Hier noch mehr Infos siehe Anhang.
edit
YEP das ist der besagte Bösewicht !
Zumindest einer davon !
Glückwunsch ( tut mir leid die irnoie)
script is raus !
aber sollte doch hierraus nicht arbeiten oder etwa doch ?
kann es auch nicht. Aber manche Virenscanner interpretieren es eben doch als bösartiges Skript 
So jetzt ist die Seite sauber und ich kann auch wieder drauf zugreifen.
So Leute das war genug aufregung für einen Tag !
Unter unterm Strich ist alles platt !
Am besten einen trinken gehen
So Leute das war genug aufregung für einen Tag !
Unter unterm Strich ist alles platt !
Am besten einen trinken gehen
Das ist ne gute Idee...... einen schönen Feierabend.
Nur zur Info zwischendurch: nur weil von einer Software nur die Templates beschädigt sind heißt es nicht dass die als Übeltäter ausgeschlossen werden kann. Wenn der Angreifer über FTP reinkam, dann liegt die Lücke entweder im FTP-Service, in den Berechtigungen dazu oder eine der installierten Softwares hat die FTP-Daten rausgerückt. Es sind aber nicht in jeder Software FTP-Daten hinterlegt, das WBB braucht sie nur, wenn durch restriktive Servereinstellungen sonst keine Datei geschrieben werden kann.
Wir hatten auf unserer Webseite mal sowas, weil ein anderer Admin eine PHP-Datei geschrieben hat, die ohne zu prüfen wo es herkommt eine Datei includete, also index.php?page=seite ergibt include('seite.php');
Darüber konnten die Angreifer dann alles mit unserem Webspace machen, das Script was im Endeffekt Schuld daran war wurde aber von den Angreifern nicht angetastet, da es unwichtig war.
Nun wa ich dir sagen kann, es kann nur über Wbb gekommen sein !
Denn ich habe alles andere nicht !
Es ist nicht zwingend gesagt das der Angreifer über deinen Kundenaccount auf den Server gekommen ist, wenn du normalen Webspace/vServer hast. Er kann auch durch einen Lücke eines anderen Kunden den Server und damit deinen Account infiziert haben.
Wie in meinem Beitrag Zum vierten mal .....Forum infiziert! (eval(base64_decode....) kann es sehr viele Möglichkeiten geben, woher das Problem kommt, da ihr beiden die einzigen Personen seid, denke ich nicht, dass es ein Problem im WBB selber ist, wenn überhaupt ein Plugin.
Wie in meinem Beitrag Zum vierten mal .....Forum infiziert! (eval(base64_decode....) kann es sehr viele Möglichkeiten geben, woher das Problem kommt, da ihr beiden die einzigen Personen seid, denke ich nicht, dass es ein Problem im WBB selber ist, wenn überhaupt ein Plugin.
Das wir die einzigsten sind ist wohl nicht ganz richtig.
Besucher mit langen Code (<?php eval ...) vom Samstag, 9. April 2011, 17:46
Nach Serverumzug die neuen Pfade ändern, wo? vom Sonntag, 16. Januar 2011, 15:38
[Ist kein Fehler] Forum lässt gefährliche Scripte rein vom Donnerstag, 25. Oktober 2007, 16:28
Also der älteste Eintrag den ich dazu fand ist aus 2007. Wodurch das Problem ausgelöst wird, ist eine eine Sache, aber das allein sind wir zwei dieses Problem haben ist wohl nicht hanz richtig!
Gruß
Arno
In dem Thread von 2007 sagt der Betroffene doch selbst dass es ein anderes Script ist;)
Und wie gesagt, wenn im Forum die FTP-Daten nicht hinterlassen worden sind kann das Forum auch nicht die FTP-Daten weitergegeben haben.
aber das allein sind wir zwei dieses Problem haben ist wohl nicht hanz richtig!
Ich meinte aktuelle Fälle, da es dennoch nur eine geringe Anzahl ist, lässt sich hier kein Rückschluss auf einen Fehler in der Software ziehen.
Wie schon gesagt ohne genug Informationen, kann man nicht wirklich helfen.
Des Weiteren sind hier ein paar Tipps aufgeführt worden, die weiterhelfen sollten.
Sorry, wenn ich mich noch mal einmische,
Ich habe eben mal geschaut wie sich der FTP-Server hier Proftpd meldet....
Version 1.3.2.e ... Ihr habt wohl noch nie, nie etwas von Sicherheitsupdates gehört, oder?
Oder um es anders zu sagen: Wer die Sicherheitspatches nicht einpflegt ist selber schuld.
Infos siehe: http://packages.debian.org/cha….3.3a-6squeeze1/changelog
Ich möchte dann gar nicht wissen, wie es bei und mit anderen Paketen aussieht.
Ich habe das nun mit verfolgt und bin ziemlich verunsichert.
Habe mittels dem Analysescript von Wittelelektronik mein Stammverzeichnis ausgelesen. Dabei kamen 4 rote Meldungen, 1 davon ist vom Analysescript selbst.
Habe davon einen Screenshot gemacht. Ich bin jetzt schon sehr beunruhigt, ich muss auch sagen, dass ich mit damit auch überhaupt nicht auskenne.
Kann mir bitte jemand sagen, ob das nun Infizierungen sind, wenn ja, wass ich dagegen machen kann.
Zusatz: Ich habe kein Fremdplugin (ausser die Metatags) installiert.
Eine search.php gibt es normal gar nicht mehr...
Don’t have an account yet? Register yourself now and be a part of our community!
