YourWBB


yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB Lite 1.0.x » [WBB Lite 1.0.x] Allg. Fragen und Probleme » Forum gehackt/Virus » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag 9.002 Views | | Thema zu Favoriten hinzufügen
Seiten (3): [1] 2 3 nächste »
Neues Thema erstellen Antwort erstellen
Dieses Thema wurde als unerledigt markiert. Thread unerledigt

Zum Ende der Seite springen Forum gehackt/Virus
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Vigil
Mitglied


images/avatars/avatar-5748.jpg

Dabei seit: 13.09.11
Beiträge: 35
 Forum gehackt/Virus Antworten Zitieren Editieren Melden       UP
Problembeschreibung:
Wir nehmen an, dass jemand das Forum gehackt hat. Grund: vermehrter Virenbefall und unten aufgezeigter Infotext.

Fehlermeldung:
Zitat:
Warnung: Irgendetwas stimmt hier nicht! URL-des-Forums.com enthält Inhalte von kzkmynf.zyns.com, einer Website, die bekanntermaßen Malware enthält. Ihr Computer fängt sich möglicherweise einen Virus ein, wenn Sie diese Website besuchen. Google hat schädliche Software gefunden, die möglicherweise auf Ihrem Computer installiert wird, wenn Sie fortfahren. Wenn Sie diese Website bereits in der Vergangenheit besucht haben oder dieser Website vertrauen, ist es möglich, dass sie vor Kurzem von einem Hacker manipuliert wurde. Sie sollten daher nicht fortfahren und den Vorgang vielleicht morgen wiederholen oder eine andere Website aufrufen.


Link zum Forum und Screenshot (KEINE Bilderhoster, per Dateianhang):
Lieber nicht, höchstens auf Nachfrage.

Was wurde zuletzt geändert oder eingebaut?
In letzter Zeit nichts, Forum lief ohne Probleme.

Was können wir jetzt machen? Ist es zudem ungefährlich sich über FileZilla auf unserem (privaten) Server einzuloggen?
06.02.12 17:16 Vigil ist offline E-Mail Finden Als Freund hinzufügen
Tutorial
gesperrt 01/05/2012


Dabei seit: 21.09.10
Beiträge: 243
Antworten Zitieren Editieren Melden       UP
Woher kommt diese Fehlermeldung?
Also wo befindet sich die? Forum, Virenprogramm etc... ?

Mit Filezilla auf die Datein / Server zugreifen ist unbedenklich
die datein zu öffnen ebenfalls...

Kannst ja mal in den datein (vorallem templates, kugg mal direkt im index.tpl falls du wbblite hast) nach kzkmynf.zyns.com oder irgendwas was dir spanisch vorkommt...

ggf. Funde hier mal posten Augenzwinkern
06.02.12 17:37 Tutorial ist offline Finden Als Freund hinzufügen
Vigil
Mitglied


images/avatars/avatar-5748.jpg

Dabei seit: 13.09.11
Beiträge: 35

Themenstarter Thema begonnen von Vigil
Antworten Zitieren Editieren Melden       UP
Die Fehlermeldung kommt glaube ich über GoogleChrome, die da eben diese Warn-Seite zwischengeschaltet haben. Über einen Link am Ende des Infotextes kann man weiterhin auf das Forum zugreifen, die warnen nur eben davor es nicht zu tun.

Danke für die schnelle Antwort, ich werde gleich mal nachsehen, ob ich irgend etwas finde.
06.02.12 17:40 Vigil ist offline E-Mail Finden Als Freund hinzufügen
Bibini
unregistriert
Antworten Zitieren Editieren Melden       UP
sowas ähnliches hatte ich auch mal..allerdings im Firefox
..da musst du deine Index mal auf schadcode überprüfen..
und irgendwo dort bei der meldung müsste ein link sein...wo du auf eine anleitung kommst..wie man das bei google wieder entsperren kann

hier--> http://www.v-gn.de/wbb/thread.php?threadid=14342 hatten wir das thema letztens erst (sry, dass mal wieder woanders hin verlinkt wird..aber warum alles nun zitieren und neu erklären, wenns schon wo steht Augenzwinkern )
06.02.12 17:52
Tutorial
gesperrt 01/05/2012


Dabei seit: 21.09.10
Beiträge: 243
Antworten Zitieren Editieren Melden       UP
Tu das und überprüfe vorallem kritisch die index.tpl
Ich würd falls du nix findest gern auch mal nachsehen in die index wenn du nix dagegen hast Augenzwinkern

