Fork me on GitHub
"XOOPS ist ein dynamisches OO (Objekt Orientiertes) open source Portal Script geschrieben in PHP. XOOPS ist ein ideales CMS (Content Management System) für den Aufbau von kleineren und grösseren Communities, Firmen-, Intra- und Internet-Portale, Web-Logs und vieles mehr."
forum
Bitte schaut in die DOKUMENTATION oder benutzt die SUCHFUNKTION bevor Ihr Eure Fragen im Forum stellt. Viele Fragen wurden bereits gestellt.

Leser in diesem Thema:   1 Anonyme(r)


« 1 2 (3) 4 5 6 »


Re: Fremder Code in der index.php
#21
Benutzerinformationen
so wir kommen der Sache schon mal näher
Der Virus : Trojan.IFrame.BI

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#22
Benutzerinformationen
Schön, jetzt kennen wir ihn mit Namen

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#23
Benutzerinformationen
so und nun brauchst du nur mal nachzuschauen, wer als letzter was hochgeladen hat, bevor das auftrat, dann weisste auch woher der kommt
(nämlich von einem infizierten Rechner)

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#24
Benutzerinformationen
Verstehe ich das richtig, dass es ausreichend ist, wenn jemand z.B. ein Bild ins Forum einfügt und das über einen verseuchten PC macht?

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#25
Benutzerinformationen
Das kann/möchte ich mir nicht vorstellen.

Denn dann hätte es doch eigentlich auf dem Server beim Hoster Alarm geben müssen,oder?

Ausserdem hab ich in meinem Upload-Verzeichnis keine Daten, die dem Datum entsprechen.
Und die letzten Bilder dort sind von mir.
Hochgeladen wurden diese über die Upload-Funktion des CBB.

Fakt ist auch, das jemand Zugriff zu meinem FTP hatte.
Wie ich Anfangs schon schrieb wurde die Index.php in einem Verzeichnis geändert,
das mit .htaccess geschützt ist.

Das Logfile liegt auf meinem Server.
Ich habe es mal runter geladen.
Leider kann man da nicht vernünftig lesen.

Wie kann ich mir das vernünftig formatiert ausgeben lassen?

Hier mal ein Auszug davon.....
212.222.51.14 - - [15/Jul/2008:02:43:10 +0200"GET /modules/wfdownloads/ HTTP/1.1" 200 24190 "-" "eBay Relevance Ad Crawler powered by contentDetection (www.mindup.de)" www.personalbit.de
212.222.51.14 
- - [15/Jul/2008:02:43:10 +0200"GET /modules/wfdownloads/module.css HTTP/1.1" 200 969 "-" "eBay Relevance Ad Crawler powered by contentDetection (www.mindup.de)" www.personalbit.de
74.55.143.210 
- - [15/Jul/2008:02:43:10 +0200"GET /modules/news/article.php?storyid=335 HTTP/1.1" 200 23029 "-" "Opera Mini versions:" www.personalbit.de
212.222.51.16 
- - [15/Jul/2008:02:43:36 +0200"GET /modules/news/article.php?storyid=127 HTTP/1.1" 200 21833 "-" "eBay Relevance Ad Crawler powered by contentDetection (www.mindup.de)" www.personalbit.de
74.6.18.240 
- - [15/Jul/2008:02:43:48 +0200"GET /modules/news/print.php?storyid=66 HTTP/1.0" 200 7974 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" www.personalbit.de
74.55.143.210 
- - [15/Jul/2008:02:44:22 +0200"GET /modules/news/newcomment.php?item_id=154&order=1&mode=flat HTTP/1.1" 404 293 "-" "Mozilla/4.76 [en] (PalmOS; U; WebPro/3.0.1a; Palm-Arz1)" www.personalbit.de
74.55.143.210 
- - [15/Jul/2008:02:44:50 +0200"GET /modules/news/newcomment.php?item_id=579&order=1&mode=flat HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.50" www.personalbit.de
209.234.171.37 
- - [15/Jul/2008:02:45:00 +0200"GET /robots.txt HTTP/1.0" 404 278 "-" "ia_archiver" extra.personalbit.de
209.234.171.37 
- - [15/Jul/2008:02:45:00 +0200"GET / HTTP/1.0" 200 4663 "-" "ia_archiver" extra.personalbit.de
89.149.209.111 
- - [15/Jul/2008:02:45:05 +0200"GET /modules/newbb/newtopic.php?forum=41 HTTP/1.0" 200 24390 "http://www.personalbit.de/modules/newbb/newtopic.php?forum=41" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0" www.personalbit.de
89.149.209.111 
- - [15/Jul/2008:02:45:07 +0200"POST /modules/newbb/post.php HTTP/1.0" 200 "http://www.personalbit.de/modules/

Geschrieben: 18.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#26
Benutzerinformationen
Zitat:

chris47803 schrieb:

Fakt ist auch, das jemand Zugriff zu meinem FTP hatte.


... der dann mühevoll alle Dateien runtergeladen, abgeändert/erweitert und dann wieder hoch geladen hat? Das wiederum kann ich mir nicht vorstellen.

Geschrieben: 18.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#27
Benutzerinformationen
Hallo!

Meine Mail an den Hoster.........
Zitat:

Wie kann ich mir denn die access_log formatiert anzeigen lassen,
so das ich dort auch etwas lesen kann.
Sind dort überhaupt FTP-Zugriffe gelistet?


Seine Antwort...
Zitat:

hier müssen Sie ein Tool zur Weblog Auswertung verwenden.
Versuchen könnten Sie es mit der Liteversion von www.weblogexpert.com
(http://weblogexpert.com/download.htm)

Die FTP Zugriffe sind in Ihren Logfiles nicht mit aufgeführt. Zudem ist bei
Ihnem mit hoher Wahrscheinlichkeit keine Veränderung per FTP durchgeführt
worden.


Das Tool ist sehr schön für eine Statistik,
bringt mich aber nicht weiