Webserver verteilt Viren

M

M1ster-T

Registered User
Hallo Gemeinde,

ich habe seit 5 Tagen ein Problem, Freund eund Bekannte rufen mich an das Sie wenn Sie meine Seite ansurfen, die Meldung bekommen das ein Virus gefunden wurde.

Die Meldung die Sie erhalten ist folgende:

In der Datei 'C:\Dokumente und Einstellungen\carola\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DJX0TVNZ\uxnxs[1].js'
wurde ein Virus oder unerwünschtes Programm 'HTML/Silly.Gen' [HTML/Silly.Gen] gefunden.

Ich habe mir nun mal selbst Antivir auf einem Rechner Installiert und bekomme ebenfalls diese Mitteilung auf allen Seiten auf dem Server.

Was kann ich tun, bzw. welche Ansätze sind jetzt die richtigen um das Problem zu beheben.

Viele Grüße
 
Hallo,

lass mich raten du hast Werbung auf deiner Seite.

Das wäre die angenehmere Variante.
Werbung rausschmeissen und gut ist.
Darüber gab es in letzter Zeit mehrere Berichte.


Wenn das nicht der Fall ist, dann solltest du mal deinen Quelltext nach einem iFrame durchsuchen das da nicht rein gehört ;)

Wenn du fündig geworden bist, dann hast du ein etwas größeres Problem und musst sämtliche Dateien auf deinem Server die zu deiner Webseite gehören durchsuchen und den Server am besten neu installieren.
 
Hallo,

danke für Deine Antwort, aber ein iframe finde ich in meinen Datein überhaupt nicht, gitb es noch eine Möglichkeit nach der ich suchen kann?

VG
 
Hallo,

sicher du könntest einfach mal deine kompletten Dateien deiner Webseite(n) auf Viren und/oder schadhaften Code prüfen.
 
Ich hat, vermute ich, mal genau das gleiche Problem.
Schau einfach mal in dem Ordner, auf den deine Leute zugreifen, ob dort Dateien sind, die eigentlich nicht dahin gehören.
 
Probier doch mal
Code: 
cat /var/www/*|grep iframe
musst halt dein Verzeichnis anpassen.

Dann siehst Du schonmal ob es überhaupt sowas gibt unter Deinen Files.

lg
Basti
 
traced said:
Probier doch mal
Code: 
cat /var/www/*|grep iframe
musst halt dein Verzeichnis anpassen.

Dann siehst Du schonmal ob es überhaupt sowas gibt unter Deinen Files.

lg
Basti
Click to expand...

Hallo Basti,

also ich habe das mal versucht jetzt, aber habe leider nichts finden können, habe es mal mit einem anderen Begriff versucht als iframe das klappt einfach zum testen das ich es nicht falsch anwende. Was kann ich nun versuchen?
 
Wenn dann bitte
Code: 
find /var/www/ -type f -print0 |xargs -0 grep -i iframe
. So findest Du auch Dateien in Unterverzeichnissen und auch solche in denen "iframe" nicht nur klein geschrieben ist (HTML unterscheidet nicht bei Groß-/Kleinschreibung).

Ansonsten könntest Du ja auch mal das ganze /var/www-Verzeichnis in ein .zip-File packen, auf den heimischen Rechner runterladen und dann dem Virenscanner vorsetzen...

Viele Grüße,
LinuxAdmin
 
Hallo,

habe es jetzt mal so gemacht und den html Ordner auf meine HDD geladen, durchsuchen lassen und nichts gefunden, also irgendwie weiß ich nicht wie ich richtig ansetzen soll bei der Sache.
 
Dann kann es noch sein dass die dateien anders included werden . . .


Ich weiss ja nicht welche Seite du betreibst, aber lass doch mal (so blöd es klingt) jeden externen Verweis suchen.

Sprich, starte ne suchabfrage die deine eigene Seite ignoriert, aber alle anderen links auflistet. . oder lass nur mal nach dem Packagenamen in den Dateien suchen!

( uxnxs[1].js oder uxnxs.js oder eben nur *.js)
 
Das suchen war aussichtslos, wir haben am Ende mit 6 Mann drüber gehockt und keiner hat irgendwas finden können. Am Ende haben wir uns entschieden einfach alles neu Aufzusetzen.

VG T
 
Ihr setzt nicht Flash ein, oder? Da gab es vor einer Weile ja auch ein paar Sicherheitslücken (Cross-Scripting). Ich finde jetzt gerade den Link nicht. :/
 
Auch wenn im folgenden Ausschnitt 'Britisch' verwendet wird, kann es durchaus sein dass dein System exakt diesem Schädling aufgesessen ist!

