[Mak]

Ich vermute mal, dass der Hacker irgendwo ein meta refresh eingebaut hat, da hilft Überschreiben der Dateien nichts. Schau dir mal das Template header an, im Normalfall wird die Änderung dort vorgenommen. Wenn da ein meta refresh ist, lösch den, wenn du nicht weißt, was das ist, dann poste einfach mal das Template.

[primu.s]

Ok, sorry, habs gefunden. Aber meiner Anschit nach scheint da alles ok zu sein:

Code:

<script language="Javascript" type="text/javascript">
         var cookieDomain = "$settings[cookiedomain]";
         var cookiePath = "$settings[cookiepath]";
         var quickdelete_confirm = "$lang->quickdelete_confirm";
         var newpm_prompt = "$lang->newpm_prompt";
         var deleteevent_confirm = "$lang->deleteevent_confirm";
         var removeattach_confirm = "$lang->removeattach_confirm";
    </script>
    <a name="top"></a>
    <div id="container">
        <div id="header">
            <div class="logo"><a href="$settings[bburl]/index.php"><img src="$theme[logo]" alt="$settings[bbname]" border="0" /></a></div>
            <div class="menu">
                <ul>
                    <li><a href="$settings[bburl]/search.php"><img src="$theme[imgdir]/toplinks/search.gif" border="0" alt="$lang->toplinks_search" />$lang->toplinks_search</a></li>
                    <li><a href="$settings[bburl]/memberlist.php"><img src="$theme[imgdir]/toplinks/memberlist.gif" border="0" alt="$lang->toplinks_memberlist" />$lang->toplinks_memberlist</a></li>
                    <li><a href="$settings[bburl]/calendar.php"><img src="$theme[imgdir]/toplinks/calendar.gif" border="0" alt="$lang->toplinks_calendar" />$lang->toplinks_calendar</a></li>
                    <li><a href="$settings[bburl]/misc.php?action=help"><img src="$theme[imgdir]/toplinks/help.gif" border="0" alt="$lang->toplinks_help" />$lang->toplinks_help</a></li>
                </ul>
            </div>
            <hr class="hidden" />
            <div id="panel">
                $welcomeblock
            </div>
        </div>
        <hr class="hidden" />
        <br class="clear" />
        <div id="content">
            $bannedwarning
            $bbclosedwarning
            $unreadreports
            <navigation>
            <br class="clear" />

[Crasher]

Guck mal deinen Code an und vergleiche ihn mit meinem Header Template

Code:

    <a name="top" id="top"></a>
    <div id="container">
        <div id="header">
            <div class="logo"><a href="{$mybb->settings['bburl']}/index.php"><img src="{$theme['logo']}" alt="{$mybb->settings['bbname']}" /></a></div>
            <div class="menu">
                <ul>
                    <li><a href="{$mybb->settings['bburl']}/search.php"><img src="{$theme['imgdir']}/toplinks/search.gif" alt="" />{$lang->toplinks_search}</a></li>
                    <li><a href="{$mybb->settings['bburl']}/memberlist.php"><img src="{$theme['imgdir']}/toplinks/memberlist.gif" alt="" />{$lang->toplinks_memberlist}</a></li>
                    <li><a href="{$mybb->settings['bburl']}/calendar.php"><img src="{$theme['imgdir']}/toplinks/calendar.gif" alt="" />{$lang->toplinks_calendar}</a></li>
<li><a href="$settings[bburl]/downloads/index.php"><img src="$settings[bburl]/images/toplinks/downloads.png" border="0" alt="Downloads">Download - Bereich</a></li>
        <li><a href="$settings[bburl]/chat.php"><img src="$settings[bburl]/images/toplinks/chat.gif" border="0" alt="Chat">Chat</a></li>
                    <li><a href="{$mybb->settings['bburl']}/misc.php?action=help"><img src="{$theme['imgdir']}/toplinks/help.gif" alt="" />{$lang->toplinks_help}</a></li>
                </ul>
            </div>
            <hr class="hidden" />
            <div id="panel">
                {$welcomeblock}
            </div>
        </div>
        <hr class="hidden" />
        <br class="clear" />
        <div id="content">
            {$bannedwarning}
            {$bbclosedwarning}
            {$unreadreports}
            <br class="clear" />

( Bis auf die zusätzlichen Buttons)

Da müsste dir ein Starker Unterschied auffallen (im oberen Bereich)

MfG

[Mak]

Ach, mein Fehler, ich meinte das Template headerinclude, sorry.

