Contao Website gehackt?

[TonCao]

Hallo Forum,

ich bin neu hier und relativ neu bei Contao. Ich habe vor ca 3 Wochen für einen Kunden Contao 2.9.1 installiert und habe seit kurzem das Phänomen, dass ab und zu beim Aufruf sowohl des Frontends als auch des Backends ein 2x2 Pixel kleiner iframe auf der Seite zu sehen ist.

Ich habe mir den Quelltext mit firebug angesehen und es wird direkt nach dem body tag sowohl Javascript-Code als auch der folgende iframe eingefügt.

Code:

<iframe src="http:// l. pprtest .info / in . cgi ? 2" width="2" height="2"></iframe>

Kann mir das nicht erklären und vermute böses. Weiß jemand von Euch erstens, ob das zum System gehört oder ob es sich um einen Hack handelt und zweitens, wie ich heraus finden kann, wer (welche Datei) diesen Code einfügt? Habe alle mir verfügbaren logs angesehen (leider kein ftp), und nichts auffälliges sehen können. Auch konnte ich keine offensichtlich veränderte Datei finden.

Ich kann hier leider die URL nicht veröffentlichen, da die Seite noch nicht für die Öffentlichkeit frei geschaltet ist und der Kunde es daher untersagt.

Hoffe Ihr könnt mir hier helfen.

Danke im Voraus und Grüße,
TonCao

[lucina]

Böse, siehe http://www.google.com/safebrowsing/d...l.pprtest.info

Bleibt die Frage, wie das dort hingekommen ist. Und für dich die Aufgabe, neu und sauber zu installieren & Deine Inhalte zu portieren, ohne die Wanze mitzunehmen.

Carolina.

(So etwas kommt mir in letzter Zeit entschieden zu oft vor)

[Nina]

Unbedingt die üblichen Vorherkehrungen treffen:

• FTP- und MySQL- sowie alle Nutzerzugangsdaten ändern
• alle Daten sauber prüfen ob ggf. am Server "unerwünschte" Dateien abgelegt wurden
• den Webhoster informieren, damit der prüfen kann ob auch andere Webspace-Pakete betroffen sind (ist der Fall, wenn der Server an sich gehackt wurde) und dir idealerweise dabei hilft herauszufinden, über welchen Weg überhaupt gehackt wurde.
• alle Computer mit aktuellstem Virenschutz versehen, von denen aus eine Internetverbindung besteht und sie genau durchprüfen

[TonCao]

Danke für Eure Antworten.

Der Hoster ist leider sehr unkooperativ und gewährt keinen Zugang zu den FTP Logfiles. Er sagt auch bei Ihnen sei alles sicher (ohne der Sache genauer auf den Grund zu gehen wie mir scheint). Macht es Sinn, ein Backup drauf zu spielen, das im selben FTP-Bereich liegt? Vermutlich nicht, oder? Das heißt dann wohl das komplette System neu aufzusetzen. Oh je.

Ich verstehe allerdings nicht wie das passieren konnte. Alle Passwörter sind schwer zu knacken, da Kombinationen aus Groß/Kleinbuchstaben, Zahlen und Sonderzeichen mit Länge >= 8. Es werden von meinem Code keine GET-Werte verarbeitet, die schadhaften Code durch lassen könnten. Kann sowas durch Upload von Bildern oder PDFs passieren? Es ist mir ein Rätsel.

Danke und Gruß,
TonCao

PS: Habt Ihr ne Idee wie ich meine Arbeit retten kann (Templates, DB), damit ich nicht alles neu machen muss?

[BugBuster]

Lass den Systemcheck drüberlaufen und ersetze die korrupt markierten Dateien.
Natürlich aufpassen bei config Files, die nicht, aber prüfen wäre auch hier sinnvoll.

Ne Info welche Dateien korrupt waren und durch Prüfung auch wirklich infiziert waren wäre mal interessant zu hören.

