Ich habe mein anderes account nach einige zeit besucht um dort am Portal weiter zu arbeiten… Jetzt trifft mich der hammen, ich bekomme eine anforderung zum download irgendeinen wm11codecs.exe von mslab.info.
In der index.php des roots habe ich ich bereits die zeillen auskommentiert:
aber das bringt alles nix, er will weiter downloaden und ich finde auf die schnelle auch nichts… wisst ihr darueber bescheid? Oder bin ich der einzigster der infizierte dateien hat?
Ist ewtl. noch irendwo ein backup der nicht so alt ist? ich hab leider noch keins gemacht weill ich noch nicht fertig bin und das Portal ist total erweitert und ne menge arbeit drin…
Was und wie sowas passieren kann ist mir ein raetzel… nur ich alleine besize die zugangsdaten… warscheinlich durch irgendwelche scripte aber sowas darf nicht passieren.
[quote=“freixi”]Sorry, ja habe ich geaendert…
Kann mir da jemenden helfen?
[/quote]
Es gab beim ilchClan-Skript nur einen “Remote SQL Injection Exploit” aus dem Jahr 2006. Mit dem man das Admin-Passwort kapern konnte.
(siehe: milw0rm.com/exploits/1516)
Betraf Versionen unter 1.05g. Ich denke, deine Version ist aktueller.
Wenn nicht, dann sollte ein Update helfen.
In jedem Fall aber solltest Du das Admin-Passwort ändern und Gästen den schreibenden Zugriff verwehren.
ja meine version ist die aktuelste mit patch… der Adminzugang alleine reicht nicht aus denn das schreiben der dateien kann mann nur per ftp machen… werde nacher mal Ilch informieren und sehen was dabei rauskommt… hoffe ich bekomme das alles im griff und finde raus wo noch dieser code drin ist… wie es ausschaut ist das nur im root wo Ilch installiert ist und nicht in den unterverzeichnisse…
Hallo … sorry, bin gerade erst nach hause gekommen…
Ich habe kein Video auf meine seite, ich habe niemals ein eingebunden… und ja ich oeffne es mit dem Firefox (letzte version mit update) darunter auch danach mit dem IE und die aufforderung zum Download besteht genauso wie beim firefox…
€dit:
ok… shit… mein AddblockPlus… hatte es geblockt^^
Jetzt wo ichs mal kurz aus hatte… sagte mir mein Virus Programm:
"WARNUNG!!! Es befindet sich ein Virus auf Ihrem Computer"
Die Betonung liegt auf sagte Aber das ist ne andere Geschichte…
Ich werde mal nach sehen was genau das verursacht…
P.S. geht bitte nicht auf diese Seite… ich weiß nicht was der gemeldete Trojaner verursachen kann, ich werde mich schon darum kümmern
€dit²:
[code]
[/code]
Da ist es... es ist noch vor dem Doctype.. schau mal ob du es findest.. ansonsten schick mir mal die index.php wenn du möchtest
Danke fuer den support…
ich hab mal den content runtergeladen und mich auf der suche gemacht…
Gesucht habe ich nach mslab in den text und wurde bei 5 dateien fundig
unter folgende:
news.php
forum.php
en.php
news.html
index.php
news.php im admin verzeichniss…
Ich habe den comischen code erstmal auskomentiert und die ueberschrieben… scheint zu laufen jetzt aber es ist warscheinlich noch nicht sicher den der jemiger kann es bestimmt wieder machen und ich weiss nicht wie ich mich schuetzen kann dagegen…
schoen das jemanden da ist der hilft, alleine wuerde ich noch durchdrehen…
Danke vorab.
PS: Im quellcode ist die zeille noch drin aber auskommentiert damit mann weisst was und wo was ist…
scheint wieder alles sauber zu sein^^
Allerdings kann ich dir nicht genau sagen wie jemand den code da rein gestopft hat^^
War deine ilch version schon auf dem neusten stand als du den schad code bemerkt hattest?
wenn ja… änder am besten mal die MySQL, FTP, bplaced, ilch Passwörter^^
Ist auf jedem fall sicher als das nicht zu tun^^
Vielen dank nochmal fuer die schnelle hilfe…
Ilch ist eigentlich auf den neuesten stand mit patch, denoch wie es ausschaut ist irgendwo noch ein loch oder jemanden kommt anders rein… Das Passwort fuer den Adminbereich habe ich bereits geandert und hoffe das erstmal nix kommt… Diesbezueglich werde an Ilch noch ne info schicken wegen ueberpruefung des scripts ob es am script liegt oder woran es liegen kann.
Danke Dir fuer die schnelle hilfe, und sollte jemanden infos bekommen wie sowas passieren kann oder wie die das machen wuerde ich mich ueber eine kleine info freuen freuen
Ich wollte jetzt erstmal ausspannen und etwas Angeln gehen…lol…
Heute abend schau ich mir alles nochmals genau an und werde berichten soweit ich infos bekomme, kann ja sein das der einer oder andere das auch interessiert und ewtl. vorbeugen will…
Ich hab mir aus den anderen verzeichnisse die dateien angesehen und es sind doch andere betroffen die nicht mit ilch zutun haben…
Daher denke ich mal des es ein Hackangriff ist oder dergleichen… werde mal nach ein guten script suchen um sowas zu blockieren… Ich hab eins gefunden aber die installation ist recht schwehr und brauche hilfe dabei… ist jemanden daran interessiert ewtl. fuer sich selbst? Gemeinsamm sind wir stark heisst das …lol… Waere gut wenn sich einpaar leute finden wuerde der mithilft den script einzubinden…
“
Aber das ist ne andere Geschichte…
