Habe folgendes Problem:
Ich kann seite heute nicht mehr auf meinen WoltLab-Forum, und meinen Wordpress-Blog nicht mehr zugreifen, aber ich bin mir sicher das ich gar nichts verändert habe.
Die Fehlermeldungen und Links:
WoltLab-Forum: http://onlydcs.bplaced.net/WoltLab/WCFSetup/install/files/dateien/
Wordpress-Blog: http://onlydc.bplaced.net/wordpress/
Aber wenn ich auf andere WoltLab-Forenseiten gehe, funktioniert alles. Liegt das an dem Server? Oder woran kann das noch liegen?
hi,
das sieht höchst merkwürdig aus - ich würde einen Hackerangriff nicht ausschließen. Kannst du dich noch ins UCP und auf den FTP-Server einloggen? Wie sieht der Inhalt der besagten Dateien bis zu den besagten Zeilen aus?
lg
Ja, also ich hatte auch einen Trojaner auf meinen PC, aber ich kann mich noch auf bplaced und ins FTP einloggen. Ich habe auch einen Hacker verdächtigt, aber dann hab ich es noch mit einer anderen Seite vergleichen, die noch funktioniert, aber das WoltLab-Forum funktioniert dort auch nicht, daher dachte ich vllt. liegt es an der Software oder hier am Server.
Zu den betroffenen Dateien:
Inhalt der index.php von Wordpress:
<?php /** * Front to the WordPress application. This file doesn't do anything, but loads * wp-blog-header.php which does and tells WordPress to load the theme. * * @package WordPress */ /** * Tells WordPress to load the WordPress theme and output it. * * @var bool */ define('WP_USE_THEMES', true); /** Loads the WordPress Environment and Template */ require('./wp-blog-header.php'); ?> [b]Inhalt der index.php von WoltLab:[/b] <?php /** * @author Marcel Werk * @copyright 2001-2007 WoltLab GmbH * @license WoltLab Burning Board License */ require_once('./global.php'); RequestHandler::handle(ArrayUtil::appendSuffix($packageDirs, 'lib/')); ?> [b]Und steht da irgendetwas ungewöhnliches, so gut kenn ich mich leider nicht mit PHP aus?[/b]Da war eindeutig der Trojaner am Werk - der gesamte HTML-Dateiinhalt ist durch ein iframe ersetzt werden, das ein Trojanerskript laden soll. Das hat anscheinend nicht ganz geklappt - der PHP-Code hätte noch entfernt werden müssen.
Schau mal nach, ob die Datenbanken noch vollständig sind - das vermute ich mal. In diesem Fall müsstest du lediglich die Software an sich neu hochladen und konfigurieren.
Also die Datenbanken sind noch vorhanden und vollständig.
Also wie muss ich das neu draufspielen, und gehen dabei meine Daten verloren? (also beim Blog und beim Forum)
hi,
zu dem virus hier noch infos viewtopic.php?p=320951#p320951
Wenn du die Software neu hochladst beachte einfach bei der insterlation KEINE neuen tabellen bzw. alte zu löschen … sollte auch ne update funktion geben die lässt die datenbank “in ruhe”.
ansonsten datenbank backup machen (=> mysqldumper)
lg flo
bevor du irgendetwas machst, solltest du jedenfalls deinen PC säubern.
Ich weiß ja nicht wie du herausgefunden hast nen Trojaner zu besitzen, jedoch solltest du zur Sicherheit folgendes machen:
[ol][li]Malwarebyte’s Antimalware laufen lassen[/li]
[li]Spybot Search&Destroy laufen lassen[/li]
[li]Antivieren Programm laufen lassen [size=85](möglichst offline wie bei ner Defragmentierung, also ohne das Windoof gebootet ist, kann eigl. jede Software 
)[/size][/li]
[li]falls möglich und um nen extra an Sicherheit zu haben, ein anderes Antivieren Programm laufen lassen, gibt auch welche die übern Browser ausgeführt werden können, also Online Virenscanner.[/li][/ol]
Dann eben nen Backup deiner Datenbank und eventuell nicht Standard Dateien ziehen, Passwörter ändern, Sachen löschen und neu hochladen.
Nen Backup sollte man eh immer haben, und wird je nachdem wie du die Sachen neu hochlädst auch benötigt, wenn mans richtig macht eigl. nicht aber wie gesagt man sollte eh immer eines haben
PS: könntest theoretisch auch vor/nach dem säubern nen Hijackthis auswerten^^
Entweder eben selber u.a. mit Hilfe einer Webseite [size=85](gibt welche zum “automatischen” auswerten… ggf. user Bewertungen ignorieren)[/size] oder eben via Trojaner-Board.de etc.
Erst einmal, vielen Dank an alle, die mir hier geholfen haben.
Ich hab mich bei meinen Partnern umgeschaut, und habe entdeckt das viele weitere noch dieses Problem haben und dort stand auch die Lösung.
Für alle die noch nach der Lösung suchen: In den betroffenen index-Dateien, einfach den I-Frame Code mit der Domain visions7[dot]net rauslöschen, oder eventuell die ganze Zeile rauslöschen.
Hinweis: Sicherheitshalber solltet ihr davor eine Sicherung der Datei machen.