Evtl. wäre das ne News im Forum wert...
Dynamische Malware infiziert Webseiten
Der Sicherheitsanbieter ScanSafe hat bisher etwa 230 britische Webseiten ermittelt, die von dynamischen JavaScript-Modulen angegriffen werden, welche sich nur sehr schlecht entfernen lassen......

"Die Sache ist nicht mit bereinigen und wiederherstellen erledigt. Der Angriff ist technisch extrem ausgereift".......

Ein Besucher einer infizierten Webseite wird selber mit JavaScript-Dateien mit zufälligen Dateinamen verseucht....
Click to expand...
Quelle:
Dynamische Malware infiziert Webseiten - Security Management - silicon.de


So, und hier gleich eine tolle Nachricht, falls es dich wirklich erwischt hat:

Website administrators have been removing and cleaning their Webserver files, and even reinstalling their OS just to find out their website is again serving malicious "virtual" JavaScript files and Rbot executables just hours later.

Some fear that they can't see the files (xybjq.js, etc.) because they are infected with a rootkit.
Click to expand...
Quelle:
SecureWorks Discovers Protection Against Massive Website Attack Infecting 10,000 Linux/Apache Servers - Research - SecureWorks: Managed, Monitored & On-Demand Security Services

Da stehen auch Lösungen bereit
 
Last edited by a moderator:
Vielen Dank Ricko, für's Recherchieren! Da steckt ja deutlich mehr dahinter...

Wenn man also etwas weiter sucht, findet man z.B. im
Phrack-Magazin detaillierte Informationen, wie solche Angriffe funktionieren. Dabei wird auch klar, dass die im von Ricko genannten Link abstrakt dargestellten Maßnahmen (dynamisches Laden verbieten) zwar funktionieren, aber das eigentliche Problem außer Acht lassen: Der Angriff hat nur deshalb funktioniert, weil die Angreifer es schaffen konnten, Code auf das System zu laden (z.B. über ein PHP-Include).

Daher sollte M1ster-T alles daran setzen, die Sicherheitslücke in seinem Webauftritt (alle PHP-Scripte und anderer dynamischer Inhalt) zu finden. Denn wo RPIs funktionieren, können auch ganz andere Sachen laufen, wie z.B. DDoS, SPAM, etc.

Ansonsten wird dringend empfohlen, Generatoren für dynamische Seiten (PHP, perl, etc.) in separaten Prozessen laufen zu lassen (cgi/fcgi) und nicht als Modul, das vom Webserver ausgeführt wird. Desweiteren sollten Benutzer-Credentials nicht von verschiedenen Instanzen geteilt werden -> Stichwort suExec. (Quelle: Bugtraq: Apache Prefork MPM vulnerabilities - Report).

Viele Grüße,
LinuxAdmin
 
Irgendwie lesen sich die ganzen Sachen zu dem Apache-Angriff wie Snake-Oil mit viel Buzzwords. Würde super zu einer neuen FUD-Kampagne von MS passen...

Ist das durch weitere Quellen verifiziert, dass es tatsächlich eine solche Bedrohung gibt? Habe letztens wenig Zeit, die ganzen Meldungen zu verfolgen. :(
 
Hallo,

M1ster-T said:
Sie wenn Sie meine Seite ansurfen, die Meldung bekommen das ein Virus gefunden wurde.
Click to expand...

besteht das Problem noch, falls ja, kannst Du uns Deine Domain geben unter der das passiert, ich würde das gerne mal selbst gesehen haben.

Falls Du mehrere Domains auf dem Server hast: ist eine betroffen oder alle?
Sind statische Dokumente (also auf dem Server als htm(l) abgelegte) betroffen oder scriptgenerierte Seiten oder beides?
Kannst Du das Problem (vorübergehend?) beseitigen wenn Du den Apachen neu startest oder wenn Du den Server neu startest?
 
elias5000 said:
Ist das durch weitere Quellen verifiziert, dass es tatsächlich eine solche Bedrohung gibt? Habe letztens wenig Zeit, die ganzen Meldungen zu verfolgen. :(
Click to expand...


Ich denke die angegebenen Seiten sollten doch ausreichend sein.

Aber, ich poste in dem Thread zu dem Thema noch ein Paar Infos:

[Diskussion] Dynamische Malware infiziert Webseiten

Moin! Ich stelle hier den News-Artikel zur Diskussion, da ich gerade nicht auf blobs Frage eingehen kann mangels Zeit. In dem Beitrag über neuen Virus, wäre es gut, noch dazuzuschreiben, wo exakt man was an der Apache-Konfiguration ändern muß. Ich habe nach dynamisch laden in den...
serversupportforum.de serversupportforum.de
 
You must log in or register to reply here.
Back
Top