#315664 MagicBird
Berlin, 20.07.2012, 01:07:05
|
Blackhole WebAttack (web.coding) |
Hallo Forum,
es gibt da ein Problem, vor einigen tagen bin ich mal auf die Radioseite von mein Kollegen gegangen und mein Norton hat ein blackhole webattack Alarm gebracht.
Daraufhin hat er es Zuhause bei sich auch versucht und den selben Fehler bekommen.
Nun haben wir die Seite mit FTP herunter gezogen wobei das Virenprogramm kein Alarm gebracht hat.
Dann haben wir mit mysql front die db's gesichert wobei mir bei der Datenmenge ich kaum mehr durch gesehen habe und das Virenprogramm kein Alarm gebracht hat.
Nun mein anliegen, was kann ich dagegen unter nehmen.
www.smp-radio.fm
ist die Seite.
mfg danke lars
|
#315669 Johann [Gast]
20.07.2012, 10:13:42 (editiert von Johann, 20.07.2012, 10:17:32)
@ MagicBird
|
Blackhole WebAttack (ed) |
Hallo,
überprüfen alle Javascript-Dateien der Website. Wenn am Ende von diesen Skripten verschlüsselter Code steht, der evtl. so beginnt:
/*km0ae9gr6m*/try{... und eine lange Codezeile mit vielen Zahlen....
dann sind diese Dateien infiziert und Du musst diesen Code überall entfernen.
Und falls dem so ist, ist dann die Frage, ob auf dem Webserver Plesk läuft. Dieses ist dann auf die neueste Version upzudaten. Möglicherweise sind ältere Plesk Versionen das Einfallstor, aber genau weiss man das noch nicht.
Gruß,
Johann
|
#315673 MagicBird
Berlin, 20.07.2012, 12:46:26
@ Johann
|
Blackhole WebAttack |
Hallo Johann,
ja, ich habe das script in der bbcode.js gefunden werde die datei mit einer alten datei ersetzten.
mfg lars
> Hallo,
>
> überprüfen alle Javascript-Dateien der Website. Wenn am Ende von diesen
> Skripten verschlüsselter Code steht, der evtl. so beginnt:
>
> /*km0ae9gr6m*/try{... und eine lange Codezeile mit vielen Zahlen....
>
> dann sind diese Dateien infiziert und Du musst diesen Code überall
> entfernen.
> Und falls dem so ist, ist dann die Frage, ob auf dem Webserver Plesk läuft.
> Dieses ist dann auf die neueste Version upzudaten. Möglicherweise sind
> ältere Plesk Versionen das Einfallstor, aber genau weiss man das noch
> nicht.
>
> Gruß,
> Johann
|
#315740 MagicBird
Berlin, 21.07.2012, 21:06:02
@ Johann
|
Blackhole WebAttack |
Hallo Johann,
sagmal woher weissten das alles?
habe plesk nun auf 10.0.0 upgedatet. werde die tage das auf 10.1.3 updaten.
danke lars
> Hallo,
>
> überprüfen alle Javascript-Dateien der Website. Wenn am Ende von diesen
> Skripten verschlüsselter Code steht, der evtl. so beginnt:
>
> /*km0ae9gr6m*/try{... und eine lange Codezeile mit vielen Zahlen....
>
> dann sind diese Dateien infiziert und Du musst diesen Code überall
> entfernen.
> Und falls dem so ist, ist dann die Frage, ob auf dem Webserver Plesk läuft.
> Dieses ist dann auf die neueste Version upzudaten. Möglicherweise sind
> ältere Plesk Versionen das Einfallstor, aber genau weiss man das noch
> nicht.
>
> Gruß,
> Johann
|
#315741 d-fens
Bonn, 21.07.2012, 21:09:51
@ MagicBird
|
Blackhole WebAttack |
> Hallo Johann,
>
> sagmal woher weissten das alles?
Na, von dieser Geschichte.
--
„Tu es oder tu es nicht! Es gibt kein Versuchen.“
(Jedi-Meister Yoda)
|
#315742 Johann [Gast]
21.07.2012, 21:18:50 (editiert von Johann, 21.07.2012, 21:21:37)
@ MagicBird
|
Blackhole WebAttack (ed) |
Hallo Lars,
das habe ich im Zuge dieser Sache vor ein paar Tagen ermittelt.
Da ich selber Webserver betreue, ist so etwas für mich von Interesse. Habe deswegen den Schädling mal analysiert, Bisschen was auf Stackoverflow und weiteren Seiten recherchiert. Und paar Tage später kommst Du halt mit dem Endpunkt der JS-attacke, dem Blackhole. Da hatte ich dann gleich die passende Medozine parat.
Gruß,
Johann
|