[TonCao]

Hallo Bugbuster,

vielen Dank für den Tipp! Es waren drei Dateien, die korrupt waren. Und alle drei hatte tatsächlich ich verändert und per ftp hoch geladen. Es waren die Mediabox.js in den plugins, die tl_page.php in modules/backend/dca und die tinyMCE.php im config Ordner.

Sollte das heißen, dass ich die Dateien infiziert und dann hochgeladen habe, oder habe ich sie in einen Zustand versetzt, der sie angreifbar machte? Ich halte mein System (Vista) immer auf dem laufenden, lasse regelmäßig Norton Antivirus über die gesamte Platte laufen, genauso wie Windows Defender. Bin fast nur mit dem noscript-plugin im netz und klicke nicht willkürlich irgendwelche links an. Habe natürlich auch nach dem ersten Auftreten mein komplettes lokales System gescannt, ohne etwas bösartiges zu finden.

Könntest Du mir Scenarios nennen, wie das passiert sein kann?

Vielen Dank,
TonCao

[BugBuster]

Hmm, ich würde mal denken, das die Scanner das nicht finden, an so einem iframe ist ja an sich nichts schlimmes.
In den drei Dateien die du geändert hast, waren auch die Hacks drin?

Wenn ja, bleibt die Frage, wo wurde infiziert.
Wenn Du nur in Richtung lokal -> Server arbeitest und nie umgekehrt, dann wird die Infizierung wohl lokal erfolgt sein. (Editor, FTP Programm, was auch immer)
Arbeitest du in beiden Richtungen, z.B. wegen Backup, dann könnte es durchaus sein, das die Dateien schon vorher auf dem Server infiziert wurden.

[BugBuster]

Hmm, laut Google:
http:// l .pprtest. info/in.cgi?2 redirects to http:// geo. yahoo.com/

Hast du irgendwelchen Yahoo Toolbars durch Shareware Software o.ä. installiert?

[TonCao]

Hallo Bugbuster,

danke für Deine Antwort!

Ich bin mir nicht bewusst, etwas in der Art installiert zu haben. Und in den letzten Wochen schon gar nicht.

Ich arbeite meist in beiden Richtungen. Ich ziehe mir oft die Originaldateien vom Server, bearbeite sie und schiebe sie wieder hoch. Insofern kann die Infizierung doch auf dem Server passiert sein.

Wie schätzt Du das ein, kann ich an der Installation weiterarbeiten, oder muss ich doch alles "platt" machen?

Danke & allen schon mal frohe Weihnachten,
TonCao

[tinoo]

Ich arbeite meist in beiden Richtungen. Ich ziehe mir oft die Originaldateien vom Server, bearbeite sie und schiebe sie wieder hoch. Insofern kann die Infizierung doch auf dem Server passiert sein.

Was für ein Programm verwendest du dazu? FileZilla? In der neusten Version?

[do_while]

Hallo TonCao,

es wäre sehr nützlich, wenn Du herausbekommen könntest, wo genau der Schadcode herkommt, den Du im Quelltext siehst. Es gibt ja die Möglichkeit, dass eine oder mehrere Dateien verändert wurden, es gibt aber auch die 2. Möglichkeit, dass der Schadcode irgendwie in die Datenbank hinein gelangt ist und dann jeweils auf der betreffenden Seite mit ausgegeben wird (z.B. in einem Artikeltext).

Den Diagnosetool hast Du ja schon probiert. Sind denn die Dateiinhalte der 3 abweichenden Dateien noch so, wie Du sie verändert hattest? Gerade in HTML ist der Schadcode ja nicht richtig versteckt, sondern im Quelltext meist sichtbar.

Für eine Datenbank-Injection könntest Du das Datenbank-Backup mit einem ASCII-Editor (z.B. Notepad++) nach dem Schadcodetext durchsuchen (Du hast ja eindeutige Suchwörter im Schadcode). So müsstest Du die Stelle finden, die infiziert ist.

Nur wenn man genau weis, wo das ganze her kommt, kann man überlegen, wie das passiert sein kann und ob das nur Dein Problem ist oder ggf. auch andere Contao-Installationen betrifft.

