Zum vierten mal .....Forum infiziert! (eval(base64_decode....)

  • Hallo Leute,


    ich weis nicht ob das wichtig ist aber wenn ich mir hier die Seite 3 durchlesen will bekomme ich diesen Viruswarnung und eine weiße Seite.


    Als hätte sich hier auch ein Virus eingeschlichen.


    Danke für den Hinweis..... das liegt höchstwahrscheinlich daran, da das script auf Seite drei in ein Quote eingesetzt wurde. Vieleicht kann das ein MOD mal rausnehmen bzw. kürzen


    Gruß


    Arno

  • So jetzt ist die Seite sauber und ich kann auch wieder drauf zugreifen.

    Mit freundlichen Grüßen
    Harald
    [Gründer vom Tourneo-Forum - Das Forum für die Ford Tourneo Familie] [Testforum: https://beta.tourneo-forum.de]

    Meine Browser: PC LINUX ZorinOS 15.3 : EDGE Version 88.0.680.1 (Offizielles Build) dev (64-Bit) | SAMSUNG NOTE9 : Firefox & EDGE | CarPC Dasaita HA5225 : Chrome

  • So Leute das war genug aufregung für einen Tag !
    Unter unterm Strich ist alles platt !


    Am besten einen trinken gehen

  • Nur zur Info zwischendurch: nur weil von einer Software nur die Templates beschädigt sind heißt es nicht dass die als Übeltäter ausgeschlossen werden kann. Wenn der Angreifer über FTP reinkam, dann liegt die Lücke entweder im FTP-Service, in den Berechtigungen dazu oder eine der installierten Softwares hat die FTP-Daten rausgerückt. Es sind aber nicht in jeder Software FTP-Daten hinterlegt, das WBB braucht sie nur, wenn durch restriktive Servereinstellungen sonst keine Datei geschrieben werden kann.
    Wir hatten auf unserer Webseite mal sowas, weil ein anderer Admin eine PHP-Datei geschrieben hat, die ohne zu prüfen wo es herkommt eine Datei includete, also index.php?page=seite ergibt include('seite.php');
    Darüber konnten die Angreifer dann alles mit unserem Webspace machen, das Script was im Endeffekt Schuld daran war wurde aber von den Angreifern nicht angetastet, da es unwichtig war.

  • Oberster Hirte


    das ist sicherlich richtig, jedoch wird den template_c Ordner im Shop nur zum kompilieren gebraucht. Es werden dort nur Dateien verheiratet. Die Original Template Dateien sind nicht betroffen.


    Gruß


    Arno

    • Official Post

    Nun wa ich dir sagen kann, es kann nur über Wbb gekommen sein !


    Denn ich habe alles andere nicht !


    Es ist nicht zwingend gesagt das der Angreifer über deinen Kundenaccount auf den Server gekommen ist, wenn du normalen Webspace/vServer hast. Er kann auch durch einen Lücke eines anderen Kunden den Server und damit deinen Account infiziert haben.

  • Wie in meinem Beitrag Zum vierten mal .....Forum infiziert! (eval(base64_decode....) kann es sehr viele Möglichkeiten geben, woher das Problem kommt, da ihr beiden die einzigen Personen seid, denke ich nicht, dass es ein Problem im WBB selber ist, wenn überhaupt ein Plugin.

    Meine Beiträge sind nur Hilfestellungen und Anregungen zur Lösung von einem Problem.
    Ein wenig Mitdenken ist dennoch erforderlich!


    Im WCF werden Passwörter nicht verschlüsselt, sondern gehasht!
    (Hash ist eine "Verschlüsselung", wo du den Schlüssel wegwirfst. ;))

  • Wie in meinem Beitrag Zum vierten mal .....Forum infiziert! (eval(base64_decode....) kann es sehr viele Möglichkeiten geben, woher das Problem kommt, da ihr beiden die einzigen Personen seid, denke ich nicht, dass es ein Problem im WBB selber ist, wenn überhaupt ein Plugin.


    Das wir die einzigsten sind ist wohl nicht ganz richtig.


    Besucher mit langen Code (<?php eval ...) vom Samstag, 9. April 2011, 17:46


    Nach Serverumzug die neuen Pfade ändern, wo? vom Sonntag, 16. Januar 2011, 15:38


    [Ist kein Fehler] Forum lässt gefährliche Scripte rein vom Donnerstag, 25. Oktober 2007, 16:28


    Also der älteste Eintrag den ich dazu fand ist aus 2007. Wodurch das Problem ausgelöst wird, ist eine eine Sache, aber das allein sind wir zwei dieses Problem haben ist wohl nicht hanz richtig!
    Gruß


    Arno

  • In dem Thread von 2007 sagt der Betroffene doch selbst dass es ein anderes Script ist;)
    Und wie gesagt, wenn im Forum die FTP-Daten nicht hinterlassen worden sind kann das Forum auch nicht die FTP-Daten weitergegeben haben.

  • aber das allein sind wir zwei dieses Problem haben ist wohl nicht hanz richtig!


    Ich meinte aktuelle Fälle, da es dennoch nur eine geringe Anzahl ist, lässt sich hier kein Rückschluss auf einen Fehler in der Software ziehen.
    Wie schon gesagt ohne genug Informationen, kann man nicht wirklich helfen.
    Des Weiteren sind hier ein paar Tipps aufgeführt worden, die weiterhelfen sollten.

    Meine Beiträge sind nur Hilfestellungen und Anregungen zur Lösung von einem Problem.
    Ein wenig Mitdenken ist dennoch erforderlich!


    Im WCF werden Passwörter nicht verschlüsselt, sondern gehasht!
    (Hash ist eine "Verschlüsselung", wo du den Schlüssel wegwirfst. ;))

  • Sorry, wenn ich mich noch mal einmische,
    Ich habe eben mal geschaut wie sich der FTP-Server hier Proftpd meldet....
    Version 1.3.2.e ... Ihr habt wohl noch nie, nie etwas von Sicherheitsupdates gehört, oder?


    Oder um es anders zu sagen: Wer die Sicherheitspatches nicht einpflegt ist selber schuld.
    Infos siehe: http://packages.debian.org/cha….3.3a-6squeeze1/changelog


    Ich möchte dann gar nicht wissen, wie es bei und mit anderen Paketen aussieht.

    Mit freundlichem Gruß
    Karsten
    Opera und Debian GNU/Linux ... was sonst?

    Edited once, last by Netsrak ().

  • Ich habe das nun mit verfolgt und bin ziemlich verunsichert.
    Habe mittels dem Analysescript von Wittelelektronik mein Stammverzeichnis ausgelesen. Dabei kamen 4 rote Meldungen, 1 davon ist vom Analysescript selbst.
    Habe davon einen Screenshot gemacht. Ich bin jetzt schon sehr beunruhigt, ich muss auch sagen, dass ich mit damit auch überhaupt nicht auskenne.


    Kann mir bitte jemand sagen, ob das nun Infizierungen sind, wenn ja, wass ich dagegen machen kann.
    Zusatz: Ich habe kein Fremdplugin (ausser die Metatags) installiert.