kostenloser Webspace werbefrei: lima-city


Trojaner von meiner Seite?

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    loric

    loric hat kostenlosen Webspace.

    Ja also ich betreue, seit mitlerweile nem Halben Jahr ne Seite. Diese war schon in Design und Code fertig als ich sie ?bernahm, bestand also aus frames mit einer JS navigation und als Terminkalender ein CGI-Newsscript.

    Vor kurzem hat mein Vater die seite mal aus seiner Arbeit ge?ffnet und den Terminkalender aufgerufen und die Macafee FW hat alarm geschlagen.

    Aber wieso, ich hab gleich nochmal alles ?berPr?fft und mit meinem Virenscanner ales durchgescanned.
    weder die HTML noch die CGI dateien zeigten irgend nen Virus auf. aber wenn man die seite aufruft schl?gt macafee nochimmer alarm.

    N freund von mir hat sich die Seite jetzt auch mal angesehen und im Quelltext vom Terminkalender ( also die Ausgabe des CGI-Newsscript) JavaScript code gesehen ( unescaped (also irgendwie verschl?sseld) und mir erkl?rt, das dieses ein JS von einem anderen server l?dt und dieses wiederum einen php script aufruft oder so.

    aber die eigentliche frage, wie kommt dieser JavaScriptcode in die ausgabe des CGIscripts. dort steht n?mlich nix drinnen davon ....
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. JavaScript ist clientseitig.

    CGI ist serverseitig...

    Von daher kann das beides nix miteinander zu tun haben (wenn ich dich richtig verstanden habe...)

    H2O
  4. Hallo loric,

    wie h2o schon ganz richtig schreibt, l?uft cgi auf cem Server und JS auf dem Client. Gaenau deswegen haben die beiden oft sehr viel miteinander zu tun. Das cgi Script ?bertr?gt oft Quellcode zum Client und der interpretiert das dann als JS. Deine Frage ist genau richtig: woher kann der Code kommen. Der code ist entweder schon im html eingebettet, oder steht im code des cgi Scripts, oder ist dort verschl?sselt versteckt, oder wird von der Festplatte des Servers nachgeladen, oder wird von einem weiteren Webserver nachgeladen, ... Also es gibt viele M?glichkeiten.
    Du kannst die ?bertragung von Malware nur ausschliessen, wenn du jede einzelne Zeile html und jede einzelne Zeile cgi code kennst, vestehst und die ?bertragenen Daten im Detail kennst.

    Gr?sse,
    limonero
  5. Jetzt verstehe ich was er meint .oO

    Ja, stimmt schon was mein Vorposter sagt.

    Folgende M?glichkeiten gibt es:
    - Javascript ruft exteren Seite mit Trojaner auf
    - CGI holt sich Script von externem Server (ich glaube ist m?glich...)
    - CGI generiert JavaScript mit fehlerhaftem Code, was irgendwie als Trojaner angenommen wird
    - JavaScript besteht zum Teil aus ActiveX und wird daher als Trojaner angenommen (kommt drauf an, wie die Firewall das pr?ft)

    Aber mit einem Link zu der Seite k?nnten wir nat?rlich mehr sagen...

    H2O
  6. Autor dieses Themas

    loric

    loric hat kostenlosen Webspace.

    Das habe ich auch verstanden, aber wie kommt dieser JavaScriptCode in den vom CGI-Script generierten HTML code?
    L?uft ja jetzt schon n Jahr lang und taucht erst seit ner woche der JavaScriptcode auf ?
    Das ist ja das unverst?ndliche woher ?

    aja

    ]

    wenn man den Java code entschl?sselt kommt auch diese Url vor ... http://barasos.com/top/foto.js

    versucht also des nachzuladen.


    Beitrag geändert: 27.10.2007 17:22:15 von loric
  7. a*****c

    Oh, antivir meldet sich auch mit einTrojaner

    Und das teil ist richtig l?stig,
    mann bekommt die vielen Meldungen gar nicht mehr weg.

