 Malware - Blackhole Exploit Kit: was tun? |
|
|
Problembeschreibung:
Hallhihallo. Ich habe mit meinem Board, das hier zu finden ist, seit einigen Wochen ein Problem. Und zwar kommt alle paar Tage immer wieder ein bösartiger (?) Code in meine index.php injiziert, der bei einigen Usern den AVG bzw Norton Virenschutz anspringen lässt. Diese bekommen dann die Meldung Blackhole Exploit Kit angezeigt. Dieses Problem hab ich natürlich auch schon gegooglet, aber auf den x Seiten einfach keine richtige Lösung gefunden. Ich weiß inzwischen, dass der Code immer nur auf die index.php geschrieben wird und kann ihn auch problemlos löschen, damit ist die Meldung dann auch weg und nun zeigt mir auch der AVG Seitenscan grünes Licht, wie http://www.avgthreatlabs.com/sitereports/domain/beyondboundaries.square7.de
hier schön zu sehen ist. Soweit so gut. Aber nach zwei drei Tagen kommt der Mist halt eben wieder. Was weder für mich noch für die Userlein schön ist, sondern sie natürlich auch beunruhigt - und mich ebenfalls.
Meine Fragen sind nun folgende:
Gibt es eures Wissens irgendwas, das ich gegen diesen Mist tun kann? Irgendeinen Schutz für meine Seite? Ich bin gestern auch tatsächlich alle Templates einzeln durchgegangen und hab nach Codeschnipseln gesucht, aber im Moment ist einfach alles clean, nachdem ich den Mist von der index.php heute morgen wiedermal gelöscht habe.
Liegt das vielleicht auch an dem Server? Wäre es sinnvoll auf einen anderen Server umzuziehen, eventuell auch auf einen kostenpflichtigen? Wenn das das Problem lösen würde, dann würden wir nämlich natürlich sofort unsere Sachen packen. Allerdings bin ich mir nicht sicher ob das überhaupt Sinn macht, daher frage ich lieber vorher euch mal um Rat. (:
Fehlermeldung:
vom Board her keine. Avg schreibt "exploit: blackhole exploit kit (type 2133)"
Link zum Forum und Screenshot (KEINE Bilderhoster, per Dateianhang):
http://beyondboundaries.square7.de/wbblite/
Was wurde zuletzt geändert oder eingebaut?
Zuletzt habe ich natürlich die index.php geändert und den Code wieder rausgelöscht, der die Meldung bringt. Da steht dann was von 'google serch bots', bei denen search tatsächlich so geschrieben ist. Wenn der Code irgendjemanden was hilft, kann ich ihn sicher bald wieder posten, weil das Zeug ja spätestens morgen sowieso wieder da ist. -.-
Den letzten Hack den ich eingebaut habe, war der Hover-Avatar Hack. Zum bearbeiten der Templates benutze ich Filezilla und Webftp.
Ich kann euch gar nicht sagen, wie dankbar ich jedem bin, der sich mit meinem Problem auseinandersetzt und mir eventuell hilft, diesen Dreck von meiner Seite zu bekommen ):
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von rockproletin: 04.03.12 11:34.
|
|
04.03.12 11:33 |
E-Mail
Finden
Als Freund hinzufügen
|
|
Bibini
unregistriert
 |
|
|
|
04.03.12 12:11 |
|
|
rockproletin
Mitglied
Dabei seit: 27.07.09
Beiträge: 27
Themenstarter 
|
|
Hahaha XD Hundert Punkte für dich!
Also ich hab gestern erst Malewarebytes bei mir scannen lassen, aber ich mach gleich noch nen Anlauf.
Also ich ändere jetzt gerade meine Passwörter, mal sehen ob das was hilft.
Wenn nicht, liegt es tatsächlich am Hoster?
Also meinst du, dass ich den Mist nicht mehr kriege, wenn ich auf einen besseren Hoster umsteige? Ich mein 30 Euro im Jahr wären auch erträglich... aber es würde mich halt ärgern, wenn mein Freund Blackhole Exploit gleich mitziehen würde 
|
|
|
04.03.12 12:21 |
E-Mail
Finden
Als Freund hinzufügen
|
|
Bibini
unregistriert
|
|
Ich kann das nicht beschwören..ich hatte paar jahre mein wbblite1 sowie mein wbb2 und auch neuere wbb auf bplaced liegen und hatte nie einen virus ...
aber allein von der ladezeit und den ausfällen her..kann ichs nur empfehlen einen umzug in betracht zu ziehen...
..mir haben sie damals richtig angst gemacht..jedesmal wenn ich ladehemmungen oder dergleichen meldete....bekam ich den spruch gedrückt, dass ich ggf. hohe strafen an sie zu zahlen hätte, wenn ich wissentlich meine uraltsoftware weiter am laufen dort hätte....usw...
wie man das ftp-pw ändert, haben sie dir ja nun gesagt, sonst hätt ich dirs auch nochmal erklärt 
würd dir auch mal raten.. hol dir mal den Stinger und lass den sicherheitshalber mal durchrennen bei dir ....
irgendwoher muss dieses blöde teil ja kommen...
|
|
|
04.03.12 12:25 |
|
|
Schrimm
Banned
Dabei seit: 21.08.11
Beiträge: 700
|
|
Bei einer Forenversion hat eine neue Version nicht wirklich was mit "Sicherheit" zu tun, dass solltest du deinem Hoster mal verklickern.
