Kommentare zu: Trojaner unter Linux? http://www.schnee.name/blog/2009/07/22/trojaner-unter-linux/ Frankfurt und Umgebung Thu, 26 May 2011 19:06:11 +0000 hourly 1 http://wordpress.org/?v=3.2.1 Von: NetPanther http://www.schnee.name/blog/2009/07/22/trojaner-unter-linux/comment-page-1/#comment-1952 NetPanther Fri, 18 Sep 2009 19:41:45 +0000 http://www.schnee.name/blog/?p=780#comment-1952 Auf dem von mir genutzten Shared Hosting-Server hier bei PS Webhosting sind die Probleme nun vier Mal aufgetreten. Nach einer E-Mail an den Support war es immer für ein paar Tage still, dann ging es aber irgendwann wieder los. In den letzten Wochen schien mir das Problem schon fast gelöst, seit wenigen Tagen werden mit der selben Masche aber wieder andere Seiten mit schädlichen Inhalten umworben. Im aktuellen Fall wurde ein Cookie "n_sess_id" gesetzt und auf die Seite "best[minus]virus[minus]scanner5[punkt]com" umgeleitet. Auf dem von mir genutzten Shared Hosting-Server hier bei PS Webhosting sind die Probleme nun vier Mal aufgetreten. Nach einer E-Mail an den Support war es immer für ein paar Tage still, dann ging es aber irgendwann wieder los. In den letzten Wochen schien mir das Problem schon fast gelöst, seit wenigen Tagen werden mit der selben Masche aber wieder andere Seiten mit schädlichen Inhalten umworben.

Im aktuellen Fall wurde ein Cookie “n_sess_id” gesetzt und auf die Seite “best[minus]virus[minus]scanner5[punkt]com” umgeleitet.

]]> Von: Uwe http://www.schnee.name/blog/2009/07/22/trojaner-unter-linux/comment-page-1/#comment-1837 Uwe Thu, 13 Aug 2009 05:54:00 +0000 http://www.schnee.name/blog/?p=780#comment-1837 @NetPanther Ist das Problem mittlerweile bei Dir gelöst. Ich hatte jetzt einige Tage Ruhe, jetzt treten diese Weiterleitungen erneut auf. Außerdem werden jetzt per Zufall Seiten mit Links bestückt die zu Warez oder sonstigen illegalen Seiten führen. Der Hoster wurde informiert, meint aber, dass es an mir liegt. Ich habe die komplette Seite, Datenbanken, etc. geprüft aber nichts gefunden. Auch ein Dateiabgleich zeigt mir das die Dateigrössen und Ordnerstrukturen identisch mit meinem Backup sind. Kann ich eigentlich gegen diese Attacken etwas machen oder kann das nur mein Webspace Hoster regeln? @NetPanther
Ist das Problem mittlerweile bei Dir gelöst. Ich hatte jetzt einige Tage Ruhe, jetzt treten diese Weiterleitungen erneut auf. Außerdem werden jetzt per Zufall Seiten mit Links bestückt die zu Warez oder sonstigen illegalen Seiten führen. Der Hoster wurde informiert, meint aber, dass es an mir liegt. Ich habe die komplette Seite, Datenbanken, etc. geprüft aber nichts gefunden. Auch ein Dateiabgleich zeigt mir das die Dateigrössen und Ordnerstrukturen identisch mit meinem Backup sind. Kann ich eigentlich gegen diese Attacken etwas machen oder kann das nur mein Webspace Hoster regeln?

