yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB 2.3.x » [WBB 2.3.x] Allg. Fragen und Probleme » Trojanisches Pferd in DatenbankBackup

Trojanisches Pferd in DatenbankBackup

LadyMary
Problembeschreibung:
Ich habe vorgestern ein Backup der Datenbank gemacht, mir die auch fein in meinem dafür Vorgesehenen Ordner gelegt. Gestern habe ich dann ein Virusscan gemacht und da zeigte er mir an, das in dem Archiv in dem das neue Backup ja verpackt ist, ein Trojanisches Pferd sei.
Ich habe dann noch mal ein älteres Backup vom Server gezogen, ausm März, da ist der Trojaner auch schon drin.
In dem Backup letztes Jahr aus dem November ist noch kein Trojanisches Pferd enthalten.
Wir wurden ja mehrfach gehackt, hatten neue Useraccounts die übers ACP erstellt wurden, daraufhin hatte ich ein Verzeichnisschutz angelegt, das war irgendwann im MÄRZ? verwirrt ich weiss es nciht mehr genau, müsste hier auch im Forum stehen glaub ich.

Fehlermeldung:
Im Datenbank backup ist das Trojanische Pferd enthalten
Im Reeport meines Viren Programmes schaut das dann so aus:
Zitat:

Beginne mit der Suche in 'C:\Users\Amy\AppData\Local\Temp\lxadmin-scheduled-5.0-amy-2009-Mar-18-1237
402300.tar'
C:\Users\Amy\AppData\Local\Temp\lxadmin-scheduled-5.0-amy-2009-Mar-18-12374
02300.tar
[0] Archivtyp: GZ
--> lxadmin-scheduled-5.0-amy-2009-Mar-18-1237402300
[1] Archivtyp: TAR (tape archiver)
--> unser-kinderzimmer.de-mmail-any-1237402301.tar
[2] Archivtyp: TAR (tape archiver)
--> amy/Maildir/cur/1228152611.M129799P30213V0000000000009001I05A7817C_0.v-serv
er12.domain-web-server.de
[3] Archivtyp: MIME
--> sperrung.zip
[4] Archivtyp: ZIP
--> Sperrung.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.iBill.BV





Was wurde zuletzt geändert oder eingebaut?
Eine zusätzliche Pinabfrage bei Login eines Users, für mehr sicherheit das war ich glaube im Dezember.



Wer kann mir helfen?
Ist der Trojaner in der Datenbank selber?
Wäre es möglich das mir den jemand über einen MYSQL-Befehl übers ACP dort hineingeschrieben hat?
Oder sollte ich noch mal alle PHPdatein usw auf die auf dem Server liegen scannen?
onesworld
Welchen Virenscanner nutzt du?

Lade die entsprechende Datei mal bei Virustotal hoch und lass sie prüfen, denn evtl. spinnt nur dein Scanner. Sowas passiert manchmal.

http://www.virustotal.com/de/

Da stimmt allerdings sowieso was nicht, denn ein Datenbankbackup enthält keine Dateien, sondern schlicht und ergreifend einfach nur Text. Die exe (wenn sie sie dann schädlich ist) wird wenn dann auf dem ftp sein, nicht in der Datenbank. Also im Normalfall - wenn sowas wirklich in der Datenbank untergeschoben wurde, dann hast du ein mittelschweres Problem. *g*

Tipp ins blaue: Norton?
LadyMary
Nein ich habe Antivir durchlaufen lassen verwirrt
hatte mal McAffee aber da lief die probelizenz aus und das neue welches ich mir über meinen Internetanbieter downloaden sollte, kann ich nicht installieren weil sich dieses Setup nicht mit meinem IE 8 verträgt, und unter Vista läuft der IE 7 nicht
onesworld
Lade halt diese Sperrung.exe wie oben verlinkt einfach mal bei Virustotal hoch. Dann kannst du recht leicht sehen ob vielleicht nur Antivir diese Datei fälschlich als Schädling erkennt. Oder rar sie mal und häng sie hier an, dann schaue ich mir das Teil gerne mal an.
LadyMary
habe schon die lösung des problems gefunden, weil ich ja auf meinem server auch email drüber laufen habe und diese fälschlicherweise nicht vom server gelöscht habe, da war ein trojanisches pferd mit drin.
nd wenn man ein backup macht, dann macht der wohl auch gleichzeitig eines von den mails mit, jetzt habe ichalle mails gelöscht und ein neues backup gezogen, dieses ist nun frei von vieren.

danke dir für deine hilfe
onesworld
Du solltest dann im gleichen Atemzug den Absender dieser Email, die die Datei enthalten hat, auf deine Blacklist setzen. Nur mal so angemerkt. Wer dir Schädlinge schickt, der willst nichts nettes.
Forensoftware: Burning Board, entwickelt von WoltLab GmbH