standard

Wie finde ich das heraus?
Mit Zitat antworten
  #4 (permalink)  
Alt 11.06.2013, 18:35
Benutzerbild von hemfrie
Administrator
XHTMLforum-Kenner
 
Registriert seit: 18.12.2003
Ort: Düsseldorf
Beiträge: 2.777
hemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannthemfrie ist jedem bekannt
Standard

Zitat:
Wie finde ich das heraus?
Nur mit viel Recherche

Das wären Fragen die mir spontan einfallen, um das Problem etwas einzugrenzen:

- Verwendest Du ein häufig genutztes CMS, Blog oder anderes System?
- Wenn ja, wurde das System aktuell gehalten (Sicherheitsupdates bzw. Patches)?
- Handelt es sich um eigene Programmierung?
- Kannst Du den Schädling zeitlich eingrenzen, z.B. durch Logfiles, Revisionstools (git, svn) oder regelmäßige Backups?
- Welche Dateien sind betroffen? (ebenfalls durch Logfiles, Difftools etc. herausfindbar)
Mit Zitat antworten
  #5 (permalink)  
Alt 12.06.2013, 16:54
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 07.01.2008
Ort: Potsdam
Beiträge: 276
tichy ist in Verruf geraten
Standard

Ich habe die Seite selber geschrieben.
Betroffen sind alle Datein des Dateityps: html, php, json, js! Alle beinhalten den selben Schadcode!

Ich habe den Schadcode jetzt per Hand entfernt und die FTP Passwörter geändert. Mal sehen obs was bringt.
Mit Zitat antworten
  #6 (permalink)  
Alt 13.06.2013, 13:28
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 07.01.2008
Ort: Potsdam
Beiträge: 276
tichy ist in Verruf geraten
Standard

Ich habe den Schadcode gestern aus allen Datein per Hand entfernt und die Seite hochgeladen. Heute ist alles wieder da, der Schadcode ist wieder in allen Datein drinne.

Scheisse! Wie funktioniert das? Wie kann ich mich schützen?
Mit Zitat antworten
  #7 (permalink)  
Alt 13.06.2013, 13:32
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 07.01.2008
Ort: Potsdam
Beiträge: 276
tichy ist in Verruf geraten
Standard

vor allem: wie finde ich raus, was genau meine Datein infiziert.
Mit Zitat antworten
  #8 (permalink)  
Alt 13.06.2013, 14:09
?!?
XHTMLforum-Kenner
 
Registriert seit: 20.03.2013
Beiträge: 1.638
explanator sorgt für eine eindrucksvolle Atmosphäreexplanator sorgt für eine eindrucksvolle Atmosphäre
Standard

Keine Passwörter auf dem Rechner speichern, auch nicht in Filezilla. Immer per Hand eingeben und die automaitsche Ersetzung im Browser abschalten.
Virenscanner und Malwarebytes uber den Rechner jagen.

Erst wenn auf deinem Rechner alles sauber ist, Dateien herunterladen. Aber nicht im Browser ausführen! Nur im Texteditor aufmachen.

Danach alle Passwörter vom FTP-Zugang und Server neu vergeben, mindestens 10 Stellen und ein Mix aus allen erlaubten Zeichen.

Alle Dateien auf dem Server löschen, auch die versteckten Dateien.

Wenn du den Schadcode entfernt hast. Noch mal den Virenscanner drüber jagen.

Nach dem alles sauber ist, kannst du die Dateien wieder hochladen.

Alle diese Schritte sind mindestens notwendig. Wenn du Spyware auf dem Rechner hast, werden die immer deine Passworte erhalten.

Man sollte vom schlimmsten Fall ausgehen.
__________________
"Wieso ist der Code schrott, ich dachte hier seien Profis..."
Aus einem Forum.
Mit Zitat antworten
  #9 (permalink)  
Alt 13.06.2013, 14:11
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 07.01.2008
Ort: Potsdam
Beiträge: 276
tichy ist in Verruf geraten
Standard

Das ist ja grauenhaft! Na dann habe ich am Wochenende ja zutun.
Mit Zitat antworten
Sponsored Links
  #10 (permalink)  
Alt 13.06.2013, 14:25
?!?
XHTMLforum-Kenner
 
Registriert seit: 20.03.2013
Beiträge: 1.638
explanator sorgt für eine eindrucksvolle Atmosphäreexplanator sorgt für eine eindrucksvolle Atmosphäre
Standard

Vorsorglich kannst du folgendes machen, für die Zukunft.
Lade dir nie Software herunter von unbekannten Quellen.
Nie eine Toolbar im Browser installieren.
E-Mails nur im Textmodus lesen.
Nur mit Firefox im Netz surfen mit installiertem NoScript Plugin. Ist zwar am Anfang etwas umständlich aber man gewöhnt sich mit der Zeit daran.
Verwende einen zweiten Browser(Opera, Iron, oder Safari) mit Javascript für deine sozialen Webseiten auf denen du angemeldet bist und surfe im Web nur mit Firefox mit eingeschaltetem NoScript.

Wenn du das beherzigst, bist du auf Jahre sicher und brauchst auch kein Antivirenprogramm ständig mitlaufen zu lassen. Erfordert aber Disziplin.
__________________
"Wieso ist der Code schrott, ich dachte hier seien Profis..."
Aus einem Forum.
Mit Zitat antworten
Sponsored Links
Antwort

Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus



Alle Zeitangaben in WEZ +2. Es ist jetzt 14:51 Uhr.