]]> Von: NetPanther http://www.schnee.name/blog/2009/07/22/trojaner-unter-linux/comment-page-1/#comment-1774 NetPanther Sun, 26 Jul 2009 15:12:11 +0000 http://www.schnee.name/blog/?p=780#comment-1774 Ich bin Kunde von PS-Webhosting und kann die beschriebenen Probleme bestätigen. Eine genaue Fehleranalyse habe ich dem Support Team per E-Mail zukommen lassen. Nach aktuellen Erkenntnissen muss zumindest einer der Shared Hosting-Server kompromittiert und zur Trojaner-Schleuder umgebaut worden sein. Der Schädling befällt beliebige PHP Skripte und schreibt seinen eigenen Code vor der Ausführung in diese (ohne die Dateien selbst zu manipulieren). Möglicherweise über die PHP Option auto_prepend_file oder direkt aus dem Speicher. Mit Opera äußert sich der Befall durch einen der folgenden Punkte: - Opera zeigt eine Warnmeldung "Weiterleitungsziel" an - es wird per "obfuscated" Java Skript ein Cookie mit der Session ID 39128605A531 gesetzt (kann ggf. abweichen) - man wird auf eine gefälschte Virenwarnseite mit einem FakeAlert.KJ weitergeleitet Als die ausführlichste und vollständigste Fehlerbeschreibung hat sich bei meiner Recherche bisher diese Seite erwiesen: http://www.wewatchyourwebsite.com/wordpress/?p=202 Mehrere US-amerikanische ISPs haben das Problem bestätigt. MfG NetPanther Ich bin Kunde von PS-Webhosting und kann die beschriebenen Probleme bestätigen. Eine genaue Fehleranalyse habe ich dem Support Team per E-Mail zukommen lassen.

Nach aktuellen Erkenntnissen muss zumindest einer der Shared Hosting-Server kompromittiert und zur Trojaner-Schleuder umgebaut worden sein. Der Schädling befällt beliebige PHP Skripte und schreibt seinen eigenen Code vor der Ausführung in diese (ohne die Dateien selbst zu manipulieren). Möglicherweise über die PHP Option auto_prepend_file oder direkt aus dem Speicher.

Mit Opera äußert sich der Befall durch einen der folgenden Punkte:

- Opera zeigt eine Warnmeldung “Weiterleitungsziel” an
- es wird per “obfuscated” Java Skript ein Cookie mit der Session ID 39128605A531 gesetzt (kann ggf. abweichen)
- man wird auf eine gefälschte Virenwarnseite mit einem FakeAlert.KJ weitergeleitet

Als die ausführlichste und vollständigste Fehlerbeschreibung hat sich bei meiner Recherche bisher diese Seite erwiesen:
http://www.wewatchyourwebsite.com/wordpress/?p=202

Mehrere US-amerikanische ISPs haben das Problem bestätigt.

MfG
NetPanther

]]> Von: Uwe http://www.schnee.name/blog/2009/07/22/trojaner-unter-linux/comment-page-1/#comment-1773 Uwe Fri, 24 Jul 2009 17:16:00 +0000 http://www.schnee.name/blog/?p=780#comment-1773 hier noch ein paar Anlaufstellen: http://blog.unmaskparasites.com/2009/07/23/goscanpark-13-facts-about-malicious-server-wide-meta-redirects/ http://www.uptime.cz/100452-site-a-internet_Linux-Apache-Attack.html hier noch ein paar Anlaufstellen:

http://blog.unmaskparasites.com/2009/07/23/goscanpark-13-facts-about-malicious-server-wide-meta-redirects/

http://www.uptime.cz/100452-site-a-internet_Linux-Apache-Attack.html

]]> Von: Faq http://www.schnee.name/blog/2009/07/22/trojaner-unter-linux/comment-page-1/#comment-1772 Faq Thu, 23 Jul 2009 21:43:08 +0000 http://www.schnee.name/blog/?p=780#comment-1772 Hab auch das gleiche Problem und danke für die Tipps! Hab auch das gleiche Problem und danke für die Tipps!

