vermeintlicher Hackerangriff auf Forum - Malware

[MeisterB]

Hallo Forum, nachträglich fröhliche Weihnachten

php version: 3.0.11
mod: gallery 1.1.6
style: prosilver

Seit längerer Zeit habe ich die Vermutung, dass ich Mitbewerbern ein Dorn im Auge bin. Zwei DDoS Angriffe (vom Provider bestätigt) habe ich hinter mir.

Nun mehrten sich seit Weihnachten die PHP-Scriptfehler:

Code: Alles auswählen

[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4720: Cannot modify header information - headers already sent by (output started at [ROOT]/gallery/plugins/index.php:180)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4722: Cannot modify header information - headers already sent by (output started at [ROOT]/gallery/plugins/index.php:180)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4723: Cannot modify header information - headers already sent by (output started at [ROOT]/gallery/plugins/index.php:180)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4724: Cannot modify header information - headers already sent by (output started at [ROOT]/gallery/plugins/index.php:180)

Viele index.php Dateien wurden in den grauen Morgenstunden geändert. Bilder in der Galerie waren nicht mehr sichtbar.

Nachdem ich dann das Sicherheitsbackup aufgespielt hatte war Ruhe...bis zum nächsten Tag. Da war der Fehler wieder da...

Und nun erhalte ich von Google heute eine Email mit dem schönen Betreff: Malware notification regarding example.com

18 Dateien, vorwiegend Dateien in der Galerie, sind angeblich mit Malware infiziert. Ich spiele zwar gerade das letzte Sicherheitsupdate ein, frage mich aber, was ich zukünftig tun kann, damit ich meine wenige Freizeit sinnvoller gestalte als immer und ständig Ausbesserungen am Forum vornehmen zu müssen....

[Miriam]

Erster Ansatz: KB:gehackt

Checke auch Deinen PC auf Viren / Malware

[MeisterB]

Danke Dir, habe den Link gerade in einem vorherigen Threat gefunden...

Schauen wir mal was das bringt, laut Virensoftware virenfrei...aber Mahony hatte dazu einen schönen Beitrag geschrieben....

[MeisterB]

So, es hat sich herausgestellt, dass alle meine Webseiten infiziert sind, nicht nur Forensoftware.

Konnte erkennen, dass html & php Dateien im Header mit folgendem Code ergänzt wurden:

Code: Alles auswählen

<!--336988--><script type="text/javascript" language="javascript" >

Kann wer was damit anfangen und mir eventuell sagen, was das sein soll ?? Danke !

[HabNurNeFrage]

https://www.google.de/search?q=%3C!--33 ... ipt%22+%3E
Erschreckendes Ergebnis

FTP Passwort ändern, von einem möglichst nicht infizierten PC aus

[MeisterB]

ja, das hab ich auch schon gesehen, aber alles nur "englische" Ergebnisse

Der Beitrag hier: https://www.phpbb.com/community/viewtop ... &t=2167644

ist genau das, was ich auch habe bzw. so wie es bei mir anfing.

Habe jetzt alle PW für den FTP-Zugang geändert. Schauen wir mal, ob das was bringt. Wenn nicht, wird der Virus sich wohl bei FileZilla die Daten für die PWs geholt haben !? Bin momentan echt sprachlos

[Miriam]

Also dort sind doch eindeutige Ausführungen gemacht worden:

this is a hack that got in through your hosting server , not through phpbb.
...
until you find that file and get rid of it, it won't stop.
once you get it fixed you will also have to change your main hosting password for the control panel/ftp and database etc.
...
contact your host. this is not from someone hacking phpbb. It is either your host's server software is out of date or some other software is installed that is out of date.

[zx9r-treiber]

Erster Ansatz: KB:gehackt

Checke auch Deinen PC auf Viren / Malware

Das nutz einem wenig, die normalen Handelsüblichen Scanner finden einige Klamotten nicht.

Ich habe selber ähnliches Problem vor ein paar tagen gehabt und das Norton Security und auch das Vierenprogramm von Becker (beide aktiv und Aktuell) haben nicht alles gefunden.
Erst das Profiprogramm (für Server/Netzwerk und absolut schweine teuer laut Aussage von meinem Chef) welches in unserer Firma läuft, hat sie gefunden. (Hatte ein komplettes Backup des Servers auf eine Wechselfestplatte gepackt und durfte sie anschliessen und den Scanner drüber schicken)

Nach dem alles gefunden und bereinigt war habe ich den Server komplett gelöscht und das komplette und gereinigte Backup wieder eingespielt. (inklusive Datenbanken), alle Passwörter geändert und wie hier empfohlen die .htaccess so wie die Ordner überarbeitet in Richtung Schreibschutz.

Meinen PC zu Hause habe ich komplett platt gemacht = Format C: um absolut sicher zu stellen das auch der bereinigt ist.
Klaro, war sehr radikal und einige Dateien sind futsch, aber ich wollte nicht reskieren das irgend wo doch noch etwas sitzt.

Auch habe ich nun einen zweiten PC bzw Laptop der nur für den Serverzugriff/FTP Zugang bleibt. Da kommt absolut nix anderes drauf und bleibt nur dafür in Gebrauch. Somit werde ich wohl auf einer etwas sicheren Seite stehen.

Ich habe auch Anzeige erstattet und eine Copy der Festplatte (vor dem Reinigen) nach Hannover geschickt. Da auch alle Server Log-Dateien vorhanden sind sollen die mal schaun ob sie den Verursacher an die Hammelbeine bekommen das ist ja ihr Job.