Zum vierten mal .....Forum infiziert! (eval(base64_decode....)

  • Muaha muss ich meinen Progger fragen, der hat mir Mail geschrieben mit dem Inhalt


    Hallo Chef, alles gesäubert, schnauze voll bis Montag !
    Ich frag ihn !
    Könnte euch ja auch helfen !


    Kann ich einfach ne frisch gedownloadete 316 via FTP drüber schreiben ?


    Das wäre klasse!


    Ob Du nun einfach eine neue gedownloadete 316 drübersetzen kannst.... Hhmmmm ich weis nicht genau ob dann noch alles läuft...... Das kann aber bestimmt Alexander oder einer vom Team beantworten.


    Gruß


    Arno

  • Also du kannst alle Dateien überschreiben, welche nicht durch Plugins verändert werden können.
    Generell würde ich sagen PHP und JS sowie Bilder.


    Bei Template-Patches kannst du wie schon @MucCowboy: geschrieben hat, Probleme bekommen.
    Normale Templates kannst du überschreiben, nur die gepatchten musst du manuell versorgen.
    Dazu kannst du am Besten in die Datenbank schauen, welche Templates wirklich gepatcht worden sind.

    Meine Beiträge sind nur Hilfestellungen und Anregungen zur Lösung von einem Problem.
    Ein wenig Mitdenken ist dennoch erforderlich!


    Im WCF werden Passwörter nicht verschlüsselt, sondern gehasht!
    (Hash ist eine "Verschlüsselung", wo du den Schlüssel wegwirfst. ;))

  • Ich versuch die Hardcore Variante, alles runter , safen, 316 drüber, klappts ist gut, klappts nicht wieder zurück !


    edit: ne ordentlichen index. würde mich reichen, finde aber keine, nur die index für acp etc.

  • Die index.php findest du im ersten Beitrag.

    Meine Beiträge sind nur Hilfestellungen und Anregungen zur Lösung von einem Problem.
    Ein wenig Mitdenken ist dennoch erforderlich!


    Im WCF werden Passwörter nicht verschlüsselt, sondern gehasht!
    (Hash ist eine "Verschlüsselung", wo du den Schlüssel wegwirfst. ;))

  • das ist keine index.

  • @MucCowboy


    Der Server ist kein Windows Server. Das FTP - Programm ist keine Browsererweiterung und die Datei enthält nichts ausser den Schadcode inklusive einem Script. Ist aber eigentlich auch vollkommen unwichtig.


    H3llGhost


    Quote

    Du hast Angst, dass deine Seite als Malware-Seite markiert wird?
    Dann schalte den Webserver ab und du kannst in Ruhe dich um die Probleme kümmern.


    Sehr witzig! Der betroffene Server ist ein Kundenserver mit gut 25 Domains und Präsenzen. Ein Großteil der Seiten sind statische Webseiten, welche nicht betroffen sind. Wenn ich den Server nun abschalte ist keine der Seiten mehr erreichbar und dann? Haue ich alles mal eben schnell auf einem Backupserver, und lege die DNS um ?


    Ich habe keine Angst, ich bin Webdesigner und versuche lediglich einen Grund für das Geschehene zu finden, damit sowas nicht mehr vorkommt. Ich habe diese Software an zig meiner Kunden weiterempfohlen und möchte gerne ausschließen, dass es an der Software liegt. Mal eben den Server abschalten, kannste mit ein oder zwei Domains machen.


    Wenn euch nicht gelegen ist eine Lösung zu finden, dann tut es mir echt leid. Wenn ich den Fehler mal eben beheben möchte, dann setze ich einen neuen Server auf, lege die Domains um und setze ein Backup auf. Fehler behoben.


    Damit ist aber niemanden geholfen der irgendwann vor dem gleichen Problem steht. Genau hierfür ist ein Supportforum / Community da um Fehler / Probleme zu diskutieren, Lösungswege zu erarbeiten und diese dann aufzuzeigen, damit spätere Nutzer mit dem gleichen Problem diese ersehen können.


    Ich kann mir auch was schöneres vorstellen, als hier den ganzen Tag damit zu verbringen eine Lösung für so nen Mist zu suchen! Für mich wäre es wie schon erwähnt einfacher einen anderen Server aufzusetzen und die Domains umzuziehen. Damit ist aber das Problem ansich... für niemanden gelöst.


