Virus (Trojaner) auf dem Board

[Tierschutzforum]

zu 1. Der Piwik link ist miltlerweile raus war vom Alten forum.....

zu 2. Passwörter sind geändert zugang habe nur ich!

zu 3. Hosteurope hasst mich warscheilich schon, die schauen immer so wie du auf dem Board und finden nix eben hat jemand mit mir die error-log durchgeschaut und wir haben versucht ob man sehen kann ob was passiert wenn bei mir die meldung kommt ist aber nichts!

zu 3. (Windows Server kompletten Security durchführen) wie geht das? kann nur der Hoster oder?

zu 4. die 6Trojander wahren im Explorer Cache müßten auch noch in der PDF stehen (durch kasparski beseitigt)

zu 5. 2. PC komischer weise schlägt avast bei meiner Frau nicht an hatte er bei mir schon(hatte ich vor kasparski drauf) werde mal nach dieser sendbox Googeln und das vom Pc meines Sohnes aus testen der war noch nicht auf der Seite!

Hier mal der Link zur Trojaner diskusion auf unserer seite dort werden auch viele Probleme der User beschrieben!

Gruß Maurice
Ps. Jemand bei Hosteurope meine da könne was in der Datenbank sein das müßte ich dan mal überprüfen lassen, mein DB Mensch hat dann reingeschaut und meinte es gäbe nur eine möglichkeit da was ein zu bauen und das währe über trigger aber da war auch nichts.

[DeepSurfer]

Ausgehend von diesem Text, interpretierte ich das so, das Du einen WindowsServer bei Hosteurope hast und nach meiner Vorstellung dies ein RootServer ist worauf Du per Remotelogin (Remotedesktop) einen zurückliegenden Sicherungspunkt des Systems und oder ein kompletten Backup zurück gespielt hast.

Daraufhin habe ich den Webspace auf den ältesten Zeitpunkt zurück gesetzt und die Datenbank mal von einem Bekannten durchschauen lassen, soweit so gut es lief so ca. 3-4 Stunden dann ging es von vorne los…..

Darauf aufbauend war meine Äusserung das man den Server einen kompletten Securitycheck unterziehen lassen sollte, eben halt einen aktuellen V-Scanner und Rootkit-Scanner durchlaufen lassen.

Wenn meine Interpretation falsch ist, so sag da erst mal Bescheid.

- Wenn wie beschrieben nur noch Du einen Zugang hast, so kopiere den phpbb-DB in einen neuen DB-Namen ab mit neuem DB-User.

- Baue in einem Unterpfad (wenn keine Subdomainverwaltung vorhanden ist) das Forum komplett neu und nutze die DB-Kopie des laufenden Forum (in der config.php den neuen DB-Namen eintragen) und dann mal mit der Kopie des Forums arbeiten.

- Schauen ob dort nach dem neuen Aufbau -aber selben DB- der Virenscanner von einem sauberen PC sich meldet.

Hintergrund: Wenn aus Gründen wie auch immer ein Schadcode im laufenden Forum eingebunden wurde so ist dies mit dem neu Aufbau dann hinfällig und alles sollte dann sauber sein, dein Kollege für die Datenbank hat Dir ja schon bestätigt das es nicht an bzw. in der DB liegen kann.


Auch mal im laufenden Forum den ForenCache leeren lassen, Cookies löschen lassen, die Styles mal im ACP aktualisieren lassen sodass Codereste erst mal Serverseitig verschwinden.

[Tierschutzforum]

Habe gerade von einem PC der noch nie im Forum war die seite aufgerufen und schupp beim klick auf neue Beiträge kam die Warnmeldung das ein Trojaner js: redirekt eine umleitung versucht!

hoffe das sagt dir was über den Server: http://up.picr.de/4338874.pdf
werde das mit dem neuen Board mal testen

das hier hört sich wie mein Problem an:
http://blog.murawski.ch/2010/02/jsredir ... eygenguru/

beim wersuch des neu instalierens schlug sofort beim klick auf instalieren der Vierenscanner an ich glaube ich geb auf!

[DeepSurfer]

Klingt Interessant....

beim versuch des neu Installierens schlug sofort beim klick auf installieren der Virenscanner an ich glaube ich geb auf!

- Nicht aufgeben...alles ist Lösbar..
- Dazu mal ganz neu das phpbb3-PL1 downloaden, auch das Portal komplett neu downloaden.
- Kam die Warnung beim Aufruf von http://domain/install/index.php ??

Ok, du hast einen Linux Server.
Wenn Du einen Terminal Zugang zu dem Server hast (SSH Zugang via PUTTY) dann ist das beschriebene aus dem Blog schnell durchführbar.

- Falls ja, aber Du hast keinen Blassen Schimmer von Linux Administration, dann jemand im Bekanntenkreis suchen.
- Da Du mit Hosteurope schon so grün bist, die mal bitten ob die über den Prozessstatus schauen ob mehr als 8 Childs des Apachen laufen (sofern die mit den Standard arbeiten). Dem Support den Blog Eintrag als LINK mitschicken.

