Massenverarbeitung funktioniert nicht mehr!

[Thyron]

Hallo!

Gemeint ist z.B. die Funktion zum löschen/verschieben mehrerer privater Nachrichten zugleich. Oder genauso im Moderationsbereich Aktionen, die auf alle markierte Themen angewendet werden. Das Problem tritt also an verschiedenen Stellen des Forums auf, wo diese Massenverarbeitung verwendet wird.

[ externes Bild ]

Folgendes passiert:

Nachdem die gewünschte Aktion ausgewählt wurde, erscheint eine leere Seite, auf der sich nur ein Formularfeld befindet, das wie das für Passwörter aussieht, also eingegebene Zeichen werden versteckt angezeigt. Bei Klick auf Return (auch wenn nichts eingegeben wurde) wird die vorherige Seite wieder aufgerufen (z.B. die PN's). Die Eingabe meines richigen Passworts habe ich sicherheitshalber nicht ausprobiert, würde aber vermutlich auch nichts anderes bewirken...

[ externes Bild ]

Der Quelltext der Seite spiegelt meine Beschreibung wieder:

<form action='/ucp.php?i=pm&mode=view&action=view_folder&f=0&start=100' method='POST'><center><input name='pass' type='password'></center></form>

Was kann das sein? Das Problem tritt erst seit gestern auf. Es wurde aber nichts verändert! In welcher Datei findet sich die Massenverarbeitung denn? Ein aktuelles Backup liegt vor. Ich verwende Version 3.0.4.

Der Fehler erscheint übrigens in verschiedenen Browsern und nicht nur bei mir! Cache löschen habe ich auch bereits versucht...

Ich hoffe Ihr könnt mir helfen

[o_spacy_o]

hallo,
wirklich keine änderung vorgenommen und nichts hochgeladen?
wenn der cache bereits gelöscht wurde könnte evtl. die rekompilierung veralteter komponenten helfen.
möglicherweise hilft auch ein blick in die serverprotokolle und/oder eine optimierung der datenbank.

seit wann tritt dieser fehler auf?

grüße spacy

[Thyron]

Seit 15. also seit 2 Tagen jetzt.

Nein, ich habe am System schon länger nichts mehr verändert. Das Forum ist halt normal im Einsatz. Am 11. hab ich noch ein komplettes Backup gezogen, nachdem es am 9. einen Serverausfall von meinem sonst sehr zuverlässigen Hoster gab. Da waren aber keine Daten betroffen, sondern nur die Erreichbarkeit von einigen Internetprovidern aus.

Und nach der Aussage eines Mods funktionierte die Massenverarbeitung am 15. vormittags noch. Ich hab den Fehler dann so kurz nach 14 Uhr bemerkt. Einen Anhaltspunkt was dazwischen passiert sein könnte, hab ich leider nicht.

Die Logdateien habe ich eben mal runtergeladen und angeschaut. Das sagt mir jedoch nicht viel. Zum einen sind es zu viele Daten: 10MB von einem Tag Und wonach sollte ich darin suchen, es handelt sich ja um keine HTTP-Fehlermeldung?

Cache habe ich sowohl von Browser als auch vom Forum gelöscht ohne Erfolg. Mit dem Rekompilieren veralteter Komponenten weiß ich leider nicht, was du meinst Und inwiefern kann ich die Datenbank optimieren? Bzw. inwiefern könnte denn die Datenbank Schuld sein?

Meine Datenbank ist übrigens immerhin schon ca. 80MB groß. Vielleicht wäre da eine Frischzellenkur wirklich mal nicht schlecht?

Übrigens habe ich schon seit langer Zeit einen ähnlich obskuren kleinen Fehler bei der Signaturbearbeitung, der sich allerdings nicht auf die Funktion auswirkt. Es ist vielmehr ein Darstellungsfehler für den ich aber in den Dateien keinen Grund finden konnte!

[o_spacy_o]

ich kann mir (noch) keinen reim drauf machen, desshalb versuche ich bestimmte dinge auszuschließen...

datenbankoptimierung mittels phpmyadmin, müsstest Du über die host einstellungen aufrufen können. damit kannst du u.a. die tabellenüberhänge beseitigen.

die "Rekompilieren veralteter Style-Komponenten:" findest du in der admin sicht unter allgemein->serverlast

die logfiles sollten darüber aufschluss geben, ob dein forum evtl. gehackt wurde. speziell ein blick in die fehlerprotokolle sollten helfen und diese müssten deutlich kleiner als 10MB sein.

du hast ein backup gezogen, das ist gut. versuch mal dieses lokal z.b. über xampp zu starten und schau ob dieses ebenfalls die fehler aufweist. evtl. ist ja doch mehr beim serverausfall geschehen...

grüße spacy

[Thyron]

Ach das meinst du mit Rekompilieren. Habe ich ausprobiert, bringt nichts. Hatte aber zuvor schon manuell den Style aktualisiert. Diese Einstellung ist ja nur dafür, dass der Style ständig neu geladen wird, soweit ich weiß. Aber das ist ja nur nach Änderungen nötig.

Was die Logfiles angeht, habe ich von den Logfiles auf meinem Webspaceaccount gesprochen, die dort automatisch abgelegt werden. Da sind nur die Zugriffe auf den Server nachvollziehbar. Eben IP, Ziel-URL, HTTP-Status und Zeitpunkt. Das Fehlerprotokoll im Forum ist leer, hatte ich auch schon geschaut.

Zu xampp: Kannte ich nicht, du meinst also ich soll einen lokalen Server auf dem Rechner installieren? Ist das nicht viel Aufwand?