[TonCao]

Danke, dass Ihr Euch auch zu Weihnachten um mein Problem bemüht!

Ich habe die Datenbank bereits per phpMyAdmin durchsucht und nichts finden können. Aber ich werde natürlich weiterhin versuchen, den Bösewicht aufzufinden.

Ich fürchte ja, dass die als korrupt gekennzeichneten Dateien gar nicht infiziert waren, sondern vom System Check nur als korrupt bezeichnet wurden, da ich sie ja verändert hatte. Ich hatte sie jedenfalls direkt überschrieben und nicht weiter untersucht. Der iframe ist auch immernoch bei jedem ersten Aufruf der Seite da, insofern scheint es daran nicht gelegen zu haben.

Jetzt wird aber erstmal Weihnachten gefeiert und dann sehe ich mir das in den nächsten Tagen nochmal intensiv an und melde mich.

Euch allen nochmal ein frohes Fest!
TonCao

[BugBuster]

Hast du eigene Template Dateien im Verzeichnis /templates bzw. im Template Verzeichnis deines Themes? Da würde ich zuerst suchen, es könnte jemand einfach dort eine fe_page.tpl abgelegt haben die infiziert ist.

[Nina]

Bei welchem Webhoster liegt die Seite?

[TonCao]

Die Site liegt bei 1Blu.

Gruß,
TonCao

[TonCao]

Nachdem ich in den letzten Tagen meine komplette Festplatte mehrfach sowohl mit verschiedenen Antivirentools als auch mit Malwarebytes Anti-Malware und dem Windows Defender gescannt habe und weder Viren noch Trojaner auf meinem Rechner finden konnte, bin ich mir inzwischen relativ sicher, dass der Server gehackt ist. Es scheint jede php-Datei betroffen zu sein (also auch z.B. die install.php).

Ich habe außerdem noch einmal einen Datenbank Export gemacht und diesen mit einem Editor nach den injizierten codefragmenten durchsucht - ohne Erfolg. Die .tpl-Dateien habe ich mir auch noch einmal vorgenommen und konnte keine Veränderungen feststellen.

Ich habe des Weiteren testweise eine eigene php-Datei hoch geladen und auch in diese wird direkt nach dem body tag Javascriptcode eingefügt, der versucht, einen iFrame in das Dokument zu schreiben. Bei einer einfachen HTML-Datei ist dies offensichtlich nicht der Fall. Die Injection passiert wie bereits erwähnt nur in bestimmten Abständen, daher muss man jedesmal zwischen 15 und 60 Minuten warten, bis es das nächste mal passiert.

Kann mir einer von Euch erklären, wie sowas geht?

Vielen Dank im Voraus,
TonCao

[do_while]

Hallo TonCao,

na dann scheint ja die Datenbank schon mal clean zu sein.

kann es sein, dass Du irgendwo den Contao-Cache mit Zeiten zwischen 15 und 60 Minuten aktiviert hast?

Ist denn in den "veränderten" .php-Dateien der Schadcode dann sichtbar (im Editor)?
oder ist nur im Quelltext der dann ausgegebenen Seite der Schadcode drin?

Taucht der Schadcode im Frontend auch noch auf, nachdem Du in den Einstellungen mal alle Erweiterungen auf inaktiv gesetzt hast?

Zum Test erzeuge doch mal irgendwo im Dateibaum eine php-Datei, die Contao nicht kennt und nicht verwendet. Enthält diese Datei auch nach einiger Zeit den Schadcode?

[TonCao]

Hallo do_while,

danke für die Antwort.

Den Contao Cache habe ich nicht verändert. Und zumindest im JS-Code wird ein cookie mit Verfallszeit gesetzt.

Ich habe keine veränderten php files finden können und der JS Code ist nur im Quelltext der Ausgabeseiten sichtbar.

