Forum gehackt/Virus |
Vigil
Mitglied
Dabei seit: 13.09.11
Beiträge: 35
|
|
Problembeschreibung:
Wir nehmen an, dass jemand das Forum gehackt hat. Grund: vermehrter Virenbefall und unten aufgezeigter Infotext.
Fehlermeldung:
Zitat: |
Warnung: Irgendetwas stimmt hier nicht! URL-des-Forums.com enthält Inhalte von kzkmynf.zyns.com, einer Website, die bekanntermaßen Malware enthält. Ihr Computer fängt sich möglicherweise einen Virus ein, wenn Sie diese Website besuchen. Google hat schädliche Software gefunden, die möglicherweise auf Ihrem Computer installiert wird, wenn Sie fortfahren. Wenn Sie diese Website bereits in der Vergangenheit besucht haben oder dieser Website vertrauen, ist es möglich, dass sie vor Kurzem von einem Hacker manipuliert wurde. Sie sollten daher nicht fortfahren und den Vorgang vielleicht morgen wiederholen oder eine andere Website aufrufen. |
Link zum Forum und Screenshot (KEINE Bilderhoster, per Dateianhang):
Lieber nicht, höchstens auf Nachfrage.
Was wurde zuletzt geändert oder eingebaut?
In letzter Zeit nichts, Forum lief ohne Probleme.
Was können wir jetzt machen? Ist es zudem ungefährlich sich über FileZilla auf unserem (privaten) Server einzuloggen?
|
|
06.02.12 17:16 |
E-Mail
Finden
Als Freund hinzufügen
|
|
Tutorial
gesperrt 01/05/2012
Dabei seit: 21.09.10
Beiträge: 243
|
|
Woher kommt diese Fehlermeldung?
Also wo befindet sich die? Forum, Virenprogramm etc... ?
Mit Filezilla auf die Datein / Server zugreifen ist unbedenklich
die datein zu öffnen ebenfalls...
Kannst ja mal in den datein (vorallem templates, kugg mal direkt im index.tpl falls du wbblite hast) nach kzkmynf.zyns.com oder irgendwas was dir spanisch vorkommt...
ggf. Funde hier mal posten
|
|
06.02.12 17:37 |
Finden
Als Freund hinzufügen
|
|
Vigil
Mitglied
Dabei seit: 13.09.11
Beiträge: 35
Themenstarter
|
|
Die Fehlermeldung kommt glaube ich über GoogleChrome, die da eben diese Warn-Seite zwischengeschaltet haben. Über einen Link am Ende des Infotextes kann man weiterhin auf das Forum zugreifen, die warnen nur eben davor es nicht zu tun.
Danke für die schnelle Antwort, ich werde gleich mal nachsehen, ob ich irgend etwas finde.
|
|
06.02.12 17:40 |
E-Mail
Finden
Als Freund hinzufügen
|
|
Bibini unregistriert
|
|
sowas ähnliches hatte ich auch mal..allerdings im Firefox
..da musst du deine Index mal auf schadcode überprüfen..
und irgendwo dort bei der meldung müsste ein link sein...wo du auf eine anleitung kommst..wie man das bei google wieder entsperren kann
hier--> http://www.v-gn.de/wbb/thread.php?threadid=14342 hatten wir das thema letztens erst (sry, dass mal wieder woanders hin verlinkt wird..aber warum alles nun zitieren und neu erklären, wenns schon wo steht
)
|
|
06.02.12 17:52 |
|
|
Tutorial
gesperrt 01/05/2012
Dabei seit: 21.09.10
Beiträge: 243
|
|
Tu das und überprüfe vorallem kritisch die index.tpl
Ich würd falls du nix findest gern auch mal nachsehen in die index wenn du nix dagegen hast
@Bibini: hättest du mienen Post gelesen, hättest du gesehen das deiner völlig unnötig ist
|
|
06.02.12 18:06 |
Finden
Als Freund hinzufügen
|
|
Bibini unregistriert
|
|
Zitat: |
Original von Tutorial
@Bibini: hättest du mienen Post gelesen, hättest du gesehen das deiner völlig unnötig ist
|
wo steht denn bei dir, dass mans bei google auch wieder entsperren muss?
also lass mich in frieden und geh lieber dein aua-wbb aufmotzen
..bevor ich DIR eine meiner Dateien anvertrauen würde, tät ich persönlich lieber alles löschen
^^@vigil, tu dir selbst den gefallen und les das verlinkte mal durch, normal sollte man ohne registrieren da lesen können, wenn mich net alles täuscht
denke ist sehr informativ und hilfreich
|
|
06.02.12 18:11 |
|
|
Tutorial
gesperrt 01/05/2012
Dabei seit: 21.09.10
Beiträge: 243
|
|
Ok,
Ich seh jetzt eigentlich auch nix in der Datei bis auf
code: |
1:
2:
3:
|
<script language="JavaScript" src="overlib.js"></script>
|
|
Das muss aber nix schädliches sein, nur kenne ich das nicht.
Weißt du eventuell ob die Datei zu irgendeinem Hack oder so gerhört?