- Falls nein, könntest du auch das komplette Forum auf Deine Festplatte herunterladen (Hinweis, laut Blog ist das kein Aktiver Trojaner solange der Apache ausgeschaltet ist, was ja beim herunterladen und Ablage auf der Platte ja der Fall ist).
Dann kannst Du mittels Suchfunktion alle Datenfiles des Forums nach diesem Ominösen "cf1e72d66d38" (aus der remove_image.php_.txt suchen. Um erst mal fest zu stellen ob überhaupt Datenfiles den Referer beinhalten.


- Wichtig an dieser Stelle, ALLE Passwörter die Du für den Webspace hast umändern !
- Die User aus dem Forum mit Admin Zugang erst mal vom ACP aus sperren !! (Grund: den Referer kann man auch über den Style Editor im ACP einbauen). Ich will an dieser Stelle niemanden Beschuldigen, aber ein Ändern von Datenfiles ist halt nur mittels direktem Zugang entweder per FTP / Terminal / ACP Rechten möglich).

[Tierschutzforum]

Tjha die bei Hosteurope nemen den eintrag nicht für voll, es kann nicht sein was nicht sein darf....

Haben eben mal mit Wireshark aufgezeichnet hier das erschreckende ergebniss:


Was auch interessent ist das das Passwort unverschlüsselt übermittelt wird!

Der hammer ist das sich das Teil anscheinen wirklich selbstständig auf dem Webspace ausbreitet, habe eben über das KIS bei Hosteurope deren PHPBB3 Version instaliert mit neuer DB und schon in diesem neuen Forum ist das Teil!

[DeepSurfer]

Der hammer ist das sich das Teil anscheinen wirklich selbstständig auf dem Webspace ausbreitet, habe eben über das KIS bei Hosteurope deren PHPBB3 Version instaliert mit neuer DB und schon in diesem neuen Forum ist das Teil!

Ausgehend von dem was man im Blog liest, ist das absolut richtig.

Wenn wie beschrieben die Situation über einen Phantom-Child des Apachen abläuft so wird nun jede Aktion diese Warnmeldung hervorrufen.

Kannst ja mal den Support bitten ob die mal die anderen Webspace User auf dem selben Server nach Virenwarnung nach haken könnten (was ich zwar schwer bezweifle).

Ich habe dir soeben eine PN geschickt mit einer Liste der Domains die auf die IP des Servers zugreifen.
Einfach einige Ausprobieren ob bei denen auch eine Warnmeldung bei Dir erscheint.

EDIT: Wie ich sehe sind auch Domains darunter die zu Dir gehören bzw. von Dir mit Verwaltet werden.
Wenn bei jeder dieser Domain die Warnmeldung kommt hättest Du zumindest einen Anhaltspunkt für den Support damit die mal den Apache komplett neu Starten lassen (nicht nur einen reload oder gracefull restart)


Somit wäre es eventuell auch nach voll ziehbar wenn einer auf den Server zugriff hatte, muss ja nicht durch den tierschutzforum passiert sein muss.

[Tierschutzforum]

Äh hab da mal ne Frage warum solte ich das PDF löschen? Wegen dem offen passwort oder wie?
Das verstehe ich jetzt nicht!

Host Europe zieht sich keinen schuh an bisher haben wir eine weitere seite gefunden aber das ist zufall sagen die!

[DeepSurfer]

Äh hab da mal ne Frage warum solte ich das PDF löschen? Wegen dem offen passwort oder wie?
Das verstehe ich jetzt nicht!

Jo...Password und komplette SID

Host Europe zieht sich keinen schuh an bisher haben wir eine weitere seite gefunden aber das ist zufall sagen die!

Die brauchen sich ja auch keinen Schuh anziehen, die sollten langsam verstehen das Du sie nur ein wenig um Unterstützung im Rahmen der Vertraglichen (Kostenrelevanten) Sachen benötigst.
Denn wenn Absuse Mails ein trudeln, würden die einfach nur deinen Webspace abschalten und verlangen dann horrende Summen um das wieder in Ordnung zu bringen.

Ich weiss es ist immer ein per Bankspiel mit Support aber wenn Du die Tickets mit ein wenig witzigem Untermalst und in einem freundlichem Tonfall Kommunizierst so hoffe das die da etwas in den Kulanz Bereich erledigen.

Vielleicht fällt den anderen noch etwas ein, vielleicht sogar einen anderen Lösungsweg.

[Tierschutzforum]

So hatte jetzt mal Jemanden vom Support am Telefon der mich nicht für doof gehalten hat, und er hatte wohl zum Glück auf einer der Anderen Domains auch nen Schrei vom Scanner...

Er wollte jetzt die Wireshark TCP Streams von den drei Domais haben und das zusammen mit dem Blog eintrag an die Technik weiter leiten. Aber die sind heute natürlich nicht im Hause!

Gruß Maurice

[DeepSurfer]

zumindest tut sich was in einer angenehmen richtung....