@Bibini: hättest du mienen Post gelesen, hättest du gesehen das deiner völlig unnötig ist smile
06.02.12 18:06 Tutorial ist offline Finden Als Freund hinzufügen
Bibini
unregistriert
Antworten Zitieren Editieren Melden       UP
Zitat:
Original von Tutorial


@Bibini: hättest du mienen Post gelesen, hättest du gesehen das deiner völlig unnötig ist smile


wo steht denn bei dir, dass mans bei google auch wieder entsperren muss? cool also lass mich in frieden und geh lieber dein aua-wbb aufmotzen Augen rollen ..bevor ich DIR eine meiner Dateien anvertrauen würde, tät ich persönlich lieber alles löschen Zunge raus

^^@vigil, tu dir selbst den gefallen und les das verlinkte mal durch, normal sollte man ohne registrieren da lesen können, wenn mich net alles täuscht smile denke ist sehr informativ und hilfreich Freude
06.02.12 18:11
Vigil
Mitglied


images/avatars/avatar-5748.jpg

Dabei seit: 13.09.11
Beiträge: 35

Themenstarter Thema begonnen von Vigil
Antworten Zitieren Editieren Melden       UP
Hier erst einmal die das Index.tpl. Ich kann da nichts auffälliges entdecken.

code: 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:

{!DOCTYPE}
<html>
<head>
<title>$master_board_name - Startseite</title>
$headinclude
<script language="JavaScript" src="overlib.js"></script>

</head>

<body id="bg">
 $header
 $welcome
</table><br>
<table cellpadding=4 cellspacing=1 border=0 width="{tableinwidth}" bgcolor="{tableinbordercolor}">
 <tr bgcolor="{tabletitlecolor}" id="tabletitle">
  <td width="15%"><smallfont>&nbsp;</font></td>
  <td width="80%"><smallfont color="{fontcolorsecond}"><b>Foren</b></font></td>
  <td align="center"><smallfont color="{fontcolorsecond}"><b>Beitr&auml;ge</b></font></td>
  <td align="center"><smallfont color="{fontcolorsecond}"><b>Themen</b></font></td>
  <td align="center" nowrap><smallfont color="{fontcolorsecond}"><b>Letzter Beitrag</b></font></td>
  
 </tr>
 $boardbit
</table>
<br>
<table cellpadding=4 cellspacing=1 border=0 width="{tableinwidth}" bgcolor="{tableinbordercolor}">
 $index_useronline
 $index_pms
 $index_showevents
 $index_stats
</table>
$quicklogin
<table width="{tableinwidth}">
 <tr>
  <td align="right"><smallfont><a href="markread.php?sid=$session[hash]">alle Foren als gelesen markieren</a></font></td>
 </tr>
</table><br>
<table align="center">
 <tr>
  <td><img src="{imagefolder}/on.gif" border=0></td>
  <td><smallfont>neue Beitr&auml;ge&nbsp;&nbsp;&nbsp;&nbsp;</font></td>
  <td><img src="{imagefolder}/off.gif" border=0></td>
  <td><smallfont>keine neuen Beitr&auml;ge&nbsp;&nbsp;&nbsp;&nbsp;</font></td>
  <td><img src="{imagefolder}/offclosed.gif" border=0></td>
  <td><smallfont>Forum ist geschlossen</font></td>
 </tr>
</table>

$footer
</body>
</html>


@Bibini: das mit dem Entsperren hat ja Zeit, bis wir das Viren/Malware-Problem gelöst haben Augenzwinkern Trotzdem danke.

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Vigil: 06.02.12 18:23.
06.02.12 18:22 Vigil ist offline E-Mail Finden Als Freund hinzufügen
Tutorial
gesperrt 01/05/2012


Dabei seit: 21.09.10
Beiträge: 243
Antworten Zitieren Editieren Melden       UP
Ok,
Ich seh jetzt eigentlich auch nix in der Datei bis auf
code: 
1:
2:
3:

<script language="JavaScript" src="overlib.js"></script>


Das muss aber nix schädliches sein, nur kenne ich das nicht.
Weißt du eventuell ob die Datei zu irgendeinem Hack oder so gerhört?

