Vigil
Problembeschreibung:
Wir nehmen an, dass jemand das Forum gehackt hat. Grund: vermehrter Virenbefall und unten aufgezeigter Infotext.
Fehlermeldung:
| Zitat: |
| Warnung: Irgendetwas stimmt hier nicht! URL-des-Forums.com enthält Inhalte von kzkmynf.zyns.com, einer Website, die bekanntermaßen Malware enthält. Ihr Computer fängt sich möglicherweise einen Virus ein, wenn Sie diese Website besuchen. Google hat schädliche Software gefunden, die möglicherweise auf Ihrem Computer installiert wird, wenn Sie fortfahren. Wenn Sie diese Website bereits in der Vergangenheit besucht haben oder dieser Website vertrauen, ist es möglich, dass sie vor Kurzem von einem Hacker manipuliert wurde. Sie sollten daher nicht fortfahren und den Vorgang vielleicht morgen wiederholen oder eine andere Website aufrufen. |
Link zum Forum und Screenshot (KEINE Bilderhoster, per Dateianhang):
Lieber nicht, höchstens auf Nachfrage.
Was wurde zuletzt geändert oder eingebaut?
In letzter Zeit nichts, Forum lief ohne Probleme.
Was können wir jetzt machen? Ist es zudem ungefährlich sich über FileZilla auf unserem (privaten) Server einzuloggen?
Tutorial
Woher kommt diese Fehlermeldung?
Also wo befindet sich die? Forum, Virenprogramm etc... ?
Mit Filezilla auf die Datein / Server zugreifen ist unbedenklich
die datein zu öffnen ebenfalls...
Kannst ja mal in den datein (vorallem templates, kugg mal direkt im index.tpl falls du wbblite hast) nach kzkmynf.zyns.com oder irgendwas was dir spanisch vorkommt...
ggf. Funde hier mal posten
Vigil
Die Fehlermeldung kommt glaube ich über GoogleChrome, die da eben diese Warn-Seite zwischengeschaltet haben. Über einen Link am Ende des Infotextes kann man weiterhin auf das Forum zugreifen, die warnen nur eben davor es nicht zu tun.
Danke für die schnelle Antwort, ich werde gleich mal nachsehen, ob ich irgend etwas finde.
Bibini
sowas ähnliches hatte ich auch mal..allerdings im Firefox
..da musst du deine Index mal auf schadcode überprüfen..
und irgendwo dort bei der meldung müsste ein link sein...wo du auf eine anleitung kommst..wie man das bei google wieder entsperren kann
hier-->
http://www.v-gn.de/wbb/thread.php?threadid=14342 hatten wir das thema letztens erst
(sry, dass mal wieder woanders hin verlinkt wird..aber warum alles nun zitieren und neu erklären, wenns schon wo steht
)
Tutorial
Tu das und überprüfe vorallem kritisch die index.tpl
Ich würd falls du nix findest gern auch mal nachsehen in die index wenn du nix dagegen hast
@Bibini: hättest du mienen Post gelesen, hättest du gesehen das deiner völlig unnötig ist
Bibini
| Zitat: |
Original von Tutorial
@Bibini: hättest du mienen Post gelesen, hättest du gesehen das deiner völlig unnötig ist
|
wo steht denn bei dir, dass mans bei google auch wieder entsperren muss?
also lass mich in frieden und geh lieber dein aua-wbb aufmotzen
..bevor ich DIR eine meiner Dateien anvertrauen würde, tät ich persönlich lieber alles löschen
^^@vigil, tu dir selbst den gefallen und les das verlinkte mal durch, normal sollte man ohne registrieren da lesen können, wenn mich net alles täuscht
denke ist sehr informativ und hilfreich
Vigil
Hier erst einmal die das Index.tpl. Ich kann da nichts auffälliges entdecken.
| code: |
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
|
{!DOCTYPE}
<html>
<head>
<title>$master_board_name - Startseite</title>
$headinclude
<script language="JavaScript" src="overlib.js"></script>
</head>
<body id="bg">
$header
$welcome
</table><br>
<table cellpadding=4 cellspacing=1 border=0 width="{tableinwidth}" bgcolor="{tableinbordercolor}">
<tr bgcolor="{tabletitlecolor}" id="tabletitle">
<td width="15%"><smallfont> </font></td>
<td width="80%"><smallfont color="{fontcolorsecond}"><b>Foren</b></font></td>
<td align="center"><smallfont color="{fontcolorsecond}"><b>Beiträge</b></font></td>
<td align="center"><smallfont color="{fontcolorsecond}"><b>Themen</b></font></td>
<td align="center" nowrap><smallfont color="{fontcolorsecond}"><b>Letzter Beitrag</b></font></td>
</tr>
$boardbit
</table>
<br>
<table cellpadding=4 cellspacing=1 border=0 width="{tableinwidth}" bgcolor="{tableinbordercolor}">
$index_useronline
$index_pms
$index_showevents
$index_stats
</table>
$quicklogin
<table width="{tableinwidth}">
<tr>
<td align="right"><smallfont><a href="markread.php?sid=$session[hash]">alle Foren als gelesen markieren</a></font></td>
</tr>
</table><br>
<table align="center">
<tr>
<td><img src="{imagefolder}/on.gif" border=0></td>
<td><smallfont>neue Beiträge </font></td>
<td><img src="{imagefolder}/off.gif" border=0></td>
<td><smallfont>keine neuen Beiträge </font></td>
<td><img src="{imagefolder}/offclosed.gif" border=0></td>
<td><smallfont>Forum ist geschlossen</font></td>
</tr>
</table>
$footer
</body>
</html>
|
|
@Bibini: das mit dem Entsperren hat ja Zeit, bis wir das Viren/Malware-Problem gelöst haben
Trotzdem danke.