Edit: @Gamer: Nein, das ist in Ordnung, es geht auch um das falsche Template

[Crasher]

Edit: @Gamer: Nein, das ist in Ordnung, es geht auch um das falsche Template

Ok dacht auch schon


MFG

[primu.s]

Ok, das Script im Template header ist rausgeflogen, richtig?

Im headerinclude steht bei mir nur:

Code:

<meta http-equiv="Content-Type" content="text/html; charset=$charset" />
<script type="text/javascript" src="jscripts/general.js"></script>
<link rel="stylesheet" type="text/css" href="css.php?theme=$theme[tid]" />
$newpmmsg

Ist da ebenfalls was nicht i.O.? Sorry für meine dummen Fragen, aber ich bin da nicht so bewandert...

Und:
Heisst das jetzt, dass ich alle templates durchsuchen muss?!?

Ach ja, und wie finde bzw. ändere ich diese "Variablen" in denen der Hacker offensichtlich seine Links abgelegt hat:
var cookieDomain = "$settings[cookiedomain]";
var cookiePath = "$settings[cookiepath]";
usw.

[krafdi]

Ich würde an deiner Stelle jetzt das Upgrad durchführen, dabei werden die Templates neu installiert und du kannst dir sicher sein das nichts meh vom Hacker da ist!

[primu.s]

Das gibts doch gar nicht! Ich habe jetzt das Upgrade gemacht und der verdammte Hacker ist mmer noch da.
Wie kann das sein?

Ich habe:

• das alte Forum KOMPLETT gelöscht
  
• alle Dateien der Version 1.21 NEU aufgespielt
  
• anschließend lediglich die Dateien config.php und settings.php wieder ersetzt
  

und diese verfluchte Hacker-Weiterleitung ist immer noch da!

Das heisst doch eigentlich, dass der sich irgendwo in meiner SQL-db eingenistet hat, oder?
Ich verstehs nicht.

Weiß jemand, wo ich anfangen kann zu suchen? Ich werd noch bekloppt!

Und: wie bekomm ich meine templates-Einstellungen wieder auf das upgedatete Forum, einfach templates.php ersetzen?

Danke für die Hilfe!

[Crasher]

Guck mal ob in der config.php in Linie 53 noch eine User-Id steht. Wenn ja lösche diese raus. (Deine ist die 1). Danach guck in der Datenbank erstmal bei präfix_users ob da noch eine Spur vom Hacker ist oder ein Benutzer.

[primu.s]

ICH HAB IHN!
Puh, endlich, lange hätte ich nicht mehr durchgehalten.
Und so einfach, es liegt auf der Hand:

Der Halunke hat tatsächlich in meine SQL-Datenbank Code eingeschleust.
Zunächst hat er einen Foren-Namen umbenannt und dann in die Foren-Beschreibung (also in der Tabelle mybb_forums im Feld description) seinen kilometerlangen Code eingegeben.

Jetzt ist es raus und das Forum läuft wieder. Halleluja, und upgedated is es auch. Ich hoffe nur, dass mir sowas nie wieder passsiert und werde in Zukunft fleißig updaten.

Vielen Dank für Eure Hilfe!

EDIT: Der Kollege stand außerdem noch im datacache, wodurch die HACKER-Seite beim Aufruf der Foren-Verwaltung im Admin-CP aufgerufen wurde.