ich sprech das Thema, was mich jetzt seit Tagen schon beschäftigt einfach mal direkt an.
Ich habe bei bplaced einen Webspace und mir dort ein Forum aufgebaut. Seit knapp drei Wochen ist es aber so, dass dieses immer mal gerne etliche Minuten braucht zum Laden. Meine User habe ich gefragt, sie haben das gleiche Problem. Und jetzt kommt meine eigentliche Sorge, denn gestern hat mir mein Virenprogramm, bei dem Betreten des Boards eine infizierte Index.php Datei angezeigt. Also bin ich auf die Index.php meines installierten Programmes gegangen und hab dort nach der Endung von ?> diesen Code hier vorgefunden:
Gleich darunter diesen komischen Zahlencode:
Ich will an der Stelle niemanden was unterstellen, aber direkt nach dieser Meldung, hab ich mir auch einen Trojaner auf dem PC eingefangen. Also hab ich mich mal umgehört und auch einen bplaced Nutzer gefunden, der genau mein Problem ebenfalls hatte. Als er mir sagte, dass nicht nur die Index.php der Startseite von diesem komischen Code befallen sein soll, sondern auch vom ACP die Index.php und die beiden MySQLadmin- und PgSQLadmin-Verzeichnise ebenfalls, konnte ich das bei mir auch vorfinden. Hinzu kommt, dass das Forum manchmal gar nicht geladen wird, dafür aber Werbung erscheint und ganz unten, wenn man runterscrollt steht: “bplaced - Interner Fehler 500”. Normalerweise steht sonst immer was mit Fehler 400, aber diesmal steht Interner Fehler dort. Und das ist bei einigen Leuten, die ich gefragt habe, auch der Fall.
Also meine Frage, ob hier ein Serverproblem vorliegt oder dieser Code was ganz normales ist, was mich aber trotzdem skeptisch bleiben lässt. Immerhin hat mein Virenprogramm darauf angeschlagen.
[quote=“spirit”]
Also meine Frage, ob hier ein Serverproblem vorliegt oder dieser Code was ganz normales ist, was mich aber trotzdem skeptisch bleiben lässt. Immerhin hat mein Virenprogramm darauf angeschlagen.[/quote]
Dieser Code ist mit Sicherheit Schädlich oder war es zumindest (die JS-Datei ist bei mir Leer)
Entweder hat jemand dein Forum “gehackt” (vielleicht hast du ne Veraltete Version) oder du hast dir einen Virus eingefangen der PHP und/oder HTML Dateien etwas verändert…
Also das mit dem langsamen Webspace kann ich nur bestätigen (momentan jedenfalls)
Ich baue gerade eine Seite auf, und wenn ich die administriere ist das schon sehr nerfig! translations-4u.tk/
Zum Trojaner:
Bitte nimm deine Seite sofort vom Netz, spiele ein sicheres Backup auf, und update deine Forensoftware - und ggf. auch Plugins!
Du wurdest gehackt, und das stellt ein Risiko für alle da - ausserdem kannst du von bplaced deaktiviert werden. Und das hat nix mit den Servern von bplaced zu tun.
Ich wette du hast deine Software nicht geupdatet, oder einen Trojaner auf deinem PC!
Also den Trojaner hat ich tätsachlich auf dem PC und hab ihn auch erfolgreich löschen können. Eine komplette Berenigung werd ich auch noch machen, aber mich trifft das hier grad wie der Schlag, wobei mir wohl nichts anderes übrig bleibt.
Die Meldung “Error 500 - Interner Fehler” ist allerdings ein ganz normaler HTTP-Statuscode und kann technisch gesehen keine Auskünfte darüber geben, ob deine Website von Schadcode befallen ist. Er kann nur in der Hinsicht skeptisch machen, dass etwas nicht richtig abläuft und diesen Fehler hervorruft, dies wiederum kann einen auf die Vermutung bringen, dass gewisse Modifikationen vorgenommen worden sind. Allerdings ist zu beachten, dass dies ein „Sammel-Statuscode“ ist, beliebige Fehlerserver können also damit zum Ausdrück gebracht werden, was eine obige Vermutung unwahrscheinlich macht.