Dein Hoster soll dir auch nicht sagen was du dagegen machen sollst, sondern wie die Änderung zustande kommt.
Schließlich sollte er den möglichen Zugriff auf die Datei feststellen können.
Wie sonst soll man "unautorisierten Zugriff" feststellen können.
Eine Sicherheitslücke ist natürlich nicht auszuschließen, aber das ist beim wbblite2 oder dem wbb3 auch nicht besser.
Denn, wie bereits erwähnt, hat die "Version", bei der Forensoftware, nicht unbedingt etwas mit der Sicherheit zu tun und vor allem in php lässt sich eine Lücke schnell schließen, wenn sie erst bekannt ist und das wbb3 arbeitet auch mit php.
edit:
php ist und bleibt php.
Nur weil die Software nachweislich schon lange existiert und fast ausschließlich über php funktioniert, ist sie noch lange nicht "veraltet".
Denn du könntest ein eigenes "php"-Forum erstellen, dass auch keine "neuen" php-Funktionen verwendet, sondern sich mit "alten" Funktionen begnügt.
Und der Vorteil der Geschwindigkeit hat mit der Sicherheit auch nichts zu tun.
Kein Mensch kann dich zwingen Ajax etc. zu verwenden, wenn du beispielsweise nur php beherrscht.
Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von Schrimm: 04.03.12 12:43.
|
|
|
04.03.12 12:31 |
Finden
Als Freund hinzufügen
|
|
rockproletin
Mitglied
Dabei seit: 27.07.09
Beiträge: 27
Themenstarter
|
|
Erstmal danke für diese schnelle und hilfreiche Antwort Bibini!
Ich lass jetzt gerade Stinger durchlaufen und schau, was der dann sagt.
Das FTP Passwort habe ich auch gerade geändert und auch mein Team für eine kleine Besprechung einberufen und falls es nun tatsächlich noch Probleme geben sollte, dann werden wir wirklich auf einen kostenpflichtigen Server umziehen. Eine kleine Chance geben wir den geänderten Passwörtern allerdings noch
Danke für deine Hilfe und den Tip! Ich hüpfe jedenfalls gleich mal zu sysprovide.de und gucke mir deren Angebote mal an, kann ja nicht schaden.
Eine kleine Frage hätte ich allerdings noch, vll kannst du mir da zufällig auch helfen. Und zwar würde ich gerade gerne das DB Passwort ändern, wenn ich das aber in phpMyAdmin mache, dann krieg ich im Forum ne Fehlermeldung, weil das Forum ja offenbar noch das alte Passwort nutzt. Wo kann ich denn das im Forum umstellen, dass es ein neues DB Passwort gibt? *glubsch*
edit/ Ja, Schrimm. Genau das denke ich mir natürlich auch, aber ich denke nicht, dass es viel Sinn macht, damit jetzt da anzukommen, das werden die mir ja niemals zugestehen. Is natürlich leichter, das Problem auf die Software zu schieben. Und ich werd auch tatsächlich bei Wbblite bleiben, weil ich diese Benutzeroberfläche einfach liebe. Wenn das mit den neuen Passwörter nun nicht hinhaut, dann bin ich von dort ohnehin weg. Da unterhalte ich mich lieber hier mit euch, wo ich wirklich Hilfestellung bekomme, als mir dort anzuhören dass alles die Schuld der bösen alten Software ist und mich da am Ende auch noch rumzustreiten.
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von rockproletin: 04.03.12 12:50.
|
|
|
04.03.12 12:47 |
E-Mail
Finden
Als Freund hinzufügen
|
|
Schrimm
Banned
Dabei seit: 21.08.11
Beiträge: 700
|
|
| Zitat: |
Original von rockproletin
Eine kleine Frage hätte ich allerdings noch, vll kannst du mir da zufällig auch helfen. Und zwar würde ich gerade gerne das DB Passwort ändern, wenn ich das aber in phpMyAdmin mache, dann krieg ich im Forum ne Fehlermeldung, weil das Forum ja offenbar noch das alte Passwort nutzt. Wo kann ich denn das im Forum umstellen, dass es ein neues DB Passwort gibt? *glubsch* |
acp/lib/config.inc.php
|
|
|
04.03.12 12:49 |
Finden
Als Freund hinzufügen
|
|
rockproletin
Mitglied
Dabei seit: 27.07.09
Beiträge: 27
Themenstarter
|
|
also ich hab deine Sachen jetzt mal zusammengefasst (soweit ich das als ziemlicher php noob hingekriegt habe
) und denen gepostet, mal schauen was die antworten...
