Virusskript auf Website

Hallo alle zusammen,

Auf meiner Website befindet sich ein Skript, das von jeder Internet Security, Antivirus-Software o.ä. anders definiert und von jedem Browser anders dargestellt wird. Zwei Gemeinsamkeiten gibt es jedoch:

  1. Meine Website wird von mehreren Programmen (u.a. Avira, Norton, Firefox, Internet Explorer) geblockt und es wird
  2. den BesucherInnen mitgeteilt, dass meine Website nicht sicher ist…

Norton definiert es als “Eindringversuch von turbolinuxscomplement.biz”, Firefox schreibt, es ist möglich, dass jemand - ohne mein Wissen - ein Skript an meine Site gehängt hat…

Meinen Computer habe ich mehrmals komplett gescannt - da dürfte nix sein. Außerdem hab ich zum Zeitpunkt des Auftauchens nix an der Website geändert.
Das Gute daran ist, dass dieses ominöse Skript sich bisher noch in keinem der mir bekannten Rechner eingenistet hat. Die schlechte Nachricht ist, es kann noch passieren und die potentiellen BesucherInnen werden daran gehindert, meine Website zu sehen.

Meine Fragen:
=> Was könnte das sein? (Ein Hackangriff?)
=> Was kann ich tun?
=> Wie bringe ich das von meiner Website wieder herunter? (ohne, dass mein Rechner was abbekommt?)
=> Genügt es, die Website im Filezilla zu löschen und neu raufzuladen?
=> Falls es ein Angriff per FTP war, wie kann ich im Filezilla mein Passwort ändern?

Hat hier wer Ahnung/Wissen?
Bitte um Hinweise, mögliche Hilfeszenarien!

Lg. M.

Solange du nur per FTP zugreifst um die bestehenden Daten direkt zu löschen, sollte nichts weiter mit deinem Rechner passieren, da der Code dabei ja nicht ausgeführt wird und somit keine weiteren versteckten Download oder ähnliches ausführen kann. Zudem wird es sich ja um PHP oder JavaScript Code handeln, welcher auf deinem Rechner ohnehin nicht direkt ausführbar ist.
Falls du ein aktuelles Backup der Daten hast solltest du dieses also bedenkenlos per FTP aufspielen können.

Das FTP Passwort kannst du Ändern, in dem du das FTP-Konto hier löschst und mit einem neuen Passwort wieder anlegst.

Tach,

[quote=“heavygale”]Solange du nur per FTP zugreifst um die bestehenden Daten direkt zu löschen, sollte nichts weiter mit deinem Rechner passieren, da der Code dabei ja nicht ausgeführt wird und somit keine weiteren versteckten Download oder ähnliches ausführen kann. Zudem wird es sich ja um PHP oder JavaScript Code handeln, welcher auf deinem Rechner ohnehin nicht direkt ausführbar ist.
Falls du ein aktuelles Backup der Daten hast solltest du dieses also bedenkenlos per FTP aufspielen können.[/quote]
… Und falls man seine Seite vor dem Antiviren-Signaturen Update aufgerufen hat? :smiley:D
Den Computer komplett Scannen ist “gut”, es kommt jedoch sehr darauf an, wie der Schadcode eingefügt wurde. - Es gibt Würmer die alle HTML, PHP usw. Dateien automtisch infizieren z.B. Gumblar

  • Sicherheitslücken im CMS, Virus auf dem PC…
  • Zuerst die Seite Offline nehmen, dass kein weiteren Schaden entstehen könnte. Backups machen und deutlich kennzeichnen, dass dieses “infiziert” ist. Den PC komplett scannen mit verschieden Antiviren Software/Engines. - botfrei.de/decleaner.html
    Schaue die die Ergebnisse an, falls Dateien infiziert sind die du kennst (Urlaubs-Foto.jpg.scr) würde ich mir davon ein Backup machen, mit einem Passwort versehen und auf eine externe-Festplatte ziehen (-kennzeichnen, dass dieses Datei infiziert ist).
    Andere wichtige Dateien auch extern Sichern und ggf. kennzeichnen, dass diese möglicherweise kompromittiert sein könnte.

Später Analyse der Dateien bzw. des Scripts das auf deiner Webseite war.
Wichtig: Bewege dich hierbei vorsichtig, klick nicht auf irgend welche Links oder rufe nicht irgend welche Scripte auf.

Falls du einen Virus findest, alle Passwörter ändern.
Wenn dein CMS geknackt wurde: Passwörter von FTP, MySQL usw. ändern + neu Installation des CMS

Gruss fishi