Viren im Forum

[Baer81]

Hallo,

ich habe bei uns in der Firma ein Problem mit unserem Forum (Deko- und Bastel-Ideen).

Etliche Nutzer klagen darüber, dass ihr Antiviren-Prog Alarm schlägt wenn sie die Seite aufrufen, oder optional sich anmelden wollen. Merkwürdig ist, dass exakt gleich konfigurite Systeme mal Meldung machen und mal nicht.

Wir haben heute morgen in einer Index einen Eintrag "phpfake" gefunden und gelöscht. Mein Rechner macht keinen Alarm mehr, wohl aber der Rechner meiner Kollegin, obgleich wir Cache geleert haben etc.

Ein ganz ähnliches Problem hatten wir vor 2 Monaten. Dies hatten wir aber erfolgreich erledigt, glaubten wir. Nun aber ein ganz ähnliches Problem.

Hat jemand eine zündende Idee für mich? Wir sind so langsam am Ende mit unserem Latein:

baer81

[Guybrush Threepwood]

Ja sieht wohl so aus als wär der Server gehackt worden :\

Hier ist das auch jemandem passiert (und es war was mit phpfake):

Webseite gehackt?? phpfake - ABAKUS SEO Forum

Auf jeden Fall gibts dafür leider nur eine Lösung die da auch angewendet wurde:

Das Ende der Geschichte: Server plattgemacht, völlig neu und jetzt sicher wieder aufgesetzt. Alles wird umgezogen, alle Typos neu aufgesetzt (Backups waren auch verseucht).

[Baer81]

In der Tat wäre es eine Möglichkeit alles platt zu machen und neu aufzusetzen. Aber das sollte das letzte Mittel der Wahl sein. Aber so langsam befürchte ich, dass es die endgültige Lösung sein wird.

Baer81

[Guybrush Threepwood]

Das ist sollte sogar das Einzige Mittel der Wahl sein, denn du weißt nicht wie das auf dein System gekommen ist oder was es alles gemacht hat.

Das heißt selbst wenn das nur ein harmloser Virus wäre dann könnte über die selbe Sicherheitslücke noch etwas ganz anderes nicht so harmloses eingedrungen sein.

Wenn es nicht so harmlos ist hat vielleicht schon jemand ganz anderes die Kontrolle über den Server ohne das du etwas merkst, denn sobald das etwas professioneller war kannst du keiner einzigen Angabe deines Systems mehr vetrauen und somit funktionieren Virenscanner und ähnliche Programme auch nicht mehr zuverlässig weil die sich irgendwo auch auf die Angaben vom Sysgtem verlassen müssen.

Das muss natürlich nicht so schlimm sein aber du hast leider sogut wie keine Möglichkeit sicher zu stellen das das nicht so ist.

[Baer81]

Eine kleine Besonderheit habe ich noch festgestellt. Die Virenmeldung kommt nur unter Internet Explorer, nicht unter Firefox. Daher habe ich das Problem auch nicht selbstständig erkannt.

Kennt jemand den Grund warum dies so ist? War mir nicht bekannt, dass der Browser einen Unterschied macht bei Virenbefall.

Baer81

[Crash2001]

nunja, man kann ja für verschiedene Browser verschiedene Quelltexte angeben. Von daher ist es z.B. möglich, dass der Code nur beim IE ausgeführt wird, weil er beim FF oder sonstigem Browser nicht funktioniert bzw. IE-spezifisch ist.

[Baer81]

Ok. Merkwürdig war nur, dass wir in der index.php den befallenen Teil entfernt haben und danach war Firefox, respektive der Virenscanner ruhig. Nur unter IE halt nicht. Obgleich wir keinen Befall mehr finden können.