zurück zur Übersicht neuer Eintrag
Ansicht:   

#315664

MagicBird

Berlin,
20.07.2012, 01:07:05

Blackhole WebAttack (web.coding)

antworten

Hallo Forum,

es gibt da ein Problem, vor einigen tagen bin ich mal auf die Radioseite von mein Kollegen gegangen und mein Norton hat ein blackhole webattack Alarm gebracht.

Daraufhin hat er es Zuhause bei sich auch versucht und den selben Fehler bekommen.
Nun haben wir die Seite mit FTP herunter gezogen wobei das Virenprogramm kein Alarm gebracht hat.

Dann haben wir mit mysql front die db's gesichert wobei mir bei der Datenmenge ich kaum mehr durch gesehen habe und das Virenprogramm kein Alarm gebracht hat.

Nun mein anliegen, was kann ich dagegen unter nehmen.
www.smp-radio.fm
ist die Seite.

mfg danke lars

#315669

Johann [Gast]

20.07.2012, 10:13:42
(editiert von Johann, 20.07.2012, 10:17:32)

@ MagicBird

Blackhole WebAttack (ed)

antworten

Hallo,

überprüfen alle Javascript-Dateien der Website. Wenn am Ende von diesen Skripten verschlüsselter Code steht, der evtl. so beginnt:

/*km0ae9gr6m*/try{... und eine lange Codezeile mit vielen Zahlen....

dann sind diese Dateien infiziert und Du musst diesen Code überall entfernen.
Und falls dem so ist, ist dann die Frage, ob auf dem Webserver Plesk läuft. Dieses ist dann auf die neueste Version upzudaten. Möglicherweise sind ältere Plesk Versionen das Einfallstor, aber genau weiss man das noch nicht.

Gruß,
Johann

#315673

MagicBird

Berlin,
20.07.2012, 12:46:26

@ Johann

Blackhole WebAttack

antworten

Hallo Johann,

ja, ich habe das script in der bbcode.js gefunden werde die datei mit einer alten datei ersetzten.

mfg lars


> Hallo,
 >
> überprüfen alle Javascript-Dateien der Website. Wenn am Ende von diesen
 > Skripten verschlüsselter Code steht, der evtl. so beginnt:
 >
> /*km0ae9gr6m*/try{... und eine lange Codezeile mit vielen Zahlen....
 >
> dann sind diese Dateien infiziert und Du musst diesen Code überall
 > entfernen.
 > Und falls dem so ist, ist dann die Frage, ob auf dem Webserver Plesk läuft.
 > Dieses ist dann auf die neueste Version upzudaten. Möglicherweise sind
 > ältere Plesk Versionen das Einfallstor, aber genau weiss man das noch
 > nicht.
 >
> Gruß,
 > Johann

#315740

MagicBird

Berlin,
21.07.2012, 21:06:02

@ Johann

Blackhole WebAttack

antworten

Hallo Johann,

sagmal woher weissten das alles?

habe plesk nun auf 10.0.0 upgedatet. werde die tage das auf 10.1.3 updaten.

danke lars


> Hallo,
 >
> überprüfen alle Javascript-Dateien der Website. Wenn am Ende von diesen
 > Skripten verschlüsselter Code steht, der evtl. so beginnt:
 >
> /*km0ae9gr6m*/try{... und eine lange Codezeile mit vielen Zahlen....
 >
> dann sind diese Dateien infiziert und Du musst diesen Code überall
 > entfernen.
 > Und falls dem so ist, ist dann die Frage, ob auf dem Webserver Plesk läuft.
 > Dieses ist dann auf die neueste Version upzudaten. Möglicherweise sind
 > ältere Plesk Versionen das Einfallstor, aber genau weiss man das noch
 > nicht.
 >
> Gruß,
 > Johann

#315741

d-fens

Bonn,
21.07.2012, 21:09:51

@ MagicBird

Blackhole WebAttack

antworten

> Hallo Johann,
 >
> sagmal woher weissten das alles?
Na, von dieser Geschichte.  :-)

--
„Tu es oder tu es nicht! Es gibt kein Versuchen.“
(Jedi-Meister Yoda)

#315742

Johann [Gast]

21.07.2012, 21:18:50
(editiert von Johann, 21.07.2012, 21:21:37)

@ MagicBird

Blackhole WebAttack (ed)

antworten

Hallo Lars,

das habe ich im Zuge dieser Sache vor ein paar Tagen ermittelt.
Da ich selber Webserver betreue, ist so etwas für mich von Interesse. Habe deswegen den Schädling mal analysiert, Bisschen was auf Stackoverflow und weiteren Seiten recherchiert. Und paar Tage später kommst Du halt mit dem Endpunkt der JS-attacke, dem Blackhole. Da hatte ich dann gleich die passende Medozine parat.

Gruß,
Johann

zurück zur Übersicht neuer Eintrag
Ansicht:   
Auf unserer Web-Seite werden Cookies eingesetzt, um diverse Funktionalitäten zu gewährleisten. Hier erfährst du alles zum Datenschutz