Was mich etwas verwundert ist, dass dieser Code im vordefinierten MySQL-Ordner aufzufinden ist, das, und auch die Tatsache, dass Dateien in Verzeichnissen wie das phpBB-adminverzeichnis modifiziert worden sind, lässt mich vermuten, dass ein Programm nach Websoftware absucht und nach entsprechenden Vorgaben mit Schadcode verseucht. Dabei scheint dieses Programm nach Stichworten und bekannten Verzeichnissen zu suchen, etwa MySQL oder adm o.ä. Dass dieses Programm nicht auf den bplaced-Servern läuft ist aus zwei Gründen ersichtlich: a) die Server laufen hier mit Linux, derartige Programme sind für Linux selten; b) würde dieses Programm hier auf den Servern laufen (es sind 5 verschiedene), so müssten zumindest alle Sites der jeweils infizierten Server derartige Indikatoren enthalten. Es liegt nahe, dass die Betroffenen sich dieses Programm auf den Computer geladen haben und die Modifikation lokal vorgenommen wird, testweise kann der Space mal geleert werden, die Forensoftware von einer offiziellen Herstellersite geladen werden und von einem anderen PC, der garantiert nicht verseucht ist, auf den Server übertragen werden. Allerdings kann das Programm dann wieder aktiv werden, wenn der infizierte Computer eine FTP-Verbindung zum Server aufbaut und verseuchte Dateien überträgt.
Edit: Du brauchst übrigens beim Reinstallieren der Forensoftware nicht fürchten, dass Beiträge o.ä. verloren gehen, da diese ja in der MySQL-Datenbank gespeichert sind und diese erhalten werden kann. Sofern du selbst keine oder keine großartigen Modifikationen an der Forensoftware vorgenommen hast, kannst du diese Software einfach neu laden, die Konfigurationsdatei anpassen und dann hochladen. Weitere Schritte sind nicht notwendig, da die übrige Konfiguration von der Datenbank übernommen wird.
PS: da der HTTP 500 nur ab und an kommt [size=85](wie du sagtest)[/size] ist es demnach keine fehlerhafte .htaccess o.ä, ich vermute das bevor der HTTP 500 kam die Seite ewig geladen hat. Das bedeutet ein PHP Script hat zulange gebraucht und die Ausführung abgebrochen wurde. Da hier PHP als CGI läuft, wird direkt ein Kritischerfehler also ein HTTP 500 angezeigt da der Server nur weiß das Abgebrochen wurde, ansonsten würde ne PHP Meldung von wegen Timeout kommen [size=85](iwie so Ich hab kp wieso es CGI überhaupt gibt und man PHP nicht immer richtig nutzt und was genau der unterschied ist bzw. wieso PHP so keinen Fehler ausgeben kann)[/size]
Dass es eine .htaccess sein kann, die den Fehler hevorruft, ist nicht auszuschließen, schließlich muss eine in der .htaccess definierte Regel nicht bei jedem, sondern kann auch bei einem spezifisch definierten Seitenaufruf greifen.
Doch, ich hab sehr wohl ziemlich viele Modikationen vorgenommen und die Datenbank wird ja wohl kaum funktionieren, wenn die Mods von der Forensoftware, sprich eben die eingebauten Hacks, fehlen. Aber da kenn ich mich jetzt nicht so aus…
Das ist irrelevant für die übrigen Datensätze der Datenbank, die Tabellen sind dann halt da, werden aber nicht benutzt, dies hat ansonsten keine weiteren Auswirkungen
Und vergesse bitte nicht, die Lücke auszumerzen. Also mal einen Virenscan auf deinem PC machen, schauen, ob die Forensoftware aktuell war, ob Plugins, Hacks! Sicherheitslücken hatten etc.
Denn jetzt stehst du auf deren Liste, und wenn du nichts änderst, bist du in 1 Woche wieder dran.
[quote=“brauwn”]Die Meldung “Error 500 - Interner Fehler” ist allerdings ein ganz normaler HTTP-Statuscode und kann technisch gesehen keine Auskünfte darüber geben, ob deine Website von Schadcode befallen ist. […] Allerdings ist zu beachten, dass dies ein „Sammel-Statuscode“ ist, beliebige Fehlerserver können also damit zum Ausdrück gebracht werden, was eine obige Vermutung unwahrscheinlich macht.[/quote] Wenn eine HTTP-500-Seite seitens bplaced angezeigt wird, tritt der Fehler auf der Seite des Nutzers auf. Bei HTTP-500-Seiten des Apaches kann das anders aussehen.
[size=85](iwie so 
