Code-Schnipsel auf der Seite (; charset=UTF-8" /> )

Im Head ist dieser fehlerhafte code:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Mein Virenscanner meldet einen Trojaner !
freshnewstoday.com/z/xmlview

 

Guck dir mal deinen <head> Bereich an....

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

Das script muss da raus.

So gehört es:

HTML:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

 

So ist es richtig, genau

 

Hallo,

ich habe den ominösen Schnipsel auch, also das Javascript (seit heute Morgen). Der befindet sich ganz unten im Quellcode und ich weiß nicht, wo er herkommt.

@pelznase: Bei dir ist er ja immer noch drin?

Was kann ich machen, um ihn zu entfernen?

http://www.LangweileDich.net/

 

Auch auf deiner Seite:

 

Dachte ich mir, dass es ähnlich ist. Stellt sich nur die Frage, wie ich den los werde?

An sämtlichen Social-Buttons und Scripten hockt der appendix
"&sfgdata=" dran, das schaut auch nicht wirklich gut aus...

Eine Idee, woran es liegen könnte?

 

Das Problem hatte ich heute selbst auf mehreren Blogs und konnte es so lösen: http://www.peterglowka.de/daysofyorr-release-virus-entfernen/

 

Schön zu sehen, dass mein Vorgehen deinem gleicht. Hätte den Artikel aber sehr gerne bereits heute Nachmittag entdeckt...

Aber so finden ihn hoffentlich andere, die auch davon betroffen sind.

 

Ja groß was eingefangen!!!

Ging mir leider genauso... ich habe heute schätzungsweise 7-9h damit gebracht elendig viel Schadcode aus zugegebenermaßen recht vielen Seiten zu entfernen.

Was es ist? Weiß ich leider auch noch nicht... habe erstmal alles entfernt bevor ich mit der Recherche anfange... daher bin ich jetzt hier gelandet.

Aber das Script ist sicher nicht das Einzige!

Es handelt sich ja um Wordpress... bitte mal an folgenden Orten prüfen:

WP_root/index.php
WP_root/wp-header.php
WP_root/wp-login.php
(und eine neue php Datei dürfte hier auch drin liegen. Name Variiert (session.php, q.php, p.php, phdinfo.php,favicon.php...) aber Änderungsdatum nur einige Sekunden neben den anderen hier genannten)

WP_root/wp-admin/admin-footer.php
WP_root/wp-admin/admin-header.php
WP_root/wp-admin/custom-header.php
WP_root/wp-admin/index.php
WP_root/wp-admin/menu-header.php

WP_root/network/wp-admin/index.php

WP_root/wp-content/index.php

WP_root/wp-content/plugins/index.php
(gegebenenfalls auch einige Pluginordner betroffen, jeweils die index Dateien)
WP_root/wp-content/themes/index.php

WP_root/wp-content/themes/THEMEORDNER/index.php
WP_root/wp-content/themes/THEMEORDNER/page.php
WP_root/wp-content/themes/THEMEORDNER/header.php
WP_root/wp-content/themes/THEMEORDNER/footer.php

WP_root/wp-includes/theme-compat/header.php
WP_root/wp-includes/theme-compat/footer.php

so das sind jetzt alles Standarddateien der WP-Installationen. Je nach Plugins und Themes kann da noch mehr da zu kommen. Alle diese Dateien dürften ein Datum der letzten Änderung von gestern oder heute Nacht haben nehme ich an... jedenfalls liegt die Änderungszeit nur Sekunden auseinander.

Und in alle Dateien wurde feinsäuberlich ein Schadcode eingeschrieben:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

(vielleicht variiert da auch der Inhalt)

ja und je nach dem was noch so auf dem Server liegt sind wahrscheinlich alle Ordner betroffen. Also in jedem Falle mehrere Wordpressinstallationen aber ggf auch alle anderen php und html Dateien (meist irgendwas mit header, index, etc im Namen) In HTML Dateien wird übrigens direkt:

Code:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

hineingeschrieben.

So was das ganze macht?! Keine Ahnung, sicher nichts gutes s. Trojanerwarnung. Dsa Löschen der Codes ist sicher auch nicht das Ende vom Lied (ich Sitze auf meinem Webspace schon recht lange mit solchen Problemen... das kommt immer mal wieder in anderer Form)


Vermutung: Das ganze hat sein Einfallstor in der thumb.php oder timthumb.php ich würde also stark vermuten, dass zumindest einer der Blogs auf dem Server ein Theme nutzt, welches timthumb integriert hat. Ihr könnt das ja bitte bestätigen oder widerlegen... die Ursache wüsste ich nämlich auch gern. Habe sie selbst noch nicht gefunden...

 

oh da hat jemand während des schreibens nen guten Link gepostet... aber ja Ergebnisse sind die selben

Mal sehen ob noch was durchsickert, wie gefährlich der Trojaner ist... also alle Passwörter, die ich besitze zu ändern könnte mich schonmal Wochen kosten...

 

Entfernt bitte die Links zu euren Seiten, solange sie nicht vollständig gesäubert sind! Danke!

Wenn ihr die URLs hier bekannt geben wolllt, dann macht das als normalen Text, also ohne http://www.

Beispiel:
Statt http://www.example.com bitte nur example.com schreiben.