Warnung, Eddy Keylogger

Hanashi · 11/30/2010, 17:58

Quote:

Originally Posted by .Infinity

Gut, hab eben bei OVh angerufen.
Missbrauch der Server an senden.
Die antworten zwar nicht, nehmen aber alles auf.
Ich werd das jetzt mal machen, wer beschwert sich mit mir? Umso mehr Beweise desto besser!

Hab gemacht, aber kann es sein dass der schon gelöscht, weil wenn ich auf 91.121.164.218 gehe, kommt irgendwas mit Servous OVH oder so!

MfG Hanashi

.Infinity · 11/30/2010, 18:03

Quote:

Originally Posted by Hanashi

Hab gemacht, aber kann es sein dass der schon gelöscht, weil wenn ich auf 91.121.164.218 gehe, kommt irgendwas mit Servous OVH oder so!

MfG Hanashi

Glaubste echt jemand haut seinen Keyloggerlog in eine index !

~~DasDaniel~~ · 11/30/2010, 18:03

eig kommt nix durch da er als eigener rechner gezählt wird und der vpc keine rechte hat auf den rest des pc´s zuzugreifen!

könntest du den thread link von dem keylogger nochmal reinstellen?!

mfg

Hanashi · 11/30/2010, 18:06

Quote:

Originally Posted by .Infinity

Glaubste echt jemand haut seinen Keyloggerlog in eine index !

Nein, ich mein weil du geschrieben hattest dass der oft auf Port 80 connected, da hab ich mich schon gewundert warum ein Keylogger etwas an einen Webserver senden sollte!

.Infinity · 11/30/2010, 18:06

Log hab ich auch vorne geaddet,
da könnt ihr alles nachvollziehen!

romaneso · 11/30/2010, 18:07

falsch, doch nicht
hab bei meinem root gekuckt der auch schon virenverseucht ist.

.Alpha. · 11/30/2010, 18:08

Ist kein Keylogger scheint mehr was zu sein womit dein pc ferngesteuert werden kann und auch wie bei TV angesehen werden kann was du gerade machst.

werdernator · 11/30/2010, 18:09

Wenn das echt stimmt, was ich mal glaube, da Infi eig. keinen Mist verbreitet, zeigt das mal wieder wie wenigen Leuten man trauen kann und was langsam aus der M2-Community wird.
@ lolkid: Ist zwar was anderes, aber ausspioniert wird man so oder so ;D möchte eig keiner. Ist im Endeffekt das selbe =/ Ist jetzt nur blöd für die, die infiziert sind.

LordMampf2 · 11/30/2010, 18:09

Kann mal bitte jm den link von dem Thread/File posten

Computerfreek · 11/30/2010, 18:10

Ist ziemlich sicher ein ZeuS-Bot. Also Webpanelbot.
Die Namen der angesteuerten PHP-Dateien geben darüber Aufschluss.
Wer Onlinebanking betreibt und Passwörter speichert sollte sofort alle Passwörter von einem anderen PC aus ändern. Zur Sicherheit.

Wer richtig paranoid ist, lässt die CC's auch direkt sperren.

@LordMampf2:
An dem Ding gibts nix zu sniffen o.Ä.
Hätte mich auch über die Log's etc gefreut :P
ZeuS -> Webpanelbot
Damit wäre das erledigt. Kann man nicht mehr machen als die Infektion zu beseitigen..

.Infinity · 11/30/2010, 18:11

Inzwischen ist er ungefährlich,
die Scripte wurden alle gelöscht..
Hmm!

LordMampf2 · 11/30/2010, 18:12

Quote:

Originally Posted by .Infinity

Inzwischen ist er ungefährlich,
die Scripte wurden alle gelöscht..
Hmm!

Server schon down xDD

Ðaviϟtλ · 11/30/2010, 18:13

dan scheint der ersteller mitgelesen zu haben oda?...
oder die beschwerden wurden schnell gelesen

werdernator · 11/30/2010, 18:15

Hm, da die Scripts ja jetzt weg sind, dürfte doch eig. keine Gefahr mehr bestehen ^^

Computerfreek · 11/30/2010, 18:17

Man beachte das Logo auf der Mainpage der IP.
Ist ein OVH-Logo, was bedeuted dass alle Dateien auf dem Server gelöscht wurden die keine Programme sind.
Also das htdocs-Verzeichniss wurde wahrscheinlich gecleant, ebenso wie alle selbst erstellen Files in /usr & /home
Das machen die bei Abuse. War bei meinem M2Server auch mal so.

Der Besitzer kann theoretisch die Files wd. uppen & den Bot updaten (auf einen andren Server verlagern). Schon seit ihr auf gut deutsch wieder gefi.ckt

Darum Infektion beseitigen und gut ist.