Falls dir das nicht bekannt vorkommt, könntest du sie mal anhängen.
Könnte natürlich auch ein JS Virus sein oder etwas in der Art, wie gesagt KÖNNTE, muss aber nicht smile

Könntest die datei auch zusätzlich mal bei Virus Total hochladen smile
06.02.12 18:44 Tutorial ist offline Finden Als Freund hinzufügen
dedie
Mitglied


Dabei seit: 06.03.05
Beiträge: 124
Fähigkeiten: WBB3 Fortgeschritten; WBB2 Profi
Herkunft: Stuttgart
Forenversion: 3.1; 2.3
Antworten Zitieren Editieren Melden       UP
Die overlib.js ist eine beliebte Datei für diverse Spielereien wie z.b Mouseover usw...

Ich würde mal das Augenmerk auf Dateien richten die vor kurzem ohne eigenes Wissen/Zutun geändert wurden(sieht man ja leicht am datum) .

Desweiteren wäre es wissenswert ob eventuell auf andere Seiten verlinkt wird, Werbebanner usw...

Nachtrag: Der Quellcode der Startseite des Forums wäre auch ganz sehenswert

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von dedie: 06.02.12 19:00.
06.02.12 18:58 dedie ist offline E-Mail WWW Finden Als Freund hinzufügen
Schrimm
Banned


Dabei seit: 21.08.11
Beiträge: 700
Antworten Zitieren Editieren Melden       UP
Es wäre nicht das erste Mal, dass eine Werbeeinblendung für einen solchen Fehler verantwortlich ist.
06.02.12 19:08 Schrimm ist offline Finden Als Freund hinzufügen
RPG-Union
Mitglied


Dabei seit: 17.01.12
Beiträge: 5
Fähigkeiten: WBB Lite 1 Anfänger
Forenversion: 1.2
Antworten Zitieren Editieren Melden       UP
ne die haben wir nicht, wir haben nur unser banner wir haben nichmals partnerforen
06.02.12 19:09 RPG-Union ist offline E-Mail Finden Als Freund hinzufügen
Tutorial
gesperrt 01/05/2012


Dabei seit: 21.09.10
Beiträge: 243
Antworten Zitieren Editieren Melden       UP
@RPG-UNION: gehörst du auch zu dem Forenteam?

Posten doch mal bitte den quellcode der startseite smile
06.02.12 19:35 Tutorial ist offline Finden Als Freund hinzufügen
RPG-Union
Mitglied


Dabei seit: 17.01.12
Beiträge: 5
Fähigkeiten: WBB Lite 1 Anfänger
Forenversion: 1.2
Antworten Zitieren Editieren Melden       UP
ja bin ich sorry smile

komme nicht mehr auf die seite, kaspersky blockiert das -.-

www.vigil.rpg-union.com
06.02.12 19:49 RPG-Union ist offline E-Mail Finden Als Freund hinzufügen
Tutorial
gesperrt 01/05/2012


Dabei seit: 21.09.10
Beiträge: 243
Antworten Zitieren Editieren Melden       UP
Ok ich brauch dringend den Quellcode von der Forenstartseite / index
(also forumurl.de/index.php aufrufen und rechtsklick quellcode und den dann hier reinkopieren)
06.02.12 20:19 Tutorial ist offline Finden Als Freund hinzufügen
Vigil
Mitglied


images/avatars/avatar-5748.jpg

Dabei seit: 13.09.11
Beiträge: 35

Themenstarter Thema begonnen von Vigil
Antworten Zitieren Editieren Melden       UP
Zitat:
Original von dedie
Die overlib.js ist eine beliebte Datei für diverse Spielereien wie z.b Mouseover usw...


Das einzige, was ich mir hier vorstellen kann, ist der Mouseover-Hack bei der Anzeige der Online-Mitglieder (Ava bei Mouseover).

Zitat:
Original von dedie
Ich würde mal das Augenmerk auf Dateien richten die vor kurzem ohne eigenes Wissen/Zutun geändert wurden(sieht man ja leicht am datum) .


Bei allen Templates ist die Letzte Änderung der 20.1. Danach nichts mehr.

Zitat:
Original von dedie
Desweiteren wäre es wissenswert ob eventuell auf andere Seiten verlinkt wird, Werbebanner usw...


Wie RPG-Union (neben mir Admin der Seite) schon sagte, gibt es keine Verlinkungen außerhalb der Posts.

Zitat:
Original von Tutorial
Ok ich brauch dringend den Quellcode von der Forenstartseite / index
(also forumurl.de/index.php aufrufen und rechtsklick quellcode und den dann hier reinkopieren)


Ich würde theoretisch auf die Seite kommen (Umgehung der Google-Warnung), um dir den benötigten Quelltext zu zeigen, allerdings habe ich etwas Angst, mir dann ebenfalls einen Virus/Trojaner etc. einzufangen. Wenn es keine andere Möglichkeit gibt, kann ichs versuchen und hoffen, dass McAffee fähig genug ist, mich davor zu schützen unglücklich

Edit: Im Index.php sind einige Zeilen, die mir sehr spanisch vorkommen und die ich euch gerne mal zeigen würde. Vorsichtshalber erstmal als Screenshot.