Ich habe die Erweiterungen bisher nicht versucht zu deaktivieren, da ich wie im letzten posting geschildert den Test mit einer von Contao unabhängigen Datei gemacht habe (also genau so wie du es vorschlägst). Dabei wurde der Code eben auch eingefügt, weshalb ich die Erweiterungen dann nicht mehr getestet habe.

Gruß,
TonCao

[do_while]

Hallo TonCao,

Wenn ich es richtig verstehe, werden php-Dateien von Contao nicht angegriffen, sondern nur Deine Testdatei ???
Aber wie gelangt dann der Code in den Quelltext der Frontendausgabe bei Contao?

Du kannst mal versuchen die komplette Site mit einem .htaccess-Passwort zu schützen, wenn dann auch die Datei verändert wird, kommt es ziemlich sicher über FTP oder vom Server selbst.

[TonCao]

Nein, da hast Du mich missverstanden. Offensichtlich werden alle php-Dateien mit diesem Codeschnipsel versorgt, egal ob meine test.php (ohne Bezug zu Contao) oder die index.php vom Contao FE oder die index.php vom Contao BE oder die install.php. Bei allen erscheint bei der Ausgabe im Quelltext direkt nach dem body tag ein Javascriptcode, der einen iFrame injiziert, um Inhalte nach zu laden.

Das mit dem htaccess Passwortschutz verstehe ich leider nicht ganz. Worauf zielst Du da ab? Welchen Fall willst Du damit ausschließen?

Danke & Gruß,
TonCao

[do_while]

Wenn Du einen .htaccess-Passwortschutz setzt, kann man die Installation nicht ohne Passwort per HTTP erreichen, dann kann darüber auch nichts passieren.
OK - das müsste man auch aus dem Server-Log herausbekommen.

Es bleiben dann nur noch die Möglichkeiten FTP (Passwort hattest Du ja wohl schon gewechselt) und server-interner Zugriff. Dafür ist dann in meinen Augen der Provider verantwortlich.
Kennst Du noch andere, die bei 1Blu sind? Haben die das gleiche Problem?

[TonCao]

Hallo do_while,

was meinst Du mit "kann darüber auch nichts passieren"? Verstehe nach wie vor nicht welches Szenario hier zu befürchten wäre? Kannst Du es mir erläutern?

Danke & Gruß,
TonCao

PS: Andere 1Blu Nutzer kenne ich nicht. Aber die müssten dann ja auch zufälliger weise auf dem selben Server liegen, oder?

[do_while]

Wir versuchen doch herauszubekommen, wo der Schadcode herkommt. Wenn man den Weg HTTP ausschließen kann ist das doch gut. Man kann dann hinterher nachdenken, wie das gehen kann, wenn man feststellt dass die Angriffe dadurch aufhören, wenn man da absperrt. Ich glaube da aber noch nicht dran.

Andere auf dem gleichen Server bei 1Blu bekommst Du ggf. hiermit raus:
http://www.dnstools.ch/reverse-ip.html

[webnixe]

Hallo Zusammen,

wir haben etliche Kunden, die ihre Seiten bei 1blu haben: div. statische und div. CMS.

Allerdings ist bisher noch keine Contao-Installation dabei.

Gehackt wurde bisher noch kein CMS...

Bisher hatten wir da noch nie ein Problem. Wir haben mit 1Blu bisher sehr gute Erfahrungen gemacht - auch im Support. Keine teure Rufnummern und wenn mal Probleme aufgetaucht sind, haben wir immer Hilfe bekommen.

Viele Grüße
Webnixe

[do_while]

Hallo webnixe,

willkommen in der Contao-Community!

Das ist eine interessante Information. Die oberen Einträge sollten auch keinesfalls 1Blu oder andere beschuldigen, sondern waren lediglich ein Versuch, die Ursachen herauszubekommen.

Es gibt tausende von Contao-Installtionen inzwischen, die bestens laufen. Auch Angriffe aus dem Internet kommen immer wieder vor. Bisher wurde Contao auch bei meinen Installationen noch nie geschädigt. Wenn nun aber ein Thema auftaucht, wo von Hacking die Rede ist, will man natürlich schnell die Ursache ausmachen, im Falle, dass man auch betroffen werden könnte.