    Blo? nicht auf die Seite gehn :-)
  8. a*****c

    Super, nach ein scan der Festplatte befand sich doch ein Trojaner darin, und das auch noch an etlichen stellen.

    :mad:
  9. Hallo loric,

    das cgi newsscript bezieht aus dem newsdirectory jede Menge verschl?sselte js scripte und sendet sie an den client. Auf dem client k?nnen diese js scripte wieder neue js scripte nachladen. Das kann sehr tief verschachtelt sein. Wie schon in meinem vorigen Posting erw?hnt, musst du dir alle ?bertragenen Daten entschl?sselt ansehen. Dann siehst du erst, was alles auf die Maschinen der Besucher alles ?bertragen wird.

    Nur nebenbei: Soweit ich sehe, sind das javascript scripte und kein java. java ist keine Abk?rzung f?r javascript, sondern etwas v?llig anderes.

    Gr?sse,
    limonero
  10. s****r

    Kleine Anmerkung mal vorweg,

    Es muss nicht unbedingt Malware, Spyware oder
    ein Virus sein, es kann sich auch um eine
    v?llig korrekt programmierte Funktion handeln.
    Ich kenne gen?gend Firewalls und Virenscanner,
    die beim einfachen Seitenaufruf Fehlalarm
    schlagen. Selbst Newsletter werden von
    Spam & Virenfiltern falsch eingestuft.

    Bei uns liegt die Ursache des Problems
    einzig und allein in einer v?llig korrekt
    programmierten Browserweiche.

    So sch?n sinnlos k?nnen Sicherheitsl?sungen
    auch von namhaften herstellern sein...
  11. Tja sutter,

    was willst du da eigentlich sagen? Nach deiner Vorbemerkung kommt kein Hauptteil.

    Das ist doch klar, dass das ein falscher Alarm sein kann. loric hat schon recht, wenn er sich darum k?mmert:

    * Nachdem die Ursache nicht bekannt ist, kann keine Entwarnung gegeben werden.

    * Jedes Sicherheitssystem produziert auch false positives. Es ist deswegen noch lange nicht sinnlos.

    * Wenn man seine Besucher nicht scheu machen will, beseitigt man so etwas am besten.

    Gr?sse,
    limonero
  12. Autor dieses Themas

    loric

    loric hat kostenlosen Webspace.

    Es ist sicher nicht von mir gewollter Code daher is er aufjedenfall b?se, auch wenn er harmlos ist.

    Java/ Javascrip, jaj sind zwei verschiedene sachen , aber im eifer des getipps lass ich meist des script weg, sollt ich mir aber vl angew?hnen da es doch unterschiedliche sachen sind.

    Soweit ich wei? wird versucht diesn http://www.sophos.com/virusinfo/analyses/trojcashgrabc.html
    Trojaner einzuschl?usen.

    Aus dem Newsdirectory bezieht das CGI eigentlich nur normale html datein und sollte nur diese darstellen.
    Und es geht mir eigentlich nur um die "esrte Schachtel" die die als erstes kommt wenn man meine seite aufruft, die muss ja irgendwer da hin gepackt haben... ???
  13. So, jetzt bin ich dem Code (um nicht zu sagen dem Kot) nachgegangen. Das Schweinderl startet tats?chlich eine windows exe datei beim Besucher und speichert Dateien unter Zufallsnamen ab. Auch ein verstecktes VB script wird verwendet. Und so weiter. Das ist kein falscher Alarm, das ist Malware. Was das Ding dann genau tut, kann ich nicht sagen, da ich keinen Monitor und Disassembler zur Hand habe. Aber was ich mit der rechten Maustaste und Notepad gesehen habe, reicht mir. Ganz sch?n gruselig.

    Wie das erste Kettenglied auf den Server gekommen ist, das wirst du m?glicherweise nicht mehr feststellen k?nnen. Du wirst nich drum herum kommen, jede einzelne Datei im Newsdirectory an zu sehen. Es kann sein das das Verfahren, wie die News auf den Server kommen, nicht sicher ist. Vielleicht kann da jeder seine verseuchten Nachrichten ablegen. Es kann aber auch der Server kompromittiert sein - oder vielleicht war er das fr?her. Es gen?gt ja eine Unachtsamkeit von irgend einem im Lauf der Zeit Beteiligten. Die Serverlogs k?nnen die Spuren zeigen, das muss aber nicht sein.