Falls dir das nicht bekannt vorkommt, könntest du sie mal anhängen.
Könnte natürlich auch ein JS Virus sein oder etwas in der Art, wie gesagt KÖNNTE, muss aber nicht
Könntest die datei auch zusätzlich mal bei Virus Total hochladen
|
|
06.02.12 18:44 |
Finden
Als Freund hinzufügen
|
|
Schrimm
Banned
Dabei seit: 21.08.11
Beiträge: 700
|
|
Es wäre nicht das erste Mal, dass eine Werbeeinblendung für einen solchen Fehler verantwortlich ist.
|
|
06.02.12 19:08 |
Finden
Als Freund hinzufügen
|
|
RPG-Union
Mitglied
Dabei seit: 17.01.12
Beiträge: 5
Fähigkeiten: WBB Lite 1 Anfänger Forenversion: 1.2
|
|
ne die haben wir nicht, wir haben nur unser banner wir haben nichmals partnerforen
|
|
06.02.12 19:09 |
E-Mail
Finden
Als Freund hinzufügen
|
|
Tutorial
gesperrt 01/05/2012
Dabei seit: 21.09.10
Beiträge: 243
|
|
@RPG-UNION: gehörst du auch zu dem Forenteam?
Posten doch mal bitte den quellcode der startseite
|
|
06.02.12 19:35 |
Finden
Als Freund hinzufügen
|
|
Tutorial
gesperrt 01/05/2012
Dabei seit: 21.09.10
Beiträge: 243
|
|
Ok ich brauch dringend den Quellcode von der Forenstartseite / index
(also forumurl.de/index.php aufrufen und rechtsklick quellcode und den dann hier reinkopieren)
|
|
06.02.12 20:19 |
Finden
Als Freund hinzufügen
|
|
Vigil
Mitglied
Dabei seit: 13.09.11
Beiträge: 35
Themenstarter
|
|
Zitat: |
Original von dedie
Die overlib.js ist eine beliebte Datei für diverse Spielereien wie z.b Mouseover usw...
|
Das einzige, was ich mir hier vorstellen kann, ist der Mouseover-Hack bei der Anzeige der Online-Mitglieder (Ava bei Mouseover).
Zitat: |
Original von dedie
Ich würde mal das Augenmerk auf Dateien richten die vor kurzem ohne eigenes Wissen/Zutun geändert wurden(sieht man ja leicht am datum) .
|
Bei allen Templates ist die Letzte Änderung der 20.1. Danach nichts mehr.
Zitat: |
Original von dedie
Desweiteren wäre es wissenswert ob eventuell auf andere Seiten verlinkt wird, Werbebanner usw...
|
Wie RPG-Union (neben mir Admin der Seite) schon sagte, gibt es keine Verlinkungen außerhalb der Posts.
Zitat: |
Original von Tutorial
Ok ich brauch dringend den Quellcode von der Forenstartseite / index
(also forumurl.de/index.php aufrufen und rechtsklick quellcode und den dann hier reinkopieren) |
Ich würde theoretisch auf die Seite kommen (Umgehung der Google-Warnung), um dir den benötigten Quelltext zu zeigen, allerdings habe ich etwas Angst, mir dann ebenfalls einen Virus/Trojaner etc. einzufangen. Wenn es keine andere Möglichkeit gibt, kann ichs versuchen und hoffen, dass McAffee fähig genug ist, mich davor zu schützen
Edit: Im Index.php sind einige Zeilen, die mir sehr spanisch vorkommen und die ich euch gerne mal zeigen würde. Vorsichtshalber erstmal als Screenshot.
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Vigil: 06.02.12 20:52.
|
|
06.02.12 20:38 |
E-Mail
Finden
Als Freund hinzufügen
|
|
dedie
Mitglied
Dabei seit: 06.03.05
Beiträge: 124
Fähigkeiten: WBB3 Fortgeschritten; WBB2 Profi Herkunft: Stuttgart Forenversion: 3.1; 2.3
|
|
Zitat: |
Edit: Im Index.php sind einige Zeilen, die mir sehr spanisch vorkommen und die ich euch gerne mal zeigen würde. |
Das ist defenitiv verschlüsselter Code der nicht dahin gehört.
Lade mal die angehängte Orginal index.php in dein Forum und guck mal was dann passiert.
Dateianhang: |
index.php (5 KB, 2 mal heruntergeladen)
|
PS: Der Quatsch mit abgesicherten Modus usw... bringt genau so viel wie auf einem Bein surfen.
|
|
06.02.12 21:04 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
Tutorial
gesperrt 01/05/2012
Dabei seit: 21.09.10
Beiträge: 243
|
|
Überschreib sie NICHT mit der von dedie angehängten,
damit sind eingebaute hacks in diese Datei fehlerhaft !!!
Häng einfach deine hier an (oder add mich in icq, hab ich dir in deine pn geschrieben) und ich editier sie dir entsprechend
|
|
06.02.12 21:05 |
Finden
Als Freund hinzufügen
|
|
Bibini unregistriert
|
|
|
06.02.12 21:08 |
|
|
|