You are not logged in.

Zu den Quellencode.

Fishzilla

Member

  • "Fishzilla" started this thread

Posts: 68

  • Send private message

1

Monday, July 16th 2012, 8:40pm

Zu den Quellencode.

Angenommen, ich habe mein Forum aufgerufen.
Dann gehe ich im Browser auf Quellecode anzeigen, gehe auf Suche und dann suche ich faintsynthesized.
Das wird mir auch angezeigt (Leider) und genau dieses Teil will ich dann von der Bank löschen.

Jetzt mal ganz blöde gefragt, wird von euch einer daraus schlau, wo sich faintsynthesized versteckt und wo ich es auf meiner Datenbank finden und eliminieren kann?

FirePanther

Member

Posts: 1,177

  • Send private message

2

Monday, July 16th 2012, 8:44pm

hm? den seitenquelltext? die html-rückgabe?
am besten gibst du den link und erklärst es etwas besser.
Meine Woltlab-Plugins
- Tooltip
- LiveChat
- Ani-BBCode
- Facebook

Fishzilla

Member

  • "Fishzilla" started this thread

Posts: 68

  • Send private message

3

Monday, July 16th 2012, 8:59pm

Sorry, habe vergessen das Forum anzugeben.

Fishzilla-Forum.net

Auf der Seite einfach den Quellencode (Ist Seitenquellentext und Quellencode nicht das gleiche?) anzeigen lassen, dann unter Bearbeiten-Suche faintsynthesized eingeben. Ganz unten wird dann der Mist angezeigt.
Und genau das Ding suche ich auf meiner Datenbank und will es halt löschen.

MucCowboy

Unregistered

4

Monday, July 16th 2012, 9:13pm

Es muss absolut nicht in der Datenbank sein. Es kann irgendwo in einem der Templates sein oder in einer dynamisch nachgeladenen Seite eines ganz fremden Systems. Das was Dein Browser als "Quelltext" anzeigt, ist das Endergebnis einer eine aufwändigen Zusammensetzung aus zig verschiedenen Einzelbausteinen.

In Deinem Fall befinden sich ziemlich sicher in der Datei /templates/footer.tpl am Ende ein oder zwei Zeilen, die da nicht hingehören.

Grüße
Uli

Fr33chen

Member

Posts: 699

  • Send private message

5

Tuesday, July 17th 2012, 12:00am

Ja, das Forum ist infiziert - derzeit irgendwie nicht gerade wenige Foren die da betroffen sind :S
Siehe z.B. nicht bekannter code im quellcode
Also entweder Komplett-Backup (vor allem FTP!) oder alle Dateien durchsuchen und den Schadcode entfernen.

lg

Fishzilla

Member

  • "Fishzilla" started this thread

Posts: 68

  • Send private message

6

Tuesday, July 17th 2012, 12:04am

Quoted from "MucCowboy"

Es muss absolut nicht in der Datenbank sein. Es kann irgendwo in einem der Templates sein oder in einer dynamisch nachgeladenen Seite eines ganz fremden Systems. Das was Dein Browser als "Quelltext" anzeigt, ist das Endergebnis einer eine aufwändigen Zusammensetzung aus zig verschiedenen Einzelbausteinen.

In Deinem Fall befinden sich ziemlich sicher in der Datei /templates/footer.tpl am Ende ein oder zwei Zeilen, die da nicht hingehören.

Grüße
Uli



Moin Uli.
Danke für deine Hilfe.
Suche morgen in den Templates weiter.

Mal naiv nachgefragt.
Wenn ich jetzt einfach die Templates lösche und neu installiere, wäre dann der Eintrag nicht mit weg?

Alexander Ebert

WoltLab Developer

  • "Alexander Ebert" is male

Posts: 4,732

Location: Berlin

  • Send private message

7

Tuesday, July 17th 2012, 1:12am

Mache es dir einfacher (PHP zu können ist was feines ^^)! Lade die angehangene Datei direkt ins Hauptverzeichnis deines Burning Boards und rufe die Datei im Browser ab. Anschließend einfach alle 4 Links durchklicken, das Skript durchsucht dabei die jeweiligen Templates nach dem Schadcode ;)
Alexander Ebert has attached the following file:
Alexander Ebert
Developer WoltLab® GmbH

FirePanther

Member

Posts: 1,177

  • Send private message

8

Tuesday, July 17th 2012, 3:15am

ja, da hatte ich auch ma was programmiert...
nicht so sauber, aber ist halt manchmal gut zu gebrauchen
FirePanther has attached the following file:
Meine Woltlab-Plugins
- Tooltip
- LiveChat
- Ani-BBCode
- Facebook

Fishzilla

Member

  • "Fishzilla" started this thread

Posts: 68

  • Send private message

9

Wednesday, July 18th 2012, 12:03am

Danke ihr Beiden.