    Gr?sse,
    limonero
  14. s***2

    Also, ein Freund von mir hatte ein etwas ?hnliches Problem. Er hatte eine Bild Datei aus dem I-Net die er selber gedownloadet hat hochgestellt , und dabei bemerkte er nicht das in dieser Datei ein Trojaner war. Ich empfehle dir mal deine Seite (alle Dateien !) runterzuholen und mal ein Virencheck dr?ber laufen zu lassen. Manchmal h?ngt es aber aus an z.B. js dateien wo gesagt wird das ein Trojaner da w?re, obwohl dieser garnicht existiert.
  15. Autor dieses Themas

    loric

    loric hat kostenlosen Webspace.


    Also, ein Freund von mir hatte ein etwas ?hnliches Problem. Er hatte eine Bild Datei aus dem I-Net die er selber gedownloadet hat hochgestellt , und dabei bemerkte er nicht das in dieser Datei ein Trojaner war. Ich empfehle dir mal deine Seite (alle Dateien !) runterzuholen und mal ein Virencheck dr?ber laufen zu lassen. Manchmal h?ngt es aber aus an z.B. js dateien wo gesagt wird das ein Trojaner da w?re, obwohl dieser garnicht existiert.


    Also wir haben schon festgestellt das es ein echter bedrohlicher Virus ist und nicht flascher alarm -.- und die ganze Seite gescanned hab ich auch scho.

    @ limonero:
    Danke f?r die info, hab jetzt selbst in php&mysql ein neues sicheres script geschrieben.
    Hoffe mal das der Server nicht kompromietiert ist, schlie?lich is ja paid host, sondern mein vorg?nger der noch irgendwas verkorckst hat.
  16. Dann w?rd ich mal hoffen, dass es jetzt klappt,

    der war b?se, hat mit Sicherheit gut 50 mal alarm angezeigt (Zone-Alarm und Antivir also insgesamt 100 Alarme:slant:)

    Naja, hoffentlich klappt es jetzt, viel Gl?ck!
  17. r*****r

    bei kam nur ein einziger Alarm

  18. ... hab jetzt selbst in php&mysql ein neues sicheres script geschrieben.


    Bitte Vorsicht, da stimmt was nicht.

    Es wird immer noch das selbe script auf den client eines Besuchers ?bertragen.

    Gr?sse,
    limonero
  19. Autor dieses Themas

    loric

    loric hat kostenlosen Webspace.

    Das is weil der link oben auch noch auf das CGI linkt, und nicht auf das PHP-script. Aber danke f?r die F?rsorge :)
  20. Hallo Loric,

    ich schlage vor, du nimmst diese Malwareschleuder mal vom Netz, wenn du das nicht unmittelbar beheben kannst. Es k?nnte sein, dass dir das die Besucher sonst sehr ?bel nehmen. Nach dem dir der Missstand bekannt ist, kannst du voll verantwortlich daf?r gemacht werden.

    In der Zwischenzeit habe ich malwareupload.com gebeten die exe zu untersuchen, die ich mir ?ber deine Seite heruntergeladen habe. Sie haben herausgefunden was damit auf den PCs der ahnungslosen Besucher gemacht wird:

    Hallo,
    Wir haben Ihre Datei web.exe ?berpr?ft und kamen zu folgendem Ergebnis:
    Neuer Trojaner-Downloader.
    Erstellt:
    C:\\WINDOWS\\ssvchst.exe
    C:\\WINDOWS\\ajdnjh.exe
    Downloadet einen Keylogger.
    Danke!


    Gr?sse,
    limonero
  21. was ist eigentlich, wenn man JavaScript deaktiviert ? Kann man sich das Teil dann trotzdem einfangen ?
    Oder war das jetzt ein VBScript ?
  22. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!