03.06.2013, 16:57
03.06.2013, 17:05
Ja, werde gleich meinen Hoster kontaktieren.
Habe alle Dateien vom Server via FileZilla runtergeladen und mit Avast! kontrolliert, das Programm hat allerdings nichts gefunden.
Jedoch schlägt es in meinem Portal weiterhin an, betroffen scheinen alle index.php zu sein. Wenn ich also jetzt die kontrollierten Dateien, also alle, wieder so auf den Server lade, scheint zwar erst mal alles wieder in Ordnung zu sein, das Hauptproblem ist dadurch aber nicht gelöst.
Wie gehe ich am besten vor?
An dem Add-on von ant.com und den plugin lag es offenbar nicht, denn die habe ich ja vorher schon deaktiviert bzw. gelöscht.
Habe alle Dateien vom Server via FileZilla runtergeladen und mit Avast! kontrolliert, das Programm hat allerdings nichts gefunden.
Jedoch schlägt es in meinem Portal weiterhin an, betroffen scheinen alle index.php zu sein. Wenn ich also jetzt die kontrollierten Dateien, also alle, wieder so auf den Server lade, scheint zwar erst mal alles wieder in Ordnung zu sein, das Hauptproblem ist dadurch aber nicht gelöst.
Wie gehe ich am besten vor?
An dem Add-on von ant.com und den plugin lag es offenbar nicht, denn die habe ich ja vorher schon deaktiviert bzw. gelöscht.
03.06.2013, 17:27
Auch, wenn der Virenscanner nichts findet, heißt das nicht, dass alle Dateien sauber sind. Da reicht es schon, wenn der Code leicht angepasst ist, sodass das Erkennungsmuster nicht mehr passt. Bei Text-Dateien ist das trivial... Das sieht man ja schon an der schlechten Erkennungsrate bei Virustotal weiter oben, obwohl der Schadcode wirklich vorhanden war.
Ich würde empfehlen alle Dateien zu prüfen und ggf. durch die originalen MyBB-Dateien zu ersetzen. Und bitte nichts überstürzen. Wenn das Leck nicht gefunden ist, kann es bald wieder passieren.
Ich würde empfehlen alle Dateien zu prüfen und ggf. durch die originalen MyBB-Dateien zu ersetzen. Und bitte nichts überstürzen. Wenn das Leck nicht gefunden ist, kann es bald wieder passieren.
03.06.2013, 18:05
(03.06.2013, 17:27)StefanT schrieb: [ -> ]Da reicht es schon, wenn der Code leicht angepasst ist, sodass das Erkennungsmuster nicht mehr passt. Bei Text-Dateien ist das trivial... Das sieht man ja schon an der schlechten Erkennungsrate bei Virustotal weiter oben, obwohl der Schadcode wirklich vorhanden war.
Das hat mir der Chat-Support-Mitarbeiter meines Hosters auch gerade gesagt.
Übrigens handelt es sich um 3 Javascript-Dateien, nämlich die general.js, die prototype.js, die popup_menu.js Und außerdem noch die admin/inc/class_page.php
(03.06.2013, 17:27)StefanT schrieb: [ -> ]Ich würde empfehlen alle Dateien zu prüfen und ggf. durch die originalen MyBB-Dateien zu ersetzen. Und bitte nichts überstürzen. Wenn das Leck nicht gefunden ist, kann es bald wieder passieren.
Der Mitarbeiter meines Hosters hat jetzt erst mal meinen Webspace gesperrt und führt einen Scan durch.
Außerdem hat er mir statt Avast! Das Antivirenprogramm Kapersky empfohlen.
Eine TU in Österreich hat auf den Server zugegriffen. Bekomme Log-Files und werde Strafanzeige erstatten. Mein Webspace ist mindestens bis morgen gesperrt.
Übrigens sind meine Zugangsdaten für FTP und für Admin-CP in mehreren Dateien gespeichert. der Mitarbeiter meines Hosters meint, das sei nicht gut. Woher kommt das eigentlich?
03.06.2013, 20:55
Die FTP-Daten speichert das MyBB nicht, sie werden ja - standardmäßig - nirgends abgefragt.