Habe es alles durchlaufen lassen.
Stand alles auf ok.

Habe nun verschiedene Scanner über die Seite gehen lassen, alle sagen mir ein ok.
Außer der hier.

FirePanther

Member

Posts: 1,177

  • Send private message

10

Wednesday, July 18th 2012, 5:28am

und was sagt die genannte seite?
bei mir ist nämlich alles ok:
http://sitecheck.sucuri.net/results/coderz.pro
http://sitecheck.sucuri.net/results/develope.me

könnte also noch an dir liegen

edit:
der quellcode war nur gecached, da stand nämlich immer noch hidden iframe von dieser faitsyntedings drin, obwohl es im quelltext nicht sichtbar war.
hab den cache rescannen lassen:
http://sitecheck.sucuri.net/results/fishzilla-forum.net

alles i.O.
Meine Woltlab-Plugins
- Tooltip
- LiveChat
- Ani-BBCode
- Facebook

Marcel Petzold

Member

  • "Marcel Petzold" is male

Posts: 183

  • Send private message

11

Wednesday, July 18th 2012, 8:29am

@FirePanther:

Deine "suchen.php" macht was genau bitte? Ich sehe hier nur grüne, schwarze oder orangene Dateigrößen, jedoch nirgendswo ein "Ok" oder "Infiziert".
Kannst du mir da eine Erläuterung geben?

@Alexander:

Ist so ein Prüfungsmodul für das neue WBB geplant?
Wenn nicht, wäre ich dafür, da es einem viel Arbeit und böse Überraschungen abnimmt.

Es sollten dann aber auch alle Scripte gecheckt werden und nicht nur die Templates ^^.

FirePanther

Member

Posts: 1,177

  • Send private message

12

Wednesday, July 18th 2012, 7:24pm

man kann oben bei meiner datei den webspace durchsuchen, normal oder durch regex
der zeigt dir dann an in welcher datei dieser string vorkommt, also in diesem fall einfach faitsynte... eingeben
ist also niht nur fuer diesen threae gedacht, sondern generell immer, wenn man was sucht
Meine Woltlab-Plugins
- Tooltip
- LiveChat
- Ani-BBCode
- Facebook

Fishzilla

Member

  • "Fishzilla" started this thread

Posts: 68

  • Send private message

13

Wednesday, July 18th 2012, 7:42pm

Quoted from "FirePanther"

und was sagt die genannte seite?
bei mir ist nämlich alles ok:
http://sitecheck.sucuri.net/results/coderz.pro
http://sitecheck.sucuri.net/results/develope.me

könnte also noch an dir liegen

edit:
der quellcode war nur gecached, da stand nämlich immer noch hidden iframe von dieser faitsyntedings drin, obwohl es im quelltext nicht sichtbar war.
hab den cache rescannen lassen:
http://sitecheck.sucuri.net/results/fishzilla-forum.net

alles i.O.



Das heißt, wenn ich alle Cache manuell über FTP lösche, besonders den Inhalt unter /wcf/templates/compiled/, dann sollte das Teil meines Verständniss ja weg sein.
Bisher habe ich immer nur über ACP gelöscht und da werden die gecachten Templates meines Wissens nicht mit platt gemacht.

Noch mal zu Versicherung:
Im Ordner compiled/ alle Inhalte löschen?

Die letzte Frage hat sich erledigt. :)
Der Grund....

This post has been edited 1 times, last edit by "Fishzilla" (Jul 18th 2012, 8:07pm)

FirePanther

Member

Posts: 1,177

  • Send private message

14

Wednesday, July 18th 2012, 10:23pm

nein, ich meinte den cache von sucuri
hat nichts mit dir zutun gehabt
Meine Woltlab-Plugins
- Tooltip
- LiveChat
- Ani-BBCode
- Facebook

Similar threads