Schädliches Script
Schädliches Script
Hallo,
beim aufrufen einer Kundendomain www.urimat.de erscheint bei Kaspersky eine Warnmeldung, dass die Internetseite ein schadhaftes Script enthält. Trojaner js.psyme.wn wird erkannt. Contenido 4.6.2 inkl. Sicherheitsupdates.
In der Statusleiste vom IE sehe ich auch kurz, dass eine unbekannte IP Adresse aufgerufen wird.
Im Firefox kommt keine Meldung.
Das ganze passiert auch nur auf der Startseite. Und nur in dieser Sprache.
Ich habe den ganzen Webspace auf meinen Rechner geladen und nach der IP , nach Iframe, nach .wn gesucht-leider alles erfolglos.
Was kann ich noch machen??
Danke für die Hilfe.
beim aufrufen einer Kundendomain www.urimat.de erscheint bei Kaspersky eine Warnmeldung, dass die Internetseite ein schadhaftes Script enthält. Trojaner js.psyme.wn wird erkannt. Contenido 4.6.2 inkl. Sicherheitsupdates.
In der Statusleiste vom IE sehe ich auch kurz, dass eine unbekannte IP Adresse aufgerufen wird.
Im Firefox kommt keine Meldung.
Das ganze passiert auch nur auf der Startseite. Und nur in dieser Sprache.
Ich habe den ganzen Webspace auf meinen Rechner geladen und nach der IP , nach Iframe, nach .wn gesucht-leider alles erfolglos.
Was kann ich noch machen??
Danke für die Hilfe.
-
- Beiträge: 4254
- Registriert: Do 30. Jun 2005, 22:56
- Wohnort: Eltmann, Unterfranken, Bayern
- Kontaktdaten:
Hallo bluefin,
prüfe ob dieses Verhalten auch auf einem anderen PC so ist. Rufe die Seite mit einem anderen Browser auf. Benutze keine Favoriten und lösche Vorab den Cache des Browser. Deaktiviere mal ActiveX im Browser.
Warum?
Nun, ich kann mir vorstellen, dass es sich hierbei um einen Trojaner etc. auf dem benutzten PC handelt, der sich beim Aufruf der Seite als eine Art Proxy dazwischen hängt und dabei seinen eigenen Code für die Seite einschleust.
Gruß aus Franken
Ortwin
prüfe ob dieses Verhalten auch auf einem anderen PC so ist. Rufe die Seite mit einem anderen Browser auf. Benutze keine Favoriten und lösche Vorab den Cache des Browser. Deaktiviere mal ActiveX im Browser.
Warum?
Nun, ich kann mir vorstellen, dass es sich hierbei um einen Trojaner etc. auf dem benutzten PC handelt, der sich beim Aufruf der Seite als eine Art Proxy dazwischen hängt und dabei seinen eigenen Code für die Seite einschleust.
Gruß aus Franken
Ortwin
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
Browsertest
Danke erst mal für deine Antwort.
Der Fehler kommt bei mehreren PCs. Kunden des Kunden haben sich schon gemeldet. Im Firefox kommt wie gesagt keine Meldung. Warum wird das Script wenns lokal liegt gerade auf dieser Internetseite "aktiviert"? Und wie kann ich das unterbinden. Liegts an den Flshelementen auf der Seite??
Der Fehler kommt bei mehreren PCs. Kunden des Kunden haben sich schon gemeldet. Im Firefox kommt wie gesagt keine Meldung. Warum wird das Script wenns lokal liegt gerade auf dieser Internetseite "aktiviert"? Und wie kann ich das unterbinden. Liegts an den Flshelementen auf der Seite??
-
- Beiträge: 3626
- Registriert: Di 12. Okt 2004, 20:00
- Wohnort: Voerde (Niederrhein)
- Kontaktdaten:
Re: Schädliches Script
Aktuelle 4.6.x ist mittlerweile die 4.6.24. Heißt das, es wurden alle Sicherheitsupdates bis jetzt manuell in der 4.6.2 nachgezogen?bluefin hat geschrieben:Contenido 4.6.2 inkl. Sicherheitsupdates.
-
- Beiträge: 4254
- Registriert: Do 30. Jun 2005, 22:56
- Wohnort: Eltmann, Unterfranken, Bayern
- Kontaktdaten:
Re: Browsertest
Also wenn das bei mehreren unabhängigen Clients passiert, ist es unwahrscheinlich das es lokal liegt, dann tippe ich eher auf eine Übernahme auf dem Server. Hier wäre es am einfachsten die Apache-Logs zu sichten um herauszubekommen, wo das Script herkommt, bzw. abgelegt ist.bluefin hat geschrieben:Danke erst mal für deine Antwort.
