JS/BlacoleRef.DD.17

[josh]

Hallo, vielleicht könnt ihr weiterhelfen.

Zwei meiner Webs auf unterschiedlichen Servern sind am Wochenende mit dem Virus JS/BlacoleRef.DD.17 infiziert worden.
Der Virus bettet Javascrift in html und js Dateien ein. Über 300 Dateien sind verändert worden.
Nachtrag: einige .php Dateien wurden auch verändert. Etwa so:

Code: Alles auswählen

#da3e94#
echo "<script type=\"text/javascript\" language=\"javascript\" >   Schadcode...  </script>";
#/da3e94#

Das erste Web ist ziemlich Umfangreich mit vielen speziellen Sachen. Da ist es schwieriger die Ursache zu finden.
Aber das zweite ist ein kleines übersichtliches Web und wurde lange nicht verändert. Die FTP Daten habe nur ich.
Habt ihr eine Idee wie der Virus in die Website gelangen kann? Kann es über das Formular passiert sein?
Darin wird class.phpmailer.php verwendet.

Die Webs laufen auf Contenido 4.8.14 gepatcht auf 4.8.15.
Den Virus bin ich erstmal los. AberIch möchte gern die Ursache finden, sonst kommt er evtl. zurück.

Ich habe beide Webs komplett runtergeladen damit man evtl. noch etwas nachvollzien kann.
Wenn ihr weitere Infos braucht...

Viele Grüße aus Ahlen

[Faar]

Ich hatte mal bei jemandem einen ähnlichen Virus gefunden, der kam vermutlich mit den Macs (Apple) auf den Server. Ich hatte da eher ein FTP-Programm in Verdacht.

Aber wenn jetzt der Virus auf dem Server weg ist, dann würde ich mal die Rechner untersuchen und auch die Emails durchchecken.