QUOTE (PH @ Sa 13.06.2009, 18:23)Jürgen, ich habe die FTP-Verbindungen in meinen Logs gesehen.
(Und chkrootkit hat nichts gefunden!!
Das mag in deinem Fall korrekt sein. Aber was im einen Fall die Ursache (und dank Protokoll relativ eindeutig) ist, muß im anderen Fall noch nicht gelten. Technisch lassen sich solche Hacks auch per Sql-Injektionen durchführen - und dann ist ein Entfernen des Schadcodes und ein Ändern des FTP-Passworts völlig wirkungslos.
Ich habe mir den Code vorhin mal mit meinem Download.exe runtergeladen. Das ist ziemlich tricky, da wird ein mehrfach verschlüsselter JavaScript-Code ausgeführt, der versucht, entweder ein Flash oder ein PDF nachzuladen. Zu beiden gibt es relativ kritische Bugs, für die es (wenn ich das richtig in Erinnerung habe), erst seit ein paar Tagen einen Patch gibt.
Merkwürdig ist, daß beim zweiten Versuch, den Code abzurufen, nichts mehr zurückgegeben wird - die merken sich also die IPs oder die UserAgenten. Klar - der Erstaufruf soll ja infizieren.
QUOTE (PH @ Sa 13.06.2009, 18:23)Mein PC wurde mit einer Art zero-Day Trojaner Exploit infiziert (trotz aktuellem Avira!!!
, und daher hatten die wahrscheinlich das Passwort.
Die Frage ist bloß, was da zuerst war: Ist das FTP-Passwort per BruteForce gehackt worden und hast Du dir dann durch den Aufruf deiner eigenen Seite den Bug eingehandelt oder wurde dein lokaler PC zuerst, dann deine Website infiziert? Diese in den letzten Wochen / Monaten aufgetauchten Adobe-Bugs sind ziemlich heftig und ermöglichen es, den lokalen PC stark zu infizieren.
Im Prinzip sind auch Fälle denkbar, wo per Sql-Injektion ein neuer FTP-Dienst generiert werden kann, über den dann gearbeitet wird.
Ansonsten läßt mich bei Server-Daten mal wieder die dezidierte Firewall ruhig schlafen - die FTP-Ports sind von außen her nicht zugänglich.