]]> Von: Uwe http://www.schnee.name/blog/2009/07/22/trojaner-unter-linux/comment-page-1/#comment-1771 Uwe Thu, 23 Jul 2009 21:41:40 +0000 http://www.schnee.name/blog/?p=780#comment-1771 Nachtrag2: Noch ein Hinweis. Wenn man merkt das der Internet Explorer nur langsam die Seiten aufbaut und Bilder verschluckt (einzelne Bilder werden nicht angezeigt), dann sollte man auf jeden Fall einen Systemscan machen. Drückt man dann mehrmals die F5 Taste zum Aktualisieren der Webseite gibt sich der Trojaner zu erkennen, sofern man Kaspersky IS 2009 verwendet. Zumindest war es bei mir so. Nachtrag2:
Noch ein Hinweis. Wenn man merkt das der Internet Explorer nur langsam die Seiten aufbaut und Bilder verschluckt (einzelne Bilder werden nicht angezeigt), dann sollte man auf jeden Fall einen Systemscan machen. Drückt man dann mehrmals die F5 Taste zum Aktualisieren der Webseite gibt sich der Trojaner zu erkennen, sofern man Kaspersky IS 2009 verwendet. Zumindest war es bei mir so.

]]> Von: Uwe http://www.schnee.name/blog/2009/07/22/trojaner-unter-linux/comment-page-1/#comment-1770 Uwe Thu, 23 Jul 2009 21:29:42 +0000 http://www.schnee.name/blog/?p=780#comment-1770 Update: Habe jetzt die Seite komplett heruntergeladen, finde aber keine Hinweise einer Injection. Auch der Kaspersky Internet Security Scanner findet nichts. Ebenso sind die Dateigrössen identisch. Ich habe jetzt wirklich die Vermutung das es am Firefox Browser oder am Update von Windows XP Professional (Internet Explorer 8 wurde mitinstalliert) gelegen haben könnte. Das Phänomen trat definitiv danach auf. Nach Rückspielung des Backups war es wie weggeblasen. Update:
Habe jetzt die Seite komplett heruntergeladen, finde aber keine Hinweise einer Injection. Auch der Kaspersky Internet Security Scanner findet nichts. Ebenso sind die Dateigrössen identisch. Ich habe jetzt wirklich die Vermutung das es am Firefox Browser oder am Update von Windows XP Professional (Internet Explorer 8 wurde mitinstalliert) gelegen haben könnte. Das Phänomen trat definitiv danach auf. Nach Rückspielung des Backups war es wie weggeblasen.

]]> Von: Uwe http://www.schnee.name/blog/2009/07/22/trojaner-unter-linux/comment-page-1/#comment-1769 Uwe Thu, 23 Jul 2009 17:09:03 +0000 http://www.schnee.name/blog/?p=780#comment-1769 Hallo Leslie, ich habe das gleiche Phänomen. Gestern, wie aus dem Nichts schlug beim Aufrufen meiner Webseite Kaspersky Alarm. Ich sah noch unten in der Browserzeile goscanpark.com, wurde dann aber auf Neborin.info weitergeleitet worauf mich dann aber Kaspersky mich warnte. Ich dachte mir das meine Seite infiziert wurde. Momentan downloade ich meine komplette Seite per FTP und werde sie dann prüfen. Melde mich dann wieder. Jetzt lese ich das hier und muss sagen, das ich erst mal beruhigt bin. Zumindest weiss ich jetzt an was es gelegen haben könnte. Vielleicht melden sich noch mehr. Kurz bevor dieses Phänomen auftrat, führte ich ein Windows XP Update durch und danach die Firexfox 3.5 Installation. Gott sei Dank habe ich vor dem Updaten ein Backup angefertigt. Hallo Leslie,

ich habe das gleiche Phänomen. Gestern, wie aus dem Nichts schlug beim Aufrufen meiner Webseite Kaspersky Alarm. Ich sah noch unten in der Browserzeile goscanpark.com, wurde dann aber auf Neborin.info weitergeleitet worauf mich dann aber Kaspersky mich warnte. Ich dachte mir das meine Seite infiziert wurde. Momentan downloade ich meine komplette Seite per FTP und werde sie dann prüfen. Melde mich dann wieder. Jetzt lese ich das hier und muss sagen, das ich erst mal beruhigt bin. Zumindest weiss ich jetzt an was es gelegen haben könnte. Vielleicht melden sich noch mehr.

Kurz bevor dieses Phänomen auftrat, führte ich ein Windows XP Update durch und danach die Firexfox 3.5 Installation.

Gott sei Dank habe ich vor dem Updaten ein Backup angefertigt.

]]>