Wegen der Datenbank, das will ich gerne machen. Muss nur mal schauen, nutze phpmyadmin nämlich normal nicht und kenne mich daher nicht sonderlich damit aus. Verwende stattdessen den MySQLDumper. Aber Datenbankoptimierung geht damit ja nicht.

Und danke schon mal für die Ratschläge! Bin wirklich froh, dass sich jemand die Mühe macht

Nachtrag: Hab jetzt alle Tabellen optimiert. Es gab Überhänge in Größe von 184,9 KiB. Die gesamte Größe der DB war 114,6 MiB (da ist noch ein Wordpress mit drin). Jetzt sinds noch 103,4 MiB. Das is ja mal gut zu wissen, wie das geht

Leider hat das bei dem Problem aber noch nichts bewirkt

[Thyron]

OMG, ich habe gerade festgestellt, dass mich der Fehler auch am moderieren behindert. Das heißt, ich kann keine Beiträge mehr verschieben, Themen teilen usw. Das ist ganz schlecht!

Jetzt habe ich mir die Dateien auf dem Server angeschaut und festsgestellt, dass ein großer Teil davon am 14. um 23:06 geändert wurde, am Tag danach ist uns der Fehler aufgefallen. Per FTP wurde aber nichts gemacht, wie durch die Logdateien ersichtlich ist. Das letzte was ich gemacht hatte war am 11. das Backup zu ziehen. Jetzt frage ich mich, wieso da so viele Dateien dieses Änderungsdatum haben Wäre es möglich, dass mein Hoster da ein Backup eingespielt hat ohne was zu sagen?

Ich glaube ich werde da mal eine Mail hin schreiben. Und dann kann ich ja mal meim Backup hochladen und hoffen, dass es dann wieder geht

[Thyron]

Es hat sich offenbar um einen Hackerangriff gehandelt, der eine unsichere Schnittstelle in unserem Statistikprogramm als Eintrittstor genutzt hat. Auf der Seite des Anbieters ist eine dringende Meldung dazu:

http://www.phpmyvisites.us/

Ich habe das Programm entfernt und sämliche unsere Dateien gegen ein Backup ersetzt und alle Passwörter geändert. Der Fehler im Forum ist dadurch beseitigt worden. Ich hoffe, dass nun alles in Ordnung ist und nicht auch die Datenbank infiziert ist! In die geänderten Dateien wurde übrigens folgende Zeile eingefügt:

Code: Alles auswählen

<?php /**/eval(base64_decode('blabla ... // ... blabla')); ?>

CODE geändert von mad-manne! (siehe Hinweis ...)

Außerdem waren einige neue Dateien ähnlichen Inhalts erstellt worden...

[mad-manne]

Ich habe mir mal erlaubt, den Inhalt des von dir geposteten Codes zu "entschärfen". Der von dir gepostete "Buchstabensalat" ist base64-codiert und ergibt nach der im Script ausgeführten Decodierung einen gültigen PHP-Codeblock, in dem unter anderem ein vollständiger Pfad aus deiner Webinstallation zu erkennen war. Das eval hat dann diesen decodierten Code ausgeführt ...
Dieser wiederum hat dann versucht eine Datei zu includen, die vermutlich den Schadcode enthielt

Gruss,
Manne.

[TeddyKlaus]

Hallo Thyron,

ich habe hier das gleiche Problem beschrieben. Bei mir waren ALLE php-files um diese eine Zeile ergänzt worden (Immer 1. Zeile).
Ich habe mir die Mühe gemacht und die erste Zeile aus allen php-Dateien rausgenommen. Solche Sachen wie mysqldumper und phpmyadmin habe ich gleich mit der neuesten Version neu installiert.

Gruß
Klaus

[Thyron]

Danke! Und sorry, ich wusste leider nicht um den Inhalt des Codes bescheids. Ich hatte zwar danach recherchiert, wie der Code zu entschlüsseln ist, dann aber aufgegeben...

Auf dem angegebenen Link zu eval steht "Wertet die in code_str enthaltene Zeichenkette als PHP-Code aus. Abgesehen von anderen Zwecken kann dies nützlich sein, um Code für eine spätere Ausführung im Textfeld einer Datenbank zu speichern."

Kann es also sein, dass meine Datenbank tatsächlich auch betroffen ist und sich das ganze dann wieder verbreitet? Wie kann ich das überprüfen? Die Tabellen von phpmyvisites habe ich eh entfernt. Aber die Dateien waren ja auch von allen Tools betroffen, das würde also nichts heißen.

Dieses Passwortfeld, das da angezeigt wurde bei den erwähnten Funktionen im Forum, war dann wohl wirklich um Passwörter auszuspähen?! Vielleicht hat das Teil nur keinen größeren Schaden angerichtet, weil dort noch niemand sein richtiges Passwort eingegeben hat? Von den Usern werden diese Funktionen eh kaum genutzt und damit wäre auch nicht viel Schaden anzurichten. Und wir waren so doof natürlich nicht. Zumal diese Seite ja auch gleich skeptisch macht. Es hat überhaupt eine Zeit gedauert, bis ich dieses Feld als Passwortfeld erkannt hab

Ich habe übrigens alle Dateien von meinem Server (in infiziertem Zustand) gesichert, um auch jetzt noch Nachforschungen betreiben zu können. Also wenn ihr mir helfen könnt, diese Zeilen zu entschlüsseln, suche ich die anderen infizierten Dateien noch mal heraus. Dann erfahren wir vielleicht, was genau das Ziel dieses Angriffs war...