phpBB.de

Hallo Community,

Seit heute habe ich das Problem das beim aufrufen meines Forums alleweil auf eine andere Seite weitergeleitet wird. Am Forum selbst habe ich nichts geändert und ich konnte auch keine Änderungen an den Dateien erkennen.

Weitergeleitet wird auf folgende Seite: http://scanner.xmalwarealarm.com/5/?advid=1793

Mein Provider meinte das es an einer Sicherheitslücke in der Forumssoftware läge. Das kann ich aber nicht glauben weil auf dem Webspace noch eine Homepage liegt die vollkommen unabhängig vom Forum ist und bei deren Aufruf auch alleweil weitergeleitet wird.

Mit alleweil meine ich das es nicht bei jedem Aufruf passiert und auch nicht bei einer bestimmten Seite.

Ich suche mir hier echt die Augen wund und komme zu keinem Ergebnis. Es verwundert mich echt wieso auf einmaleine Weiterleitung da ist und wo sie herkommt.

Kennt jemand das Problem oder kann mir helfen diese Weiterleitung wieder zu entfernen ? Ich bin echt am verzweifeln. Wo kann der Code für den Aufruf stehen ?

Ich habe mal einen Testaccount errichtet:

Name: check
Passwort: out

Die Adresse zum Forum ist:

http://chi.rivido.de/phpBB2/portal.php

Achja, es betrifft nur Browser die auf IE basieren.

Danke schon jetzt für jede Hilfe.

Durchsuch jedes Verzeichnis auf deinem FTP, noch besser, lade alles runter und durchsuche es mit Virenprogrammen etc.

Suche nach indexen, etc.
Das ist in den meisten fällen ein Wurm der auf deine Seite gekommen ist weil ihn jemand hochgeladen hat, wie upload script von phpbb2

Hallo,

danke erst mal für deine Antwort.

Es wurden von meinen Mitgliedern nur Bilder hochgeladen. Kann darin auch ein Wurm gesteckt haben ?

Und wenn ja wie kann er dann das Forum so beeinflussen das es jedesmal umgeleitet wird ?

ne also wenn du bei images nur bilder hast ist es unwahrscheinlich das da sich etwas versteckt hat, bei mir war es mal so, das jemand mit einem script ein paar daten, inkl index etc in den images Ordner hochgeladen hat.

Haste schonmal ein Backup wieder drübergespielt ?

Meistens verstecken sich zb php-viren in datein die so aussehen als gehörten sie zum Forum, wenn du nicht so viele Mods installiert hast ist es relativ leicht rauszufinden ob da dateien sind die dort nicht hingehören.

Hast du mal alle datein auf Viren untersucht? Alte Php-viren werden meistens schon durch anti-vir gefunden.

Ansonsten installiere mal den CTtracker! http://www.cback.de/cback_software/phpbb2mods.php

Es ist mir echt unverständlich wie dieser Trojaner dann auch auf meine Website gelangen kann. Diese liegt zwar auf dem selben Webspace ist aber vollkommen unabhängig davon.

Der Ordner hat keine Schreibrechte und die Seiten sind alle vollkommen in Ordnung. In keinem Quelltext befindet sich ein verdächtiger Code. Der würde mir da besonders schnell auffallen weil ich reines HTML verwende.

Ich habe mir sämtliche Dateien, Homepage sowie Forum, vom Webspace geladen und keine hat beim Scan mit meinem Virenscanner etwas gemeldet. Nirgendwo sehe ich eine Veränderung und trotzdem kommt, nicht immer !, der Aufruf dieser Malwareseite.

Ich bin absolut überfragt. Hat sonst keiner eine Idee wo ich da noch schauen könnte....vorallem weil mein Provider mich ganz schön im Regen stehen lässt.

Hallo

Habe deine Seite aufgerufen.

Mit IE Operea und Firefox keine Probleme, keine Umleitung.

ich vermute mal du hast einen Wurm auf deinem lokalen Rechner.

hast du die Möglichkeit einen anderen PC zu nutzen btw. haben auch andere Besucher der Seite das Problem?

au revoir

Gérard

Ja...bei meimen Mitglieder deutschlandweit und sogar aus Ö.

Der Aufruf der Weiterleitung erfolgt nicht regelmässig und über die unterschiedlichsten Seiten. Ich kann ihn also nicht reproduizieren und auch entsprechend keine Datei ausmachen welche den Schadcode enthalten könnte.

Moin,

PhaD hat geschrieben:ne also wenn du bei images nur bilder hast ist es unwahrscheinlich das da sich etwas versteckt hat

es geht auch mit images entweder man schleusst nen jpeg mit schadstellen ein oder wenn der hoster schlechte konfigs hat gehts auch mit nem php-script welches man die endung eines images verpasst und aufruft

Das hiesse das ein Mitglied einen Schadcode ins Forum gebracht hätte...und das kann ich echt nicht glauben.

Ich denke das es sich um was anderes handeln muß. Denn erstens würde bei eingeschleustem Code die Weiterleitung immer wieder von der selben Seite her erfolgen und entsprechend reproduzierbar sein. Zweitens würde ich dann ja irgendwo im Quellcode was finden können, was ja auch nicht der Fall ist.

Ausserdem bteräfe es ja nicht meine, vom Forum unabhängige, Homepage, welche zwar auf dem selben Webspace aber vollkomen unabhängig vom Forum ist. Die besteht aus reinem HTML und ein Schadcode würde dort noch schneller auffallen.

Kennt jemand irgendwelche Backdoors ? Sind irgendwelche Lücken in MOD`s bekannt ? Wenn ja wäre ich sehr verbunden wenn man mir Links und Hinweise dazu geben könnte. Danke schonmal.

liste doch mal alle mods auf, und schau mal ob es für diese schon updates vom Modersteller gibt