03.06.2013, 20:59
Vielleicht habe ich mich aus Unwissenheit falsch ausgedrückt. Ich meinte das hier, was der Mitarbeiter mir geschrieben hat:
Zitat:das Passwort befindet sich in verschiedenen Dateien in Ihrem Webspace gespeichert! Das ist nicht ideal:
...r:/var/www/xy/html# grep -r -li 'xy' *
backup_44650797b7grNzMAo5CQObOdnrudm9EfVR9vS6I7Gs8VM6bXO1BwgtuGLzqsV438.sql
inc/config.php
inc/settings.php
settings.php
....r:/var/www/xy/html#
04.06.2013, 06:22
In der config.php ja, aber in der settings.php nein. Ebenso nütz es einem das DB Backup nichts um an PW´s heranzukommen, das ist quasi unmöglich. Eher wird da ein zu schwaches PW auf dem FTP gewesen sein.
04.06.2013, 09:47
Das zu schwache FTP-Passwort war es auch, hat er schon im Bettreff geschrieben.
Mein Webspace ist nach wie vor gesperrt. Kripo hat mich vorhin angerufen.
Mein Webspace ist nach wie vor gesperrt. Kripo hat mich vorhin angerufen.
04.06.2013, 19:48
Der Support-Mitarbeiter meines Hosters hatte ja das Antivirenprogramm Kapersky und das von mir erwähnte Antivirenprogramm Avast! zusätzlich installiert und beide auf meinem Webspace durchlaufen lassen. Er sagt, es sind keine Viren, keine Trojaner und keine Maleware vorhanden!
Wobei das Programm Avast, nachdem ich es gestern installiert hatte, bei jedem meiner Besuche meines Portals angeschlagen hatte.
Der Kripobeamte hat mich eute 2 mal angerufen und vermutet stattdessen (das Log-File liegt ihm vor), dass der Hacker einen rootkit bzw. ein Administrationsshell, entweder C99 oder C100, eingebaut hat und deshalb hat immer wieder die genannten Dateien verändern können, und wodurch dann Viren angezeigt werden, aber nicht vorhanden sind.
Der Beamte meint auch, dass es in Fällen von Computersabotage schwierig ist, den tatsächlichen Hacker ausfindig zu machen. Nicht nur deshalb, weil in der TU z.B. ein frei zugänglicher Computer benutzt werden kann, sondern auch, weil es sein kann, dass die IP des Hackers umgeleitet wurde.
Außerdem arbeiten in solchen Fällen die europäischen Behörden immer noch nicht effektiv zusammen. Ginge es um Verbrechen gegen die Menschlichkeit, hätte ich als Geschäödigter wohl bessere Karten. Aber nicht bei Computersabotage.
Wobei das Programm Avast, nachdem ich es gestern installiert hatte, bei jedem meiner Besuche meines Portals angeschlagen hatte.
Der Kripobeamte hat mich eute 2 mal angerufen und vermutet stattdessen (das Log-File liegt ihm vor), dass der Hacker einen rootkit bzw. ein Administrationsshell, entweder C99 oder C100, eingebaut hat und deshalb hat immer wieder die genannten Dateien verändern können, und wodurch dann Viren angezeigt werden, aber nicht vorhanden sind.
Der Beamte meint auch, dass es in Fällen von Computersabotage schwierig ist, den tatsächlichen Hacker ausfindig zu machen. Nicht nur deshalb, weil in der TU z.B. ein frei zugänglicher Computer benutzt werden kann, sondern auch, weil es sein kann, dass die IP des Hackers umgeleitet wurde.
Außerdem arbeiten in solchen Fällen die europäischen Behörden immer noch nicht effektiv zusammen. Ginge es um Verbrechen gegen die Menschlichkeit, hätte ich als Geschäödigter wohl bessere Karten. Aber nicht bei Computersabotage.
05.06.2013, 15:01
Hallo,
nach den Vorfällen der letzten Tagen will ich den kompletten Webspace löschen, die Posts erhalten und das Forum komplett neu installieren.
Wie gehe ich vor?
nach den Vorfällen der letzten Tagen will ich den kompletten Webspace löschen, die Posts erhalten und das Forum komplett neu installieren.
Wie gehe ich vor?