Dateianhang:
png Unbenannt.png (212,43 KB, 176 mal heruntergeladen)

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Vigil: 06.02.12 20:52.
06.02.12 20:38 Vigil ist offline E-Mail Finden Als Freund hinzufügen
Bibini
unregistriert
Antworten Zitieren Editieren Melden       UP
wie wärs mit ftp- index.php runterladen..in ne zip packen und posten Augen rollen

Edit: DAS gehört definitiv da nicht hier..

die index.php beginnt nur so:

code: 
1:
2:
3:
4:
5:
6:
7:

<?php
$filename="index.php";

require("./global.php");

if(isset($_COOKIE['boardvisit'])) $boardvisit=decode_cookie($_COOKIE['boardvisit']);
else $boardvisit=array();

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Bibini: 06.02.12 20:56.
06.02.12 20:53
Tutorial
gesperrt 01/05/2012


Dabei seit: 21.09.10
Beiträge: 243
Antworten Zitieren Editieren Melden       UP
Ich kanns dir nicht garantieren das nichts passiert,
ein anständiger Virenschutz sollte das allerdings hinbekommen.

Was du machen kannst um keine Angst haben zu müssen:
PC im Abgesicherten Modus mit Netzwerktreibern starten, die Seite dann ansurfen und den quellcode hier reinkopieren und dann einfach pc ausmachen und normal erneutstarten smile

Edit:

hab zu früh gepostet, kurz for deinem Edit,
dann wäre es cool wenn du mir die index.php hier auch noch anhängen könntest, ich kugg sie mir mal an smile

Edit2:

Noch zu deiner Info, diese "komischen Zeichen" sind verschlüsselter Quelltext zu 99% (eig. 100 aber das sagt man ja nie Augenzwinkern ) und dieser wird schädlich sein smile

Also einfach die Datei hochladen / anhängen hier

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Tutorial: 06.02.12 20:58.
06.02.12 20:54 Tutorial ist offline Finden Als Freund hinzufügen
dedie
Mitglied


Dabei seit: 06.03.05
Beiträge: 124
Fähigkeiten: WBB3 Fortgeschritten; WBB2 Profi
Herkunft: Stuttgart
Forenversion: 3.1; 2.3
Antworten Zitieren Editieren Melden       UP
Zitat:
Edit: Im Index.php sind einige Zeilen, die mir sehr spanisch vorkommen und die ich euch gerne mal zeigen würde.


Das ist defenitiv verschlüsselter Code der nicht dahin gehört.

Lade mal die angehängte Orginal index.php in dein Forum und guck mal was dann passiert.

Dateianhang:
unknown index.php (5 KB, 2 mal heruntergeladen)




PS: Der Quatsch mit abgesicherten Modus usw... bringt genau so viel wie auf einem Bein surfen.
06.02.12 21:04 dedie ist offline E-Mail WWW Finden Als Freund hinzufügen
Tutorial
gesperrt 01/05/2012


Dabei seit: 21.09.10
Beiträge: 243
Antworten Zitieren Editieren Melden       UP
Überschreib sie NICHT mit der von dedie angehängten,
damit sind eingebaute hacks in diese Datei fehlerhaft !!!

Häng einfach deine hier an (oder add mich in icq, hab ich dir in deine pn geschrieben) und ich editier sie dir entsprechend smile
06.02.12 21:05 Tutorial ist offline Finden Als Freund hinzufügen
Bibini
unregistriert
Antworten Zitieren Editieren Melden       UP
fröhlich fröhlich fröhlich das is zu geil ...zwei totalpeiler bei der arbeit fröhlich fröhlich

besser wie kino großes Grinsen *popcorn hol*

ich würd halt ab und an mal backups machen, dann hat man auch eine nicht-verseuchte index.php ..wo die hacks schon drin sind .. Augen rollen

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Bibini: 06.02.12 21:08.
06.02.12 21:08
Seiten (3): [1] 2 3 nächste » Baumstruktur | Brettstruktur
Gehe zu:

Neues Thema erstellen Antwort erstellen
yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB Lite 1.0.x » [WBB Lite 1.0.x] Allg. Fragen und Probleme » Forum gehackt/Virus