Spam Code wird eingeschleust

[Student]

Hallo zusammen,

ich habe seit einiger Zeit ein großes Problem mit Spam in meinem Forum. Allerdings nicht das klassische "ich poste Dir Dein Forum tot" Gespamme, nein, irgendwer schafft es, in meinem Forum HTML-Code in Form einer riesigen Link-Liste (ca. 100 Links) einzuschleusen. Die Liste steht direkt vor dem schließenden body-Tag und ist nur im Quellcode sichtbar. Ich weiss einfach nicht, wie der Code da rein kommt.

Ein Ausschnitt der Spam-Liste:

Code: Alles auswählen

<style>#xtmz {position:absolute;overflow:auto;height:0;width:0;}</style><font id="xtmz"><br><a href="http://www.eventi2012.it/cmn-printable-gj.htm">Printable Gj</a></br>
<br><a href="http://seemanzanillo.com/gja-multicultural-printables.htm">Multicultural Printables</a></br>

Der Inhalt kommt weder aus der Datenbank, noch aus den Prosilver Template Dateien. Die habe ich gründlich untersucht. Ich sehe auch keine Skripte, die etwas inkludieren könnten. Kurios ist auch, dass die Spam-Liste manchmal auch einfach wieder verschwindet, um dann ein paar Tage später erneut aufzutauchen. Weiss jemand Rat? Oder fehlen noch wichtige Informationen?

Vielen Dank im Voraus.

[DeepSurfer]

Hier hat jemand einen gut Erklärten Weg beschrieben, es geht aber generell darum das Dein System kompromittiert ist.
viewtopic.php?p=1220814#p1220814

[Student]

Vielen Dank für Deine Anwort. Das hilft mir leider nicht weiter. Es gibt auf meinem Rechner keine Malware und es wurden bei mir auch keine iframes eingeschleust. Der Code kommt wie aus dem Nichts. Ich kann ihn also nicht einfach löschen.

Weiß sonst noch jemand Rat?

[Frank1604]

Lies dir mal bitte das hier durch: KB:gehackt

[Student]

Lies dir mal bitte das hier durch

Das hatte gemacht, bin aber ehrlich geseagt bei der Neuinstallation gescheitert, da ich eine Modifikation für sprechende URLs verwende.

Egal, ich weiss jetzt wie der Code eingeschleust wurde. Einige Dateien waren mit einem eval(base64_decode([Schadcode])) versehen. Dadurch, dass der Schad-Code verschlüsselt war, konnte ich ihn über die Dateisuche nicht finden. Ich gebe zu, dass trotz Säuberung der entsprechenden Dateien und Änderung der Passwörter dies keine 100% sichere Lösung darstellt. Aber zumindest bin ich jetzt erst mal die Spamlinks weg. Vielleicht hilft das ja jemanden weiter.

[Student]

Hier hat jemand einen gut Erklärten Weg beschrieben, es geht aber generell darum das Dein System kompromittiert ist.

Hallo Deepsurfer,

noch einmal danke für den Tipp! Eine Freundin von mir hat auf ihren Blog genau das Problem gehabt. Ihr Blog wurde gehackt (http://mrcrowley.de/testbericht/mr-crowley-gehackt). Ich hatte ihr den obigen Beitrag weitergeleitet und bei ihr war es tatsächlich das Problem, dass Malware auf ihrem Rechner FTP Passwörter aus Filezilla ausgespäht hatte. Sachen gibt es heutzutage