phpBB.de

Hallo,

kaum habe ich phpbb 3.02 auf [WebSite entfernt - Dr.Death] (nicht anklicken, scheinbar derzeit verseucht)

aufgesetzt, erhalte ich mehrere mails mit in etwa gleichlautendem Inhalt:


bin zu Tode erschrocken. Als ich den Link, den Du wegen KOS Community in deiner Mail empfohlen hast angeklickt habe ging bei meinem Virenscanner die Sirene an.
Ich musste laut Scannerangaben sofort die Verbindung trennen. Es handelt sich um einen gefährlichen Bootsektorvirus.
Mein Zusatzfilterprogramm eines anderen Herstellers das zu meinem Virenscanner parallel läuft schlug in dem Moment auch Alarm und fragte mich, ob ich es zulassen will, dass bei mir am PC in der Registry eine Veränderung vorgenommen werden soll. Ich blockte ab und sagte sofort nein.

Hoffe dass Du den Virus nicht schon drauf hast. Leider sind die Virenschutzprogramme alle unterschiedlich.
Manch ein Scanner kennt den entsprechenden Virus nicht, was natuerlich auch an der V-Scanner Aktualisierung liegen kann.

Macht auf jeden Fall Sinn den Link nicht mehr anzuklicken und scanne bei Dir auch deinen PC.

Ich werde heute Nacht einen detailierten Scan laufen lassen. Der dauert ca. 5 Stunden.
===========================

Hat dazu jemand eine sinnvolle Idee?

Ich habe NORTON 360 laufen und Spydoctor, beide melden nichts.

Ist es nur eine Hypersensitivität von AVAST bzgl. Cookies?

Iannis hat geschrieben: Ist es nur eine Hypersensitivität von AVAST bzgl. Cookies?

Hallo,

ich würde sagen, ja, so vom Eindruck her.

Auf so vielen Foren, die mit phpBB 3.0.2 laufen bin ich schon rumgesurft und angemeldet und hab Cookies und was weiß ich nicht alles und eigentlich sollte nach Meinung des Users, der dir die Mail geschickt hat, mein System dann irgendwie tot sein, hab ich so das Gefühl

Also ich glaube mit Sicherheit nicht an das "virenverseuchte" phpBB3.0.2.

Metzle hat geschrieben:Also ich glaube mit Sicherheit nicht an das "virenverseuchte" phpBB3.0.2.

Es gibt immer wieder Ausnahmen.
Damals wars zwar ein phpBB2, aber warum sollte es nicht auch auf phpBB3 funktionieren:
http://www.phpbb.de/viewtopic.php?t=147238

- gelöscht - (sorry, ich hatte mich geirrt)

Hallo,

so ganz harmlos scheint die Sache ja nicht zu sein, da die Seite von Google geblockt wird und vor dem Besuch gewarnt wird.

Gruß
Hermann Joseph

nickvergessen hat geschrieben:

Metzle hat geschrieben:Also ich glaube mit Sicherheit nicht an das "virenverseuchte" phpBB3.0.2.

Es gibt immer wieder Ausnahmen.
Damals wars zwar ein phpBB2, aber warum sollte es nicht auch auf phpBB3 funktionieren:
http://www.phpbb.de/viewtopic.php?t=147238

Hi,

du hast mich falsch verstanden...liegts an mir zur Zeit?
Ich meinte, dass grundsätzlich ein frisches phpBB3 Paket nicht inklusive Virus von hier oder phpbb.com runtergeladen wird, natürlich unter der Grundvoraussetzung dass hier und .com nicht gehackt wurde und dass das phpBB3 nicht grundsätzlich mal virenverseucht daherkommt.
Dass sich ein Virus einschmuggeln kann, klar, das mag sein und wie auch die Vergangenheit zeigte mag das nicht nur sein

HJW hat geschrieben:Hallo,

so ganz harmlos scheint die Sache ja nicht zu sein, da die Seite von Google geblockt wird und vor dem Besuch gewarnt wird.

Gruß
Hermann Joseph

Stimmt wohl.
Mein AVP von Kaspersky meldet auch einen Trojaner-Downloader beim Besuch der Seite.

Ein kompletter Rechner-Scan mit einer anderen Software wäre bei Dir bestimmt nicht verkehrt.

Ein löschen des links wäre vielleicht angebracht von einem Moderator hier, wenn da ein Trojaner drin hängt!

Extra mal fett, damit es gelesen wird.
Ich klick lieber nicht!

Hallo und Danke erstmal,

zum Glück kenne ich jemanden, der die bösen Tricks kennt, und der hat mich aufmerksam gemacht, daß anscheinend bei Aufruf der Seite der Apache einen code anhängt.

Zitat:
The hacker has manipulated the httpd.conf and actived the module mod_layout.
On every request to your website the browser will load some malicious
javascript code now. This code will download an trojan from a russian
website to your visitors.
===========

Er meint, das sei ziemlich sicher der Grund, und nun hab ich erstmal den Provider informiert, damit der das checken kann muß ich (leider) erstmal alles lassen, wie es ist.

Er meint, der Trojaner sitzt auf dem Server, denn meine lokalen Seiten sind alle sauber, keinen scriptcode gefunden
N 360 und Spyware Doctor haben beim großen Scan auch nichts gefunden

Der im anderen Beitrag (Danke) genannte Trojaner wird allerdings in keiner knowledge base geführt, das half also leider nicht weiter.

Ob es das ist, kann ich momentan (noch) nicht sagen, ich kann (auch schon aus mangelndem Know How) aber nicht 3 x den lokalen Rechner komplett löschen und neu aufsetzen, zumal ich ja nicht weiß, was wohl infiziert ist, und es dann ja aus dem Backup wieder infiziere *fluch*

Ich warte erstmal ab, was der Provider (Griechenland) sagt.

Den Link im 1.post habe ich editiert und deaktiviert um ungewollte Besuche zu verhindern

Ne Frage noch: könnte es sein, daß ein hacker eine Sicherheitslücke bei phpbb ausnutzt, kennt jemand eine?
Ich meine mich zu erinnern, eine "Bot"-Liste hesehen zu haben, da habe ich diverse gelöscht, soweit ich es verstanden hab, gibt man damit den Zugriff der definierten Bots frei, alle anderen müssen draußen bleiben?


Und: beim download/Entpacken gab es eine htaccess Datei, die aber nicht beim upload übertragen wurde - könnte das damit zu tun haben? Und warum wurde die nicht hochgeladen?


Mlde mich, wenn ich was weiß und bedanke mich, falls jemand was beizusteuern hat!

Du solltest den Link auch aus Deiner Signatur entfernen.