Eine Frage hab ich allerdings noch:
ich hab ja Blackhole Exploit gegoogelt und da stand auf einer Seite, dass das auch was mit Unsicherheit von Filezilla zu tun haben könnte. Ist es also blöd, Filezilla zu benutzen? Das selbe gilt für Webftp klickity - ist das unsicher oder kann ich das ohne Bedenken weiter benutzen? Was meinen die Experten dazu? XD
Außerdem hab ich nun Stinger durchlaufen lassen und der sagt:
Rootkit scan result: clean
Master boot records: 1
Possibly infected: 0
Boot sectors: 1
Possibly infected: 0
Number of clean files: 17386
Das sieht also relativ gut aus, oder? xD
|
|
|
04.03.12 13:28 |
E-Mail
Finden
Als Freund hinzufügen
|
|
nichtsgeht
Mitglied
Dabei seit: 23.08.11
Beiträge: 11
|
|
Also das FileZilla unsicher ist, halte ich für Quatsch - arbeite schon Jahrelang mit FileZilla. Und auch bekannte gute Seitenbetreiber, die ich so kenne, arbeiten damit. Nie gab es irgendwelche Probleme. Halte FileZilla immer noch für das beste FTP-Programm.
Bei WepFTP bin ich da nicht so sicher.
|
|
|
04.03.12 13:40 |
E-Mail
Finden
Als Freund hinzufügen
|
|
rockproletin
Mitglied
Dabei seit: 27.07.09
Beiträge: 27
Themenstarter
|
|
Okay, hier kommt nun die Antwort und ich denke, dass sie niemanden hier überrascht:
| Zitat: |
Hallo,
gerade bei alten Versionen gibt es Sicherheitslücken, durch die sich solche Dinge einschleusen können. Daher sollte man immer updaten, da mit neueren Versionen immer wieder solche Lücken geschlossen werden.
Auch via FTP kann sich Code einschleusen.
|
|
|
|
04.03.12 13:42 |
E-Mail
Finden
Als Freund hinzufügen
|
|
Bibini
unregistriert
|
|
|
|
04.03.12 13:48 |
|
|
rockproletin
Mitglied
Dabei seit: 27.07.09
Beiträge: 27
Themenstarter
|
|
²Bibini: Das is ja echt heftig, was du da erzählst. oO Unglaublich. So eine Frechheit, vorallem wenn du da nen Pro-Account hattest!
Ich hab die Forensuche ausprobiert und sie geht übrigens tatsächlich nicht. Also die Wortsuche, die Suche nach einem Benutzernamen funktioniert. Krasse Sache... o_o" Da es auch in letzer Zeit sehr häufig Ausfälle gab, werden wir uns jetzt tatsächlich wohl mal gemütlich auf die Suche nach einem anderen Hoste bergeben...
Die Supportantwort ist ja auch einfach eine Frechheit. Es geht ja dabei nicht darum was AUF dem Space ist, sondern was da unauthorisiert von außen REIN kommt, würde ich meinen o_o Aber das wird ganz ignoriert, genauso wie meine eigentliche Frage. Sie bestätigen ja nur, dass es irgendwo eine Sicherheitslücke gibt. Dankeschön, das haben wir auch so geschnallt
Und danke für die Meinungen zu den FTP-Programmen. Ich habe Filezille grad nochmal geupdated und werde jetzt auch dabei bleiben und das praktische Webftp sicherheitshalber mal sein lassen.
|
|
|
04.03.12 14:27 |
E-Mail
Finden
Als Freund hinzufügen
|
|
dedie
Mitglied
Dabei seit: 06.03.05
Beiträge: 124
Fähigkeiten: WBB3 Fortgeschritten; WBB2 Profi
Herkunft: Stuttgart
Forenversion: 3.1; 2.3
|
|
| Zitat: |
Original von nichtsgeht
Also das FileZilla unsicher ist, halte ich für Quatsch - arbeite schon Jahrelang mit FileZilla. Und auch bekannte gute Seitenbetreiber, die ich so kenne, arbeiten damit. Nie gab es irgendwelche Probleme. Halte FileZilla immer noch für das beste FTP-Programm.
Bei WepFTP bin ich da nicht so sicher. |
FileZilla hat bisher in jedem Versionsupdate irgendwelche Sicherheitslücken gestopft, erzähl besser nicht soviel Quatsch 
|
|
|
04.03.12 14:30 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
Bibini
unregistriert
|
|
@ rockprolektin
falls ihr noch ne weile dort bleiben möchtet...und eure forensuche dringend benötigt, gibts bei viktor schon eine komplett neue forensuche, die er extra damals wegen den bplaced-geschädigten gecodet hat
http://www.v-gn.de/wbb/filebase.php?fileid=771
..wenn ihr aber eh bald umziehen wollt...ginge eure normale boardsuche eh wieder..und würd mir die mühe dann nicht machen, müsst ihr also selbst abwägen, wollt dirs nur mal zeigen
^^ ich war jahrelang zufrieden bei bplaced..der support war anfangs super...aber seit ca. einem jahr..is denen scheinbar ihr erfolg zu kopf gestiegen..und man bekommt nur noch so antworten... kompetent is m.E. was anderes..da brauchen wir glaub ich net drüber zu diskutieren
|
|
|
04.03.12 15:00 |
|
|
|
--> 