    Gruß


    Arno

  • Sehr witzig! Der betroffene Server ist ein Kundenserver mit gut 25 Domains und Präsenzen. Ein Großteil der Seiten sind statische Webseiten, welche nicht betroffen sind. Wenn ich den Server nun abschalte ist keine der Seiten mehr erreichbar und dann? Haue ich alles mal eben schnell auf einem Backupserver, und lege die DNS um ?


    Ich habe keine Angst, ich bin Webdesigner und versuche lediglich einen Grund für das Geschehene zu finden, damit sowas nicht mehr vorkommt. Ich habe diese Software an zig meiner Kunden weiterempfohlen und möchte gerne ausschließen, dass es an der Software liegt. Mal eben den Server abschalten, kannste mit ein oder zwei Domains machen.


    Das ist natürlich der ultimative Notfallplan. ;)
    Du kannst natürlich auch nur die entsprechenden Domains abschalten, damit ich zu mindestens sicher gestellt, dass Google und Co. nicht weiter auf diesen Seiten crawlt.


    Quote


    Wenn euch nicht gelegen ist eine Lösung zu finden, dann tut es mir echt leid. Wenn ich den Fehler mal eben beheben möchte, dann setze ich einen neuen Server auf, lege die Domains um und setze ein Backup auf. Fehler behoben.


    Die Ursache für das Problem zu finden, ohne selbst am System zu sein ist fast ein Ding der Unmöglichkeit.
    Denn nehmen wir mal deinen Fall an, deine Dateien wurden verändert, das bedeutet man braucht Schreibrechte, hier müsste man überprüfen, ob die Dateien auf deinem Server erstmal die falschen Berechtigungen haben, falls dies der Fall ist, kann der Skript im Webspace liegen.
    Des Weiteren könnten auch durch ein gefundenes FTP-Passwort die Veränderungen durchgeführt worden sein.
    Deswegen in so einem Fall sofort alle Passwörter ändern, um sicher zu stellen, dass es nicht die Passwörter sind.


    Wenn du nicht nur ein Hosting-Paket besitzt, sondern einen Server in irgendeiner Form, kannst du jetzt verschiedene Tools zur Überprüfung nach Malware und Co starten.
    Natürlich sollten die aktuellsten Updates installiert sein und die Konfigurationen sicher sein.


    Um dies alles mal ebend in einer Diskussion in einem Forum hinzubekommen, werden wir denke ich sehr lange brauchen. Es würde viel schneller gehen, wenn du dich an eine Person deines Vertrauens wendest, die auch die entsprechenden Fachkompetenzen hat.


    Quote


    Damit ist aber niemanden geholfen der irgendwann vor dem gleichen Problem steht. Genau hierfür ist ein Supportforum / Community da um Fehler / Probleme zu diskutieren, Lösungswege zu erarbeiten und diese dann aufzuzeigen, damit spätere Nutzer mit dem gleichen Problem diese ersehen können.


    Ich kann mir auch was schöneres vorstellen, als hier den ganzen Tag damit zu verbringen eine Lösung für so nen Mist zu suchen! Für mich wäre es wie schon erwähnt einfacher einen anderen Server aufzusetzen und die Domains umzuziehen. Damit ist aber das Problem ansich... für niemanden gelöst.


    Naja wir haben das Problem ja schon in der Hinsicht eingegrenzt, dass es scheinbar nicht von WBB selber kommt.
    Eventuell "komische" Plugins, welche Sicherheitslücken auftun, aber laut der Aussage von Lexa sind bis dato keine bekannt.

    Meine Beiträge sind nur Hilfestellungen und Anregungen zur Lösung von einem Problem.
    Ein wenig Mitdenken ist dennoch erforderlich!


    Im WCF werden Passwörter nicht verschlüsselt, sondern gehasht!
    (Hash ist eine "Verschlüsselung", wo du den Schlüssel wegwirfst. ;))


  • Das ist natürlich der ultimative Notfallplan. ;)
    Du kannst natürlich auch nur die entsprechenden Domains abschalten, damit ich zu mindestens sicher gestellt, dass Google und Co. nicht weiter auf diesen Seiten crawlt.


    Wäre natürlich eine Möglichkeit. Habe ich noch garnicht dran gedacht.......Danke.


    Quote

    Um dies alles mal ebend in einer Diskussion in einem Forum hinzubekommen, werden wir denke ich sehr lange brauchen. Es würde viel schneller gehen, wenn du dich an eine Person deines Vertrauens wendest, die auch die entsprechenden Fachkompetenzen hat.


