elektro was machst du jetzt ?
Meinst Du mich? Ich trace gerade IPs und besorge mir einen Datenstromfilter um sowas zukünftig ausschließen zu können.
Gruß
Arno
elektro was machst du jetzt ?
Meinst Du mich? Ich trace gerade IPs und besorge mir einen Datenstromfilter um sowas zukünftig ausschließen zu können.
Gruß
Arno
ja dich, sorry
und wie gedenkst du zu reparieren, wenn eine neuinstallation nichts bringt ?
Fürs WBB gibt es aktuell keinen bekannten Exploit, für Wordpress wie oben aufgelistet allerdings so einige.
Was mich ein wenig stutzig macht, ist das Auffinden der Datei thumbs.db im Foren Ordner. Diese Datei gehört nicht zum Forum und wurde auch in keinem anderen Ordner gefunden.
Das muss nichts heißen. Ich habe schon öfter in Pluginpaketen beispielsweise in Ordnern für mitgelieferte Grafiken derartige Dateien gefunden, die dann auf diesem Wege möglicherweise auch auf den Server gelangen können.
Gruß norse
Das muss nichts heißen. Ich habe schon öfter in Pluginpaketen beispielsweise in Ordnern für mitgelieferte Grafiken derartige Dateien gefunden, die dann auf diesem Wege möglicherweise auch auf den Server gelangen können.
Gruß norse
Nochmals.... ich beahaupte nicht, dass das WBB schuld daran ist. Ich sage nur, dass es im WBB als erstes auftrat. Deshalb habe ich hier nachgesehen und den Thread eröffnet.
ICh will nicht ausschließen, dass es über WP gekommen ist.
@sonicat
Ich bin mir noch nicht sicher. Vieleicht können wir einige Möglichkeiten ausschließen.
Welche Aplikationen (CMS / Blogsysteme / Shopsysteme etc. ) hast Du auf dem Server laufen? Vieleicht kommen wir über Gemeinsamkeiten dem Ursprung der Sache näher!?
Gruß
Arno
Irgendwie hab ich leider immer noch keinen Plan wie ich das Problem jetzt lösen soll !
Ist lieb und nett was joomla macht aber mir gehts ums wbb
Nochmals.... ich beahaupte nicht, dass das WBB schuld daran ist.
Das habe ich auch nicht unterstellt. Mein Beitrag sollte nur ein Hinweis darauf sein, wie die Datei möglicherweise ins System gelangt sein könnte.
Gruß norse
Irgendwie hab ich leider immer noch keinen Plan wie ich das Problem jetzt lösen soll !
Ist lieb und nett was joomla macht aber mir gehts ums wbb
Ich glaube nicht, dass die Dateien händisch verändert wurden. Ich habe gerade ein Anfrage bezüglich der Behebung gestellt und werde Dir mitteilen, welche Möglichkeiten mir aufgezeigt werden.
Nochmal..... kannst Du mir sagen, welche Aplikationen (WP, Shops Foren etc.) auf Deinem System laufen? Vieleicht finden wir eine Gemeinsamkeit und können so die Lücke ausfindig machen.
Gruß
Arno
Irgendwie hab ich leider immer noch keinen Plan wie ich das Problem jetzt lösen soll !
Ist lieb und nett was joomla macht aber mir gehts ums wbb
Wenn du so unbedingt dein Forum wieder ans laufen bekommen willst, dann spiel ein Backup der FTP Dateien auf. Die sollten normalerweise noch nicht kompromittiert sein. Nichtsdestotrotz musst du dich um die Ursachenforschung kümmern.
Bachup startete um 02:00 der Angriff war um 00.11
blöd gelaufen !
Bis auf Dateianhänge sind die FTP Dateien so gut wie statisch, da macht es nichts ein Backup vom Vortag zu benutzen. Außer natürlich du hast seit dem 10 neue Plugins installiert.
Moment ich glaub ihr versteht da leider was faslch. oder ich habs falsch vermittelt !
Die Domains laufen nicht auf unseren Servern sondern beim provider und der Snap jeden Tag und überschreibt !
Die Domain war schon vor dem Server da, es laufen nur Exchange und konsorten drüber.
Was ich zur FEhlerbehebung beitragen kann ist also nicht viel
SBS2008 fertig aus , aus fertig !
Kein Joomla nichts !
Es muss eine versteckte Datei sein, die sich auf jeden offenen Pfad einnistet, den nerst als ich ein jpg in unseren Shop via FTP hochgeladen habe, heute ab dabb war die andere Domain auch futsch, allerdings scheint die sich gerne auch auch html zu bezeihen nicht nur php. speziell auf index Seiten !!!!!
Müsste mal versuchen eine neue Index für wbb hochzuladen !
Das habe ich auch nicht unterstellt. Mein Beitrag sollte nur ein Hinweis darauf sein, wie die Datei möglicherweise ins System gelangt sein könnte.
Gruß norse
Sorry Norse..... bin momentan ein wenig gestersst...
@sonicat
Liegt der Shop auf einen anderen Server? Verstehe ich das richtig, auf dem Forenserver liegt nur dass WBB.