Leider sind bisher die Informationen nicht so hilfreich gewesen, dass man eindeutig die Schwachstelle ausmachen kann. Es kann überall dran liegen: beim Betreiber, beim Provider oder aber bei Contao und den Erweiterungen. Bei den gemeldeten Problemen wurde dann sofort alles gelöscht und neu installiert. Aus Betreibersicht ist das durchaus zu verstehen, nur kommt man so nicht in der Ursachenforschung weiter.

[tom.f]

Hallo zusammen,

ich kenne die Pakete von 1Blu nicht, aber so ein ähnliches Problem wie das oben beschriebene. Vor einiger Zeit hatte ein Kunde seine Seite noch bei einem kleineren Webhoster. Völlig unspektakuläre Sache, ein paar Seiten statisches HTML.
Eines Morgens war die Seite Futsch, statt dessen war ein Aufruf "Freiheit für Blabla--xxx hacked this Site" zu sehen. Der Bursche wollte also nur mal zeigen, was er kann. Das Loch im System war damals eine PHP-Nuke Installation.
Herausbekommen haben wir das damals nur durch langes Nachbohren beim Webhoster. Zitat: Naja, für die paar Nüsse im Monat können wir uns nicht um alles kümmern...
Wenn der lokale Rechner sauber ist und die Daten per SFTP übertragen werden, dann Tippe ich mal 5€ auf einen lieben Nachbarn im Webspace.

VG tom.f

[elwega]

Hallo zusammen,

http://www.contao-community.de/showt...l=1#post104770

um das Problem einzugrenzen, könnte man ja mal eine Subdomain einrichten und dort eine frische Installation aufsetzen.
Dazu braucht man dann ja nur eine php Datei mit folgendem Inhalt:

HTML-Code:

<?php
shell_exec("wget http://prdownloads.sourceforge.net/typolight/contao-2.9.3.tar.gz?download");
shell_exec("tar -xzf contao-2.9.1.tar.gz --strip-components 1");
?>

auf die Domain hochzuladen.
Die kann man mit einem im FTP Programm integrierten Dateibetrachter nach dem Upload überprüfen und danach im Browswer aufrufen und man hat schon mal eine saubere Basis.
Dann das Installtool aufrufen und ein Testseite erstellen.
Das ganze würde ich von einem anderen Rechner aus tun der Clean ist.
Taucht das Problem dann immer noch auf, den Webhoster informieren.

[tom.f]

Kleine Ergänzung. Folgenden Hinweis erhielten wir vor kurzem von Strato:

Zurzeit beobachten wir eine deutliche Zunahme von Angriffen auf Server, deren Software nicht auf dem aktuellen Stand ist. Angreifer versuchen auf diesem Weg, root-Zugriff auf den Servern zu erlangen. Bei einem erfolgreichen Einbruch wird häufig der übernommene Server wiederum als Rampe für weitere Angriffe auf dritte Systeme in Form von DoS-Attacken oder Brute-Force-SSH-Scans missbraucht.

Auf vielen Servern befinden sich derzeit immer noch unsichere Versionen des FTP-Servers ProFTPd. Wir empfehlen dringendst, entsprechende Sicherheitsupdates einzuspielen, den Dienst zu stoppen oder ggf. den FTP-Dienst zu ersetzen.

....


VG tom.f

[TonCao]

Vielen Dank für Eure Antworten und Ideen.

@elwega: Ich hatte bereits zum Testen eine von Contao unabhängige PHP-Datei auf eine neue Subdomain gespielt. Aber auch die bekommt den Javascript Code zu der immer wieder kehrenden Zeit einmal injiziert. Daher tippe ich ja wirklich auf den Server. Ich muss allerdings zugeben, dass ich sie auf dem selben Rechner erstellt und auch von dort hoch gespielt habe.

Ich habe meiner Meinung nach inzwischen alles unternommen, um den Schadcode ausfindig zu machen - leider ohne Erfolg. Es ist mir wirklich rätselhaft, wo der herkommt.

