Vollständige Version anzeigen : forum.jswelt.de infiziert?


Peedy
01.05.2013, 17:00

Hi,

könnt ihr das reproduzieren?

Google~de --> Suchbegriff "JavaScript Forum" .. ohne "" --> 1. Link zu forum;jswelt~de --> Beim ersten Aufruf erfolgt eine Weiterleitung auf eine ehemals? infizierte Seite... --> myfilestore~com/download;php?id=ddbb4c38

Sobald ich die Cookies lösche kann ich es wieder reproduzieren.


Könnt ihr das bestätigen? Welche Art von Hack ist das?

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
Nanobyte
01.05.2013, 18:12

Das scheint eine Infektion auf dem Server selbst zu sein (Nicht im Quelltext auffindbar)

Beim Aufruf werden Cookies und Referer geprüft und wenn man von google kommt wird man umgeleitet.


phraser
01.05.2013, 21:17

Dürfte eine vBSeo Lücke sein, gab es öfter schon (schau mal im vBseo Forum oder vbulletin Forum)

Wie Nanobyte sagte: Man sollte sich im Adminpanel die Hooks anschauen, da dürfte ein base64 codierter Code versteckt worden sein, welcher die Prüfung übernimmt und dann Google-Besucher beim ersten Besuch weiterleitet


Peedy
01.05.2013, 21:52

Dürfte eine vBSeo Lücke sein, gab es öfter schon (schau mal im vBseo Forum oder vbulletin Forum)

Konntest du es reproduzieren?

Tolles JavaScript Forum mit infizierter Seite... . Sehr professionel -;-
Ich werde diese Plattform meiden, wenn sie es nichtmal schaffen über mehrere Tage hinweg die Lücke zu stopfen und den Code zu entfernen.


phraser
02.05.2013, 11:20

Hab es damals reproduziert ja, das war zu dem Zeitpunkt eine alte vBulletin aber aktuelle vBSeo Version genutzt haben.
Sind natürlich erstmal davon ausgegangen, dass vBulletin selbst die Lücke ist - später bin ich dann hierauf gestoßen:

MyDomain (;;;vbseo~com/f255/hacked-url123-info-53045/)


In dem Thread findest du eigentlich alles wichtige zu dieser Lücke - bescheiden ist nun leider, dass du als Admin kaum selbst auf die Weiterleitung aufmerksam wirst - eben da du ja Cookies auf deinem Rechner gesetzt hast.
Ist auf jeden Fall ne ziemlich nette Idee, wenn das aber einmal mit deiner Seite gemacht wurde überprüfst du das öfter mal :D


Ähnliche Themen zu forum.jswelt.de infiziert?
  • mit Bifrost infiziert!!!
    hi! Scheiße ich bin mit bifrost infiziert wie kann ich den entfernen??? Mfg [...]

  • Netzwerk infiziert
    Hallo zusammen, Ich hab mein Zivi bei der Örtlichen DRK stelle geleistet, hab da in unserem Aufenthaltsraum einen alten Laptop ans netzwerk angeschlossen für Youtube usw etwa 2 Monate lang (liegt inzwischen 6-7 Monate zurück) Jetzt hab ich von meinem "Ablösezivi" ne sms bekommen, das das DRK w [...]

  • SFT Seiten infiziert?
    Mein Virenprogram blockiert seit einigen Tagen den SFT wenn ich einen Film laden will!? Habt ihr das Problem auch??( [...]

  • Infiziert ?
    Moin Ich hab mir mal wieder Antivir installiert und meine C: Festplatte durchgescannt - Jetzt hat Antivir 2 Trojaner gefunden, bei denen ich mir nichtmal sicher bin ob es trojaner sind mscmsr;dll (;;;virustotal~com/de/analisis/44cd2b0dbf30bb1c0168b833db2bd3a0) download der datei (;;;materialordner [...]



raid-rush.ws | Imprint & Contact pr