Virus bei öffnen meines Gästebuches

    Hallo,
    ich habe ein Problem bzw. eine Freundin von mir. Und zwar immer wenn sie ihr Gästebuch ihrer Homepage öffnet, wird ein Virus gefunden, der sich aber auf ihrer Festplatte befindet. Dort steht immer C:\Useres\AppData\ocal\...\index[1]htm manchmal steht aber auch anstatt der 1 eine 2 oder so. Sie hat das Virus Programm AntiVir aber auch mit GData wurde es sofort beim öffnen des Gästebuches angezeigt.

    Ich habe auch schon ihren Rechner neu installiert, die Meldung taucht nach ein paar Tagen wieder auf :(

    Es steht auch noch darunter: Enthält verdächtigen Code: Heur/Exploid.HTML keine Ahnung was das zu bedeuten hat?

    Das Gästebuch ist von keinem Freeanbieter sondern mit PHP geschrieben.

    Vielleicht hat ihr jemand eine Idee ?! Wir bedanken uns schon mal recht herzlich.

    Viele Grüße,
    Bianca + Freundin

    Salut,

    der Virus kann sehr wohl vom Gästebuch stammen, dein Browser speichert die Daten aus dem Web auf der Platte zwischen und dann kann es sein, dass dein Virusscanner genau diese lokale Kopie entdeckt.

    Bei selbstgeschriebenen Scripten wäre ich vorsichtig, besonders, wenn ich nicht 100% Ahnung habe. Zu leicht programmiert man nicht ordentlich und hält potentiellen Angreifern ein Scheunentor auf. Am besten nochmal durchchecken.


    Stefan

    Und was können wir nun dagegen tun, ein ganz neues Gästebuch oder noch mal ein Update? Wir hatten damals noch ein anderes PHP Gästebuch wo genau das gleiche auftrat.

    Ich habe auch eine Virenprüfung gemacht und es wurde nichts gefunden. Nur wenn ich jetzt die Gästebuchscripte prüfe wird dieses Virus angezeigt.

    Wir haben das Problem gelöst. Der Gästebuchschrptschreiber, (also da wo wir das Scipt weg haben) sagte der Torjana bzw. Virus wurde durch Zugriff im FTP Zugang erzeugt denn der Virusbetreiber hat einen iframe Link mit den Namen go.... u.s.w im Quelltext des Index.php eingefügt und somit irgendwie einen Virus erzeugt. Wir haben jetzt das Gästebuch überschrieben und ein neues FTP Passwort zugelgt. Der Gästebuch Scriptschreiber meinte auch, der Virus kann nur Zustande kommen wenn man FTP Zugang hat. Keine Ahnung ob das nun stimmt und der Virus für immer verschwunden bleibt. Muss ich mal ausprobieren. !

    Das Gästebuch haben wir bei all-inkl.com also die komplette Webseite. Ja wir haben auch Zugriff auf die Datenbank.

    Salut,

    so, wie ich das aus deiner Schilderung verstehe, hat der Angreifer mit einem manipulierten Gästebucheintrag Zugang zu euren Daten erhalten.

    Hoffen wir, dass der Schreiber das jetzt wirksam korrigiert hat. Auf jeden Fall würde ich für die Datenbank und für den FTP-Zugang unterschiedliche Passwörter verwenden, falls das noch nicht der Fall ist.


    Stefan