Tutorial
Ok,
Ich seh jetzt eigentlich auch nix in der Datei bis auf
| code: |
1:
2:
3:
|
<script language="JavaScript" src="overlib.js"></script>
|
|
Das muss aber nix schädliches sein, nur kenne ich das nicht.
Weißt du eventuell ob die Datei zu irgendeinem Hack oder so gerhört?
Falls dir das nicht bekannt vorkommt, könntest du sie mal anhängen.
Könnte natürlich auch ein JS Virus sein oder etwas in der Art, wie gesagt KÖNNTE, muss aber nicht
Könntest die datei auch zusätzlich mal bei Virus Total hochladen
dedie
Die overlib.js ist eine beliebte Datei für diverse Spielereien wie z.b Mouseover usw...
Ich würde mal das Augenmerk auf Dateien richten die vor kurzem ohne eigenes Wissen/Zutun geändert wurden(sieht man ja leicht am datum) .
Desweiteren wäre es wissenswert ob eventuell auf andere Seiten verlinkt wird, Werbebanner usw...
Nachtrag: Der Quellcode der Startseite des Forums wäre auch ganz sehenswert
Schrimm
Es wäre nicht das erste Mal, dass eine Werbeeinblendung für einen solchen Fehler verantwortlich ist.
RPG-Union
ne die haben wir nicht, wir haben nur unser banner wir haben nichmals partnerforen
Tutorial
@RPG-UNION: gehörst du auch zu dem Forenteam?
Posten doch mal bitte den quellcode der startseite
Tutorial
Ok ich brauch dringend den Quellcode von der Forenstartseite / index
(also forumurl.de/index.php aufrufen und rechtsklick quellcode und den dann hier reinkopieren)
Vigil
| Zitat: |
Original von dedie
Die overlib.js ist eine beliebte Datei für diverse Spielereien wie z.b Mouseover usw...
|
Das einzige, was ich mir hier vorstellen kann, ist der Mouseover-Hack bei der Anzeige der Online-Mitglieder (Ava bei Mouseover).
| Zitat: |
Original von dedie
Ich würde mal das Augenmerk auf Dateien richten die vor kurzem ohne eigenes Wissen/Zutun geändert wurden(sieht man ja leicht am datum) .
|
Bei allen Templates ist die Letzte Änderung der 20.1. Danach nichts mehr.
| Zitat: |
Original von dedie
Desweiteren wäre es wissenswert ob eventuell auf andere Seiten verlinkt wird, Werbebanner usw...
|
Wie RPG-Union (neben mir Admin der Seite) schon sagte, gibt es keine Verlinkungen außerhalb der Posts.
| Zitat: |
Original von Tutorial
Ok ich brauch dringend den Quellcode von der Forenstartseite / index
(also forumurl.de/index.php aufrufen und rechtsklick quellcode und den dann hier reinkopieren) |
Ich würde theoretisch auf die Seite kommen (Umgehung der Google-Warnung), um dir den benötigten Quelltext zu zeigen, allerdings habe ich etwas Angst, mir dann ebenfalls einen Virus/Trojaner etc. einzufangen. Wenn es keine andere Möglichkeit gibt, kann ichs versuchen und hoffen, dass McAffee fähig genug ist, mich davor zu schützen
Edit: Im Index.php sind einige Zeilen, die mir sehr spanisch vorkommen und die ich euch gerne mal zeigen würde. Vorsichtshalber erstmal als Screenshot.
Bibini
wie wärs mit ftp- index.php runterladen..in ne zip packen und posten
Edit: DAS gehört definitiv da nicht hier..
die index.php beginnt nur so:
| code: |
1:
2:
3:
4:
5:
6:
7:
|
<?php
$filename="index.php";
require("./global.php");
if(isset($_COOKIE['boardvisit'])) $boardvisit=decode_cookie($_COOKIE['boardvisit']);
else $boardvisit=array(); |
|
Tutorial
Ich kanns dir nicht garantieren das nichts passiert,
ein anständiger Virenschutz sollte das allerdings hinbekommen.
Was du machen kannst um keine Angst haben zu müssen:
PC im Abgesicherten Modus mit Netzwerktreibern starten, die Seite dann ansurfen und den quellcode hier reinkopieren und dann einfach pc ausmachen und normal erneutstarten
Edit:
hab zu früh gepostet, kurz for deinem Edit,
dann wäre es cool wenn du mir die index.php hier auch noch anhängen könntest, ich kugg sie mir mal an
Edit2:
Noch zu deiner Info, diese "komischen Zeichen" sind verschlüsselter Quelltext zu 99% (eig. 100 aber das sagt man ja nie
) und dieser wird schädlich sein
Also einfach die Datei hochladen / anhängen hier
dedie
| Zitat: |
| Edit: Im Index.php sind einige Zeilen, die mir sehr spanisch vorkommen und die ich euch gerne mal zeigen würde. |
Das ist defenitiv verschlüsselter Code der nicht dahin gehört.
Lade mal die angehängte Orginal index.php in dein Forum und guck mal was dann passiert.
[attach]33733[/attach]
PS: Der Quatsch mit abgesicherten Modus usw... bringt genau so viel wie auf einem Bein surfen.
Tutorial
Überschreib sie NICHT mit der von dedie angehängten,
damit sind eingebaute hacks in diese Datei fehlerhaft !!!
Häng einfach deine hier an (oder add mich in icq, hab ich dir in deine pn geschrieben) und ich editier sie dir entsprechend
*popcorn hol*