    Eigentlich hast Du recht, ich werde das Ganze mal ans Trojaner-Board senden und an den örtlichen CCC vieleicht finden die heraus, wie die maleware auf den Server gekommen ist.


    Gruß


    Arno

  • Arno pass bitte auf, die neu Installation, hat ohne Rückfrage die bestehende Datenbank genullt, und erneut die php´s beschädigt allerdings nur aus gewählte, ich such mih tod, ich kann kein Muter erkennen, bitte halte mich auch auf dem laufenden !
    Jetzt it nicht nur das Forum Weg sonder auch die Datenbak, 400 User über 4 Millionen PN und den rest kannst dir hochrechnene.....


    Robert

  • Arno pass bitte auf, die neu Installation, hat ohne Rückfrage die bestehende Datenbank genullt, und erneut die php´s beschädigt allerdings nur aus gewählte, ich such mih tod, ich kann kein Muter erkennen, bitte halte mich auch auf dem laufenden !
    Jetzt it nicht nur das Forum Weg sonder auch die Datenbak, 400 User über 4 Millionen PN und den rest kannst dir hochrechnene.....


    Robert


    Grüsse Dich Robert,


    nachdem ich mich jetzt ein wenig abgeregt habe, werde ich mir nachher nochmal ein paar Gedanken zu dem Thema machen. Ich habe mittlerweile nachverfolgen können wohin die Seite weitergeleitet wird. Es handelt sich um eine Suchmaschine mit Endung .pl


    Die IP, die Domain und die Betreiberfirma werde ich gleich an die entsprechenden Stellen melden. Ich überlege mir sogar obich Anzeige erstatte. Auch wenn dies natürlich von wenig Erfolg gekrönt sein wird.


    Kommen wir aber zu Deinem Problem. Frage mal beim Hoster nach, in welchen Abständen er die Serverbackups durchführt. Eigentlich müsstes Du die Datenbank so wiederherstellen können.
    Ich zum Beispiel lasse vom Provider auf meinen Servern tägliche Backups durchführen und diese werden mindestens (Serverabhängig) eine Woche gespeichert.


    Jetzt betreibe ich wohl für meine Kunden mehrere Server bei verschiedenen Providern. Müsste aber normal möglich sein.


    Das die Lücke über einen der Shops kommt, kann ich mittlerweile auch ausschließen, da beim Shop lediglich die php Dateien im Template_c betroffen waren. Nach dem Löschen der Dateien, war der Shop wieder sauber.


    Als nächstes werde ich die WordPress Installationen überprüfen. Hierbei hilft mir morgen ein befreundeter Programmierer, der diese auf Schwachstellen checken wird.


    Ich werde Dich auf dem Laufenden halten. Ich bin mir ziemlich sicher dass sich nachverfolgen lässt, wo die Schwachstelle liegt.


    Gruß


    Arno

  • Ich hoffe du warst nicht sauer auf mich, denn ich unterstütze dich in allen belangen und sehe es ähnlich wie du !


    Nun mein Hoster sicher täglich aber nur für einen Tag zurück, und ich erreiche niemandem mehr um diese Wiederherzustellen und mir ist kein php Befehlt bekannt der sagt " schreib dich zurück" !


    Anzeige klingt gut, beteilige ich mich !


    ICh finde mich damit ab das jetzt alle weg ist, und mache neu :(


    Nun wa ich dir sagen kann, es kann nur über Wbb gekommen sein !


    Denn ich habe alles andere nicht !

  • Hahaha....... hab mich auch gerade über den Namenstausch gewundert. Hast Du zwei Accounts?


    Wie schon gesagt, bin ich mir sicher, dass die Schwachstelle egal woher diese kommt, gefunden werden kann. Ich habe mittlerweile ein komplettes Backup mit allen Dateien die auf dem Server sind gemacht und werde diese zur Auswertung weiterleiten.


    Das die DB platt ist ist sehr ärgerlich. Ich werde das neue Forum auf eine gehärtete Plattform setzen und mal sehen was passiert.


    Sobald ich mehr weis gebe ich bescheid.


    Gruß


    Arno

  • Hallo Leute,


    ich weis nicht ob das wichtig ist aber wenn ich mir hier die Seite 3 durchlesen will bekomme ich diesen Viruswarnung und eine weiße Seite.


    Als hätte sich hier auch ein Virus eingeschlichen.