Virus (Trojaner) auf dem Board

[Tierschutzforum]

Guten Morgen zusammen,
wir haben ein Forum was seit langem ohne Probleme läuft, nur hatten wir bis letzte Woche noch PHPBB2 drauf.
Plötzlich fing es an das bei einigen Usern der vieren Scanner aufging und Seiten bloggte oder Sie einfach eine weiße Seite angezeigt bekamen.
Daraufhin habe ich den Webspace auf den ältesten Zeitpunkt zurück gesetzt und die Datenbank mal von einem Bekannten durschauen lassen, soweit so gut es lief so ca. 3-4 Stunden dann ging es von vorne los…..
Also alles wieder zurück gesetzt und PHPBB3 installiert lief jetzt einen Tag und es geht schon wieder los….
Selbst Google findet wenn man Tierschutzforum eingibt schon nenn waretz link. (siehe Bild)
Was kann ich tun bin völlig Ratlos
Gruß Maurice
Bilder:
http://up.picr.de/4332278.jpg
http://up.picr.de/4332696.jpg

Nur zur Info:
Habe gerade auf anraten des Providers
PHP-allow_url_fopen off geschaltet
und
PHP-allow_url_include off geschaltet

[Mahony]

Hallo
Du hast zu große Bilder in deinen Beitrag eingebunden, was das Thema unübersichtlich macht. Es wäre besser die Bilder stattdessen lediglich zu verlinken - siehe auch Grösse von Avataren und Bildern.

Bitte passe deinen Beitrag an, lies Dir den phpBB.de-Knigge und den Hinweis zur Fragestellung und Rechtschreibung durch und beachte diese zukünftig.

Zum Thema: Lies mal hier KB:gehackt


Grüße: Mahony

[DeepSurfer]

Bin etwas verwirrt...

Auf Bild zwei werden unten die Warnmeldungen angezeigt zu Domain die nichts mit dem "tierschutz" zu tun haben.
Erhältst Du die selbe Meldung wenn Du nur die eine tierschutz Domain aufrufst ohne weiteren TABs mit anderen URIs ?

[Tierschutzforum]

Die Meldungen kommen an ganz unterschiedlichen stellen des Forums,
mal beim klick auf einen Button im ACP mal beim Beitrag verfassen mal beim zurück gehen.

Leider konnte ich noch kein Schema oder zusammenhänge ausmachen!

[DeepSurfer]

Naja... ein Trojaner kann auch über Flash einen Client infizieren, irgendjemand hat vor kurzem ein LINK zu einer Seite im Forum gepostet und ihr seit darauf gegangen und habt euch Infiziert.

Das Du einen Windows Server benutzt kann man aus Deinem Text lesen, was sagt den das Security vom Server selber ?

[Mahony]

Hallo
Ich kann in eurem Forum keinen Virus feststellen. Die leeren (weißen) Seiten, könnten an zu wenig memory_limit liegen.
Wie viel memory-Limit (memory_limit in der php.ini) dir zur Verfügung steht kannst du unter ACP - Allgemein - PHP-Information feststellen (dort nach memory_limit suchen).
Das memory_limit sollte etwa bei 32MiB liegen.


Grüße_ Mahony

[Tierschutzforum]

Auf dem Server (Hosteurope) läuft:

Apache 2.2.6

MySQL 5.1

Perl 5.10.0

Python 2.4.4 entfällt

@Mahony
memory_limit ist auf 128M eingestellt

[Tierschutzforum]

Habe meinen Rechner gerade mal durchsucht und es wurde 6 mal ein Trojaner gefunden

Virus Heur: Trojan.Script.Iframer vileicht sagt das ja jemandem etwas!

auf dem Alten board werden sofort die vierenscanner aktiv alt. tierschutzforum.eu, im neuen ist seit der PHP umstellung ruhe nur bei einigen usern ist noch das weiße seiten Problem.

Der errorlog des Servers sagt mir an diesen Stellen File not found!

[Tierschutzforum]

So heute morgen bekam ich von einigen Usern wieder Post, ich hänge das mal an:

---------------------------------------
Guten Morgen,

habe heute Morgen über G Data wieder eine Viruswarnung bekommen und die Meldung "Unsichere Seite"

Virus: JS:FakeAV-CH [Trj] (Engine B)
Virus beim Laden von Web-Inhalten gefunden.
Adresse: doublejay.wz.cz

---------------------------------------
hi der Link geht nicht... leere Seite (:
Lg leo (Amber)
----------------------------------------
Hallöchen,

wollt Posten und Dateien anhängen, macht er nicht.

Melde per Posting, dass es nicht geht und es wird angezeigt.

Editiere das Post, um Dateien anzuhängen, es wird nur die vorher geschriebene Zeile gezeigt, aber nicht das edit.

Liebe Grüße
Regina

Also, was ich nicht posten konnte, ist Folgendes:

ich klicke in der Benachrichtigungsmail auf den Link zum neuen Posting und es kommt folgendes Fenster
http://up.picr.de/4337680.jpg

das Fenster will ich mit Klick auf das rote Kreuz schließen und es kommt
http://s1.up.picr.de/4337681.jpg
---------------------------------------------------
Beim letzten User habe ich den Verdacht das er nen lokalen virus hat!

11.30Uhr
bei mir kam beim aufrufen der Landkarte gerade auch wieder ein alarm:
http://up.picr.de/4338077.jpg

11.50Uhr
Ich wollte neue Beiträge öffnen:
http://up.picr.de/4338159.pdf


Gruß Maurice

[DeepSurfer]

In PDF wird eine URI aufgeführt "http://tierschutzforum.eu/piwik/index.php" incl. einem JavaScript, diese beiden sind aber mit 404 error
- mal klären was das ist ! -


Hab beim nachschauen nicht darauf geachtet, welche MODs sind in Deinem Board verbaut ? (board3 Portal springt ja in Auge)

- alle Passwörter vom Server Ändern und NUR EINE Person hat diese in der Zeit des Testen.
(soll heissen das auch diejenigen mit FTP/Remote/Admin/etc. Zugang erst mal aussen vor bleiben.)

- abklären was für einen Vertrag ihr bei hosteurope habt und mal Abchecken in welchem Masse die Hilfeleistungen (Kostenrelevant) gewährleistet sind.

- Windows Server kompletten Security durchführen, denn wenn es wirklich am Server liegen sollte wird sich ein Scanner auf dem Server melden.

Du hattest geschrieben das auf Deinem Client 6 Trojaner gefunden wurden...was für Massnahmen hast Du ergriffen ?, denn wenn immer noch im System Trojaner vorhanden, dann sind alle Warnmeldungen gerechtfertigt.

Ich bin immer noch der Meinung das im Forum ein Text mit einem LINK vorhanden ist worauf etliche Deiner User zugegriffen haben und sich dadurch
ihren eigenen Client (wie Deiner) infiziert haben.

- Mal einen zweiten PC benutzen mit einer Laufenden SANDBOX, darin mal das Forum ansteuern. Sollte es wirklich an einem LINK in einem Text liegen so kann dieser auch im Versteckten Forenbereichen vorhanden sein wo wir als Gäste nicht zugreifen können.