Hallo,
ich habe drei Rechner vernetzt und dieses böse Viech hat einen PC komplett lahm gelegt. Leider merkte ich es sehr (zu) spät. Soweit ich ergooglt habe dient dieser Worm nur dazu, per FTP schädliche Software auf den befallenen Rechner zu portieren. Also, ein Rechner ist darnieder, wie kann ich ihn retten? Die anderen laufen einwandfrei, Scan mit Avast ergaben keine Treffer (wobei ich mir nicht sicher bin, ob Avast den Worm erkennt).
Grüße
Selorius
Hallo,
dann hast Du ein ernstes Problem.
Grundsätzlich wäre es sinnvoll, ALLE Rechner im Netz neu aufzusetzen.
Wenn Du aber trotzdem den Kampf gegen „gumblar“ aufnehmen möchtest, würde ich vorgehen wie folgt:
Besorge Dir
http://www.free-av.com/de/tools/12/avira_antivir_res….
und brenne das Programm auf CD.
Besorge Dir
http://www.heise.de/software/download/ccleaner/36380
und
http://www.heise.de/software/download/hijackthis/22574
Starte dann den Rechner von der CD und laß das Reinigungsprogramm durchlaufen.
Dann - nach Neustart - den CCleaner. Dann Hijackthis und poste das Log oder schicke es mir.
Dann den Acroreader updaten. Alle Passworte ändern.
Dies machst Du ebenfalls auf allen Rechnern.
Oft kannst Du gekaperte Rechner daran erkennen, das das "Start > Ausführen > cmd nicht „erkannt“ wird.
Sollten irgendwo Deine Dateien gehostet werden (Server), ist es sehr wahrscheinlich, daß er auch dort „wütet“.
Weitere Infos findest Du z.B. hier:
http://www.heizoelboerse.de/forum/knowhow/ftp-hack-u…
und hier:
http://blog.unmaskparasites.com/2009/05/07/gumblar-c…
Viel Erfolg, tf
P.S.: Zum Schluß darfst du die Rechner natürlich wieder ans Netz bringen.
Supervielen Dank!
Ich habe den betreffenden Rechner vom Netz genommen, sämtliche Rechner nochmals auf Malware kontrolliert, nix. Dann habe ich alle FTP-Zugänge neu konfiguriert (Passwörter) mittels externem Notebook. Das dürfte erstmal reichen. Weiterhin kontrollierte ich die php-Scrips auf dem Internetserver und die inf-Dateien, ob der Schadcode des Virus vorhanden ist, diese Dateien habe ich gelöscht und durch saubere Kopien ersetzt. Nun muß ich noch die 1400 GB des befallenen Rechners säubern und sichern. Dies betrifft jedoch keine Scripte, nur Autocad-Dateien, Fotos, Bilder etc. Da dürfte der Virus nix hinterlassen. Dann wird der Rechner neu aufgesetzt.
Hast du noch andere Vorschläge?
Grüße
Selorius
Hallo,
war mir ein Vergnügen.
Nicht die html’s vergessen.
Ansonsten habe ich nur die üblichen dummen Ratschläge, damit es nicht so weit kommt.
Wichtig ist - nach einer solchen Operation - die Nachsorge.
In dem einen Link wird ja auch über die Spuren des kleinen Monsters berichtet (Cookie usw.).
Logbücher lesen und auch mal den Netzwerkverkehr überwachen.
.htaccess überprüfen
Verzeichnisrechte überprüfen
Deine Seite auch noch einmal mit
http://www.unmaskparasites.com/
überprüfen.
Schönes Wochenende, tf
Hallo,
da Gumblar deine FTP-Passwörter gestohlen hat, müssen die umgehend geändert werden. Sonst hast da nach dem Neuaufsetzen wieder das gleiche Problem …
Grüße Culles
Danke dir.
Lasse doch noch die html´s übern Scanner laufen, gute Idee. Morgen beschäftige ich mich mit den Emails, den Cookies (gute Idee!) und den Log-Dateien, wer weiss was da noch rumlungert. Außerdem werde ich die Auslagerungsdatei von Windoof untersuchen und mal einen Blick in die temporären Dateien (Ordner) riskieren.
Kann aufm Web-Server in dessen Log-Dateien noch was schlummern?
Grüße
Selorius
Hallo,
normalerweise nicht.
Was ich noch vergaß: Natürlich .js und die error-Docs überprüfen.
mfg, tf
Hallo,
hier noch ein Tool um die dir-rechte zu überprüfen:
http://www.rootkit.nl/projects/rootkit_hunter.html
Schönes Wchenende,
tf