Vermutlich werde ich nicht umhin kommen, eine komplett neue Installation - evtl. bei einem anderen Hoster - auf zu setzen, um wirklich sicher zu sein, dass ich den Code nicht "mitschleppe".

Nochmals Danke und Gruß,
TonCao

[frank]

Ich hatte bereits zum Testen eine von Contao unabhängige PHP-Datei auf eine neue Subdomain gespielt. Aber auch die bekommt den Javascript Code zu der immer wieder kehrenden Zeit einmal injiziert. Daher tippe ich ja wirklich auf den Server. Ich muss allerdings zugeben, dass ich sie auf dem selben Rechner erstellt und auch von dort hoch gespielt habe.

Ich habe meiner Meinung nach inzwischen alles unternommen, um den Schadcode ausfindig zu machen - leider ohne Erfolg. Es ist mir wirklich rätselhaft, wo der herkommt.

Was macht Dich eigentlich so sicher, dass Dein Rechner wirklich clean ist? Ich selbst hatte vor einiger Zeit auch einmal so einen bzw. ähnlichen Fall. Mein Virenscanner (Bezahlversion) meldete immer wieder alles OK. Wie ich dann später feststellen musste (Einsatz eines anderen Virenscanners) war dem aber nicht so. Mein Rechner war infiziert und ich habe mir meine Installation auf dem Webspace immer wieder (per FTP) selbst verseucht. Überprüfe mal Deinen Rechner mit diesem Virenscanner. Habe damit bisher nur gute Erfahrungen gemacht.

Freundliche Grüße
Frank

[TonCao]

Hallo Frank,

ich bin mir da ganz im Gegenteil nicht wirklich sicher, dass ich mir nicht irgendwo einen Virus eingefangen habe (obwohl ich immer extrem vorsichtig unterwegs bin). Ich stelle nur Vermutungen an, da ich mein System bereits mehrfach und mit verschiedenen Tools durchsucht habe und nichts finden konnte. Wie bereits geschrieben mit aktuellem Norton Antivirus und Windows Defender und zusätzlich mit Avira AntiVir und Malware's AntiMalware.

Aber ich kann auch gern gData nochmal drüber laufen lassen.

Danke und viele Grüße,
TonCao

[frank]

Hallo TonCao,

@TonCao:

ich bin mir da ganz im Gegenteil nicht wirklich sicher, dass ich mir nicht irgendwo einen Virus eingefangen habe (obwohl ich immer extrem vorsichtig unterwegs bin).

Auch ich hatte früher A... Anti... (Bezahlversion) im Einsatz. In meinem Fall wurde der Trojaner leider nicht gefunden! Eingefangen hatte ich mir das Sch....ding übrigens durch einen Kunden, der mir Daten zukommen ließ. Sein Rechner war infiziert.

@elwega:

Das ganze würde ich von einem anderen Rechner aus tun der Clean ist.
Taucht das Problem dann immer noch auf, den Webhoster informieren.

Dann würde ich an Deiner Stelle doch unbedingt diesem Rat folgen!!

Denke, es ist besser hier keine Produktnamen zu nennen!?

Freundliche Grüße
Frank

[lucina]

Denke, es ist besser hier keine Produktnamen zu nennen!?

Solange es weder in Werbung noch in Bashing ausartet sollte das kein Problem sein. Allerdings poste ich jetzt in einem Akt ausgleichender Gerechtigkeit eine Übersicht über die verfügbaren Programme - auf das sich jede & jeder ein eigenes Bild mache.

;-)

Carolina.

[frank]

Hallo Carolina,

Solange es weder in Werbung noch in Bashing ausartet sollte das kein Problem sein.

Aus eigener Erfahrung bin ich da vorsichtig geworden! Wer oder welches Gericht entscheidet was Werbung ist und was nicht? Richter! Und die sind relativ frei in der Auslegung von Gesetzen und ihren Entscheidungen.

Schön, dass Du da eine Auflistung zur Verfügung gestellt hast. Danke.

