Virus/Trojaner? (/Twinbeat: Solved)

    Die Meldung bekam ich auch.
    Ich habe mal einen kompletten Scan gemacht auf dem Rechner und nichts gefunden.
    Meint ihr ich kann jetzt sicher sein? ODer sollte ich noch etwas überprüfen?

    Noch ein Tip den ich vorhin bekommen habe. Offen wie ein Scheunentor soll auch die 6er Version von Sun's Java sein. Am besten Java einmal komplett deinstallieren (Ordner nachschauen und manuell löschen nicht vergessen) und wenn man Java auf dem Rechner benötigt (geht mir leider so) die letzte Version 7 Update 5 installieren. Die soll vorerst relativ safe sein... nuja, so safe wie das heutzutage halt geht... und immer schön Updates laufen lassen...

    Laut Provider wurde von der IP nicht auf die Datenbank des Forums zugegriffen sondern lediglich auf den FTP-Server. Es wurden auch sonst keinerlei Änderungen vorgenommen... nur heimlich dieser Link gesetzt.


    Aber nichts desto trotz rate ich jedem dazu sein Passwort in regelmässigen Abständen zu ändern... und vor allem kein Passwort in einem Forum zu benutzen das bei anderen wichtigen oder sensiblen Services (als Beispiel sei mal PayPal genannt) ebenfalls in Gebrauch ist. Foren bieten halt eine recht breite Angriffsfläche... das darf man nie vergessen. Und der gemeine Forumsadmin so wie ich einer bin kann sich auch keine 100-Mann-Starke IT-Abteilung zur Abwehr von Angriffen leisten wie das vielleicht bei Facebook und Co. ist. Und selbst da versagt die Sicherheit gern mal.

    Auch die netten Kleinigkeiten wie "Schnellantwort" fehlt.

    "Der Kubica weiß genau: Wenn er zu langsam ist, fährt er morgen wieder Traktor in Polen."
    Zitat: Toro-Rosso-Mitbesitzer Gerhard Berger über die positive Arbeitseinstellung des BMW-Sauber-Piloten Robert Kubica.

    Sorry das das länger gedauert hat, aber wir haben jetzt einen Rundumschlag gemacht.


    Wir haben auch rausbekommen von welchem Provider in Frankreich die Angriffe ausgingen. Dieser hat eine sehr schlechten Ruf weil die einige unkoschere Services auf ihren Servern laufen haben. Die komplette IP-Range dieses Providers wurde jetzt für den Zugriff auf das Forum gesperrt und wir haben noch 2-3 Sachen umgestellt über die ich nicht weiter ins Detail gehen möchte.


    Aber die Alarmbereitschaft ist noch nicht aufgehoben. Ich und auch der Support des Providers behält meine 3 betroffenen Domains über die nächsten Tage genauer im Auge. FTP-Zugriffe führen z.B. jetzt zu einem regelrechten Alarm beim Support. :) Aber ich möchte auch euch bitten weiter die Augen offen zu halten und sofort hier reinzuschreiben wenn euch was auffällt... z.B. das eins eurer Sicherheitsprogramme anschlägt.


    Ihr könnt mich auch jederzeit anrufen... Telefonnummer findet ihr im Impressum.

    Zitat von TwinBeat

    ... anscheinend wurde mein FTP-Zugang gehackt und jemand der eine französische IP benutzt hat änderte am 21.06. um ca. 21 Uhr 209 Dateien des Forums und hat ein kurzes Script eingefügt was auf diese Internet-Seite und einer stat.php verlinkte. Ich kann nur ahnen zu welchen Zweck...

    Bedeutet das, dass Dein FTP-Zugang schon wieder geknackt werden konnte?

    25 Jahre Nordschleife mit 3.500+ Runden
    und sauschnell auf 235ern und ohne Schwuchtel-Hightech.
    Bekennender Evo-im-Winter-Benutzer.


    Wenn wir das mal wüssten... der hat sich direkt ohne Umwege auf dem FTP-Server eingeloggt und keiner weiss wie das kommen konnte.


    Ich hab allerdings auf meinem Rechner irgendwas Trojaner-Artiges gefunden was beim Systemstart mitgestartet wurde. Das Ding ist jetzt weg. Vielleicht war es das, aber komischerweise hat auf diese Datei kein Virenprogramm angeschlagen.


    Ich kanns nur weiter beobachten und hoffen das unsere Maßnahmen heute den ungewünschten Gast draussen halten können...

    "irgendwas Trojaner-Artiges beim Systemstart" ?


    Wenn er einmal Zugriff auf dein System hatte, kann alles mögliche nachgeladen wurden sein.
    Bei Rootkits und Bootsektor-Geschichten kannst du lange auf das Anschlagen eines Virusprogammes warten.
    Das Tool liegt wahrscheinlich nicht mal mehr auf der Systempartition sondern hat sich seine eigene gebaut ...


    TwinBeat bei einer solchen Geschichte gibt es nur eine Lösung. Formatieren, incl. Bootsektor!
    Es sei denn du hast jemanden der sich damit richtig auskennt. (ich meine richtig!).
    Doch selbst dann ist der Aufwand das System neu aufzusetzten wohl noch geringer.

    Hab mich missdeutlich ausgedrückt. Nicht so ein nerviges und ausgefeiltes Ding was sich irgendwie in den Bootsektor festsetzt. Mit sowas hab ich vor ein paar Jahren auch schonmal Bekanntschaft gemacht und kenn mich damit ein bisschen aus.


    Das war lediglich eine Datei die in die Windows-Start-Dateien (Stichwort msconfig) eingetragen war, mit einem komischen Dateinamen und sie war in den Anwendungsdaten-Ordner versteckt. Also sehr suspekt und deswegen hab ich sie umgehend rausgeworfen... in mehreren Schritten um sicher zu gehen. Die ist definitiv weg. Ob das die Lücke war weiss kein Mensch. Ich hab die mal an Avast geschickt weil auf die keiner der 3 Virenscanner angeschlagen hat. Mal schaun ob ich eine Rückmeldung bekomme.


    Aber es kann auch schlicht sein das da jemand mit Können zugange war/ist der eine Lücke entweder im Forumssystem oder bei meinem Provider ausgenutzt hat. Mein Provider ist auf jeden Fall gewarnt und hat wie ich schon sagte Maßnahmen getroffen. Und was das Forum angeht hab ich die letzten beiden Add-Ons rausgenommen und nochmals Updates für alle Komponenten gefahren.


    Ob die ganze Arbeit von Erfolg gekrönt ist werden wir wohl erst in den nächsten Tagen sehen. Ich mach jedenfalls bis auf weiteres jeden Tag ein Backup der kompletten Seiten um auf Nummer Sicher zu gehen.