Hhmmmm....... ich habe zuerst vermutet, es handelt sich um einen Gumbler .cn Exploit dieser würde sich über das eigene FTP (meist FileZilla) weiter verbreiten. Auf Grund dieser Annahme habe ich sämtlich Rechner scannen lassen. Ergbenis = Alles Sauber.
Die Vorgehensweise ist eigentlich typisch für diese Maleware. Er fügt folgendes Script...... <script language=javascript><!--
(function(xwBPE){var k9E='var>20>61>3d>22>53>63r>69p>74Engine>22>2c ...... ein. Der Provider prüft immer noch die Logs (hoffe ich.....dauert irgendwie ziemlich lange)
Das Problem ist folgendes. Gumbler .cn Exploit ist ziemlich übel. Der Grund ist recht einfach. Die betroffenen Webseiten landen recht schnell in den Spamdatenbanken da die Maleware, den User von den Google Suchergebnissen auf eine flasche Seite geleitet wird.
So das ist momentan der Stand. Zur Behebung hilft die PHP Datei von Seite 1.
- Betroffene Dateien ausfindig machen und Code entfernen. (Alternativ Backup aufspielen)
Zuvor muß jedoch die Lücke (der offene Zugang) für den Angreifer geschlossen werden. Sonst geht das Spielchen von vorne los.
Nun stehen wir wieder am Anfang wo ist die Lücke.....?????
Gruß
Arno
Du kannst es dir doch beantworten indem du schaust ob in deinem Forum die FTP-Zugangsdaten gespeichert sind. Normal ist das nicht nötig und von daher kann der Angreifer auch nicht die FTP-Daten vom Forum bekommen haben.
Thumbs.db ist von Windows eine Cachedatei, die hat der Angreifer wohl mit hochgeladen.
Du kannst es dir doch beantworten indem du schaust ob in deinem Forum die FTP-Zugangsdaten gespeichert sind. Normal ist das nicht nötig und von daher kann der Angreifer auch nicht die FTP-Daten vom Forum bekommen haben.
Thumbs.db ist von Windows eine Cachedatei, die hat der Angreifer wohl mit hochgeladen.
In welcher Datei finde ich die hinterlegten Daten? Ein Zugriff auf das Forum ist leider nicht mehr möglich. Ich glaube nicht dass die Datei zufällig mit hochgeladen wurde, da sich in der Datei lediglich ein Script und der eval Code befunden hat.
Gruß
Arno
Ich habe nun via Script die Codes entfernt die geschrieben wurden !
Allerdings sind jetzt einige Dateien beschädigt auch die Index.
Das routen hat aufgehört, ich ersetze jetzt die Dateien,
theoretisch könnte ich doch alles mit ner frisch gedownloadeteten 316 überschreiben oder ?
@sonicat
mit welchem Script hast Du die Codes entfernt?
Gruß
Arno
Muaha muss ich meinen Progger fragen, der hat mir Mail geschrieben mit dem Inhalt
Hallo Chef, alles gesäubert, schnauze voll bis Montag !
Ich frag ihn !
Könnte euch ja auch helfen !
Kann ich einfach ne frisch gedownloadete 316 via FTP drüber schreiben ?
Das Problem ist folgendes. Gumbler .cn Exploit ist ziemlich übel. Der Grund ist recht einfach. Die betroffenen Webseiten landen recht schnell in den Spamdatenbanken da die Maleware, den User von den Google Suchergebnissen auf eine flasche Seite geleitet wird.
Du hast Angst, dass deine Seite als Malware-Seite markiert wird?
Dann schalte den Webserver ab und du kannst in Ruhe dich um die Probleme kümmern.
Kann ich einfach ne frisch gedownloadete 316 via FTP drüber schreiben ?
Welche Dateien willst du wo einfach überschreiben?
In welcher Datei finde ich die hinterlegten Daten?
FTP-User und FTP-Passwort nirgends - außer jemand hat sie separat irgendwo geschrieben und abgespeichert.
Ein Zugriff auf das Forum ist leider nicht mehr möglich.
Gemeint ist hier eher via FTP nicht via Browser.
Ich glaube nicht dass die Datei zufällig mit hochgeladen wurde, da sich in der Datei lediglich ein Script und der eval Code befunden hat.
In der thumbs.db-Datei? Standardmäßig enthält sie Bildvorschaudaten für den Windows-Explorer. Sie wird vom Windows-Explorer in jedem Verzeichnis abgelegt, das mindestens eine Datei mit einer einer Bildverarbeitung zugeordneten Dateiendung enthält. Läuft das Forum auf einem Windows-Server, kann es diese Datei massenweise geben. Ist es ein Linux/UNIX-Server, kommt es auf doe FTP-Programme an, die eingesetzt werden. Eine Windows-Explorer FTP-Erweiterung erzeugt dann auch auf der "UNIX-Seite" diese Dateien.
@sonicat:
ZitatKann ich einfach ne frisch gedownloadete 316 via FTP drüber schreiben ?
Auf eigenes Risiko. Wenn Du nur ein einziges Plugin drin hast, das Templates verändert hat, dann geht das schief.
Grüße
Uli
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!