Freundliche Grüße
Frank

[frank]

Hallo TonCao,

gibt es schon neue Erkenntnisse?

Freundliche Grüße
Frank

[TonCao]

Hallo Frank,

sorry für die späte Rückmeldung.

Es lässt sich leider nicht soviel sagen. Seit ein paar Tagen existiert das Problem nicht mehr. Der Hoster scheint also reagiert zu haben, äußert sich aber nicht dazu. Insofern bleibt ein fader Nachgeschmack, da ich nicht weiß woher das ganze kam. Ich habe leider bis heute trotz mehrfacher Anforderung keine FTP-Logs erhalten, daher fällt schwer zu analysieren was da passiert ist und ob Dateien geändert oder hinzugefügt wurden.

Ich denke das beste wird wohl doch sein, den Hoster zu wechseln und dort nochmal alles neu auf zu setzen.

Danke und Gruß,
TonCao

[TonCao]

... achso, ich hatte zwischendurch doch noch jemanden gefunden, bei dem der gleiche Code eingefügt wird und bei dem sich die domain auf dem selben Server befindet wie die meines Kunden. Scheine also nicht der einzige betroffene gewesen zu sein.

Gruß,
TonCao

[wotank]

... achso, ich hatte zwischendurch doch noch jemanden gefunden, bei dem der gleiche Code eingefügt wird und bei dem sich die domain auf dem selben Server befindet wie die meines Kunden. Scheine also nicht der einzige betroffene gewesen zu sein.

Gruß,
TonCao

sollte dein Rechner betroffen sein, kann man das nicht unbedingt durch die üblichen Schutzprogramme herausfinden.

Schau mal hier.
Vielleicht solltest du dich mal da im Forum anmelden und/oder etwas einlesen.
Das Vorgehen, um einen Befall sicher herauszufinden und geeignete Gegenmaßnahmen zu ergreifen ist dort ein bißchen mehr als irgendwelche Schutzprogramme laufen lassen, die dann nix finden.

[TonCao]

Hallo wotank,

Danke für die Antwort.

Du hattest mich schon richtig verstanden, oder? Ich habe nicht noch einen weiteren Kunden bei dem das Problem auftritt, sondern ich habe im Netz noch jemanden gefunden, der auf dem gleichen Webhosting-Server ist, wie mein betroffener Kunde und auch zur gleichen Zeit das Problem hatte.

Jedenfalls hab ich kurz auf die von Dir empfohlene Seite geguckt und ich denke nicht, dass Du mir empfiehlst, mehr als 20 Programme zu installieren und diese alle laufen zu lassen, oder? Ich würde jedenfalls befürchten, mir damit mehr Müll auf die Festplatte zu holen, als dort bisher evtl. ist.

Ich bin wie gesagt sehr vorsichtig im Netz unterwegs und habe immer - bis auf Seiten, denen ich vertraue - Javascript abgeschaltet, daher tendiere ich dazu den eingesetzten Tools (siehe oben) zu vertrauen, dass mein Rechner sauber ist.

Danke und Gruß,
TonCao

[wotank]

Du hattest mich schon richtig verstanden, oder?

jau, hab ich.
mit dem Link wollte ich dir eigentlich nur ein wenig vor Augen führen, das die Entfernung von Malware manchmal etwas mehr sein kann als ein Virenprogramm laufen zu lassen.
Wenn ich das richtig gelesen habe weißt du ja nicht mal genau, ob das Ganze schädlich ist, noch wo es sich genau einnistet.

Solltest du dir mal einen Fred angeschaut haben, wird dir sicher aufgefallen sein, das besonders wenn sich ein Schrauber dort einklinkt, dort sehr methodisch vorgegangen wird.
Schrauber arbeitet, soweit ich weiß, für eine der großen Firmen in dem Bereich (GData, Kaspersky, Avira, usw.).

Ob so eine Vorgehensweise bei dir notwendig ist kann ich leider nicht beurteilen, es war nur ein Tip.