phpBB.de

Guten Morgen allerseits,

ich bin zZt am verzweifeln. Mein Forum wurde gehackt und zwar befindet sich in sehr vielen Dateien Einträge wie dieser hier:
Ich habe gestern Abend, mehr als 70 solcher Einträge entfernt und alle Passwörter geändert und heute morgen sind schon wieder über 80 Dateien infiziert. Diese Scripte lösen bei den Usern Virenmeldungen aus.

Ich weiß nicht, wie der Hacker Zugriff auf die Dateien erlangen kann, da die Passwörter ziemlich kompliziert, aus Buchstaben und Ziffern, mit Groß- und Kleinschreibung bestehen und eigentlich sicher sind.

Kann mir jemand helfen, wie man herausfinden kann, wie so ein Mist passieren kann?

Gruß
womo

Könnte sein, dass eine Backdoor auf deinem System existiert bzw ein Trojaner.
(ich nehme jetzt mal an, dass du einen eigenen Server hast)

Das effektivste wäre in dem Fall, den Server komplett neu aufzusetzen. Ebenso das Forum neu zu installieren und die Datenbank nur zu übernehmen.

Btw, du hast die Passwörter geändert? Welche denn genau?
Hast du FTP-Zugänge? Hast du deren Passwörter geändert? Ebenso wie alle anderen Passwörter des Servers (ich meine nicht des Forums)?

Falls demjenigen nämlich deine FTP-Zugangsdaten bekannt sind, könnte das gut erklären wieso sie wieder da sind

Hallo,

auch mal hier schauen: KB:gehackt

Pflücker hat geschrieben:Könnte sein, dass eine Backdoor auf deinem System existiert bzw ein Trojaner.
(ich nehme jetzt mal an, dass du einen eigenen Server hast)

Das effektivste wäre in dem Fall, den Server komplett neu aufzusetzen. Ebenso das Forum neu zu installieren und die Datenbank nur zu übernehmen.

Btw, du hast die Passwörter geändert? Welche denn genau?
Hast du FTP-Zugänge? Hast du deren Passwörter geändert? Ebenso wie alle anderen Passwörter des Servers (ich meine nicht des Forums)?

Falls demjenigen nämlich deine FTP-Zugangsdaten bekannt sind, könnte das gut erklären wieso sie wieder da sind

Hallo Pflücker,

ich vermute auch einen "Befall" meines PC. Im Augenblick laufen sämtliche Virenscanner heiß auf meinem Rechner. Geändert habe ich die FTP-Passwörter, obwohl die eigentlich niemandem bekannt sein können. Der Server ist bei einem Webhoster angemietet.


Hallo Metze,

danke, das kenne ich bereits und habe das auch schon ausgeführt.

Gruß
womo

Ich habe gestern Abend, mehr als 70 solcher Einträge entfernt und alle Passwörter geändert und heute morgen sind schon wieder über 80 Dateien infiziert.

Nur damit ich das nicht falsch verstehe - Dieser Code steht in deinen Dateien oder der Datenbank/Forenbeiträge ?

Pflücker hat geschrieben:

Ich habe gestern Abend, mehr als 70 solcher Einträge entfernt und alle Passwörter geändert und heute morgen sind schon wieder über 80 Dateien infiziert.

Nur damit ich das nicht falsch verstehe - Dieser Code steht in deinen Dateien oder der Datenbank/Forenbeiträge ?

In den Dateien auf dem FTP. Das Script war in allen Index-Dateien und in den Dateien mit der Endung ".js" eingetragen.

Und du hast Root-zugriff auf den Server mit SSH-Zugriff etcetc oder ist das ein Webspeicherplatz wo du wirklich nur zugriff auf eine Datenbank und dem FTP-Bereich hast ?

Pflücker hat geschrieben:Und du hast Root-zugriff auf den Server mit SSH-Zugriff etcetc oder ist das ein Webspeicherplatz wo du wirklich nur zugriff auf eine Datenbank und dem FTP-Bereich hast ?

Der Serverplatz ist bei ALL-INKL.com und ich denke, dass dort alles das, was Du genannt hast, besteht. (Ich bin leider nicht so der Profi )

Okay, dann hast du eines der Angebote vom Bereich Webhosting oder? Weil die Server erscheinen mir für ein Forum sehr überteuert (nagut werden keine VServer sein)

Also, ich würde an deiner Stelle wie Metze schon schrieb die Anleitung befolgen und das Forum neu aufsetzen.
Ist das gemacht änderst du _alle_ Passwörter deines Webpakets, also Zugangspasswort, Mailpasswörter, MySQL Passwörter, FTP Passwörter und wo du noch überall Passwörter hast. Das ganze würde ich zusätzlich(wenn das eines dieser Angebote ist wo du alles über ein Web-Frontend machst) von einer Live-CD aus machen (beispielsweise Knoppix), dann kannst du schonmal sichergehen, dass die Sicherheitslücke nicht von deinem "normalen" Betriebssystem ausgeht. Achte darauf, dass das ganze über https stattfindet (beim Webfrontend) und keine Meldung alà "Zertifikat ist ungültig etc" erscheint.

ist das geschehen benutzt du erstmal den FTP-Login und sonstige Login-Möglichkeiten nicht, sondern beobachtest deine Seite, damit schließt du einen Sniffer an deinem PC bzw Trojaner erstmal aus.

Solltest du jetzt im Quelltext der Seite (Unter Ansicht bei Firefox) wieder diese Code-Änderungen finden solltest du deinen Webhoster anschreiben und ihm das alles schildern, denn es besteht immer noch die Möglichkeit, dass bei deren System etwas nicht ganz "dicht" ist.

Wie gesagt, das sind jetzt so meine Gedanken dazu

Hallo pflücker,

vielen Dank erst mal. Ich denke, ich habe mir da etwas "unliebsames" auf den heimischen PC geholt, denn jedesmal, wenn ich vom PC aus, per FTP, auf die Daten zugreife, habe ich sofort wieder einige Dateien verseucht. Gehe ich aber mit dem Läppi rein, passiert das nicht.