Der Fehler kommt bei mehreren PCs. Kunden des Kunden haben sich schon gemeldet. Im Firefox kommt wie gesagt keine Meldung. Warum wird das Script wenns lokal liegt gerade auf dieser Internetseite "aktiviert"? Und wie kann ich das unterbinden. Liegts an den Flshelementen auf der Seite??
Alternativ kann man auch alle Dateien vom Webspace entfernen, die Passwörter, vor Allem der DB, ändern und dann erst mal eine Neuinstallation über die alte Datenbank machen (nicht vergessen die con_code vorher leeren).
Das Script kann sich natürlich auch in der DB oder in einer der Cache-Dateien verstecken.
IMO ist hier Suchen angesagt, nur den Fehler beheben wäre schlecht, wenn man nicht weiß wo es herkam. Da könnte es ja wiederholt kommen, und man hätte jedesmal den gleichen Aufwand.
Gruß aus Franken
Ortwin
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
Re: Browsertest
Wie und wo sichere ich die Apache-Logs?
Ich hab den kompetten Webspace auf meinen PC kopiert. Wonach muss ich denn überhaupt suchen???
Die Suche nach der fremden IP ergab kein Ergebnis
Ich hab den kompetten Webspace auf meinen PC kopiert. Wonach muss ich denn überhaupt suchen???
Die Suche nach der fremden IP ergab kein Ergebnis
-
- Beiträge: 4254
- Registriert: Do 30. Jun 2005, 22:56
- Wohnort: Eltmann, Unterfranken, Bayern
- Kontaktdaten:
Re: Browsertest
Kommt drauf an ob du nen Server (root-Zugriff) oder nen Webspace mit Interface hast. Bei Plesk z.B. hast du die Möglichkeit im Log-Manager deiner Domain, wenn dieses Feature freigegeben ist.bluefin hat geschrieben:Wie und wo sichere ich die Apache-Logs?
Nach kürzlich geänderten Dateien oder nach Dateien, die nicht zu Contenido hinzugehören. Im FTP-Proggi auf das Datum achten. Gerne genommen werden Verzeichnisse wie cronjobs, temp oder upload.Ich hab den kompetten Webspace auf meinen PC kopiert. Wonach muss ich denn überhaupt suchen???
Suche mal nach dieser IP in den Apachelogs, im Webinhalt wird sie wahrscheinlich nirgends auftauchen.Die Suche nach der fremden IP ergab kein Ergebnis
Gruß aus Franken
Ortwin
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
Re: Browsertest
was oder wofür ist die datei ipsthumb.db zuständig?
könnte das schon ne lösung sein?
könnte das schon ne lösung sein?
-
- Beiträge: 4254
- Registriert: Do 30. Jun 2005, 22:56
- Wohnort: Eltmann, Unterfranken, Bayern
- Kontaktdaten:
denk ich nicht, IpsThumb.db ist eine Thumbfile Datenbank von Ipswitch, so wie die Datei thumbs.db von WinD..F
Gruß aus Franken
Ortwin
PS: hierbei hat mir ne Suche beim großen G geholfen nach: file info ipsthumb.db
Gruß aus Franken
Ortwin
PS: hierbei hat mir ne Suche beim großen G geholfen nach: file info ipsthumb.db
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
Re: Browsertest
Lasse doch einmal WinMerge (oder ähnliches Programm) die Ordner des Webspaces und einer "sauberen" Contenido-Version (gleiche Versions-Numer!) vergleichen. Damit kannst du dann relativ schnell die Veränderungen erkennen.bluefin hat geschrieben:Ich hab den kompetten Webspace auf meinen PC kopiert. Wonach muss ich denn überhaupt suchen???
Und schädlichen/verdächtigen Code erkennt man i.d.R. relativ schnell an seinem Erscheinungsbild.
Re: Browsertest
Danke!
Ich kenne ja die IP mit der im Hintergrund irgendwas passiert. Ist es dann nicht möglich diese im CMS Ordner zu suchen?
Ich habe von anderen erfahren, dass sich solch ein Script auch an Flash oder Bilddateien anhängen kann. Wie bekomme ich das denn geregelt???
Danke
Ich kenne ja die IP mit der im Hintergrund irgendwas passiert. Ist es dann nicht möglich diese im CMS Ordner zu suchen?
Ich habe von anderen erfahren, dass sich solch ein Script auch an Flash oder Bilddateien anhängen kann. Wie bekomme ich das denn geregelt???
Danke
Re: Browsertest
mir ist aufgefallen, dass die Trojanermeldung nur bei der deutschen Sprache (changelang=1)kommt. Ich habe jetzt eine neue Sprache angelegt und von der deutschen Seite synchronisiert.
Bis jetzt kommt keine Meldung mehr. Ist das vielleicht ein Lösungsansatz?
Bis jetzt kommt keine Meldung mehr. Ist das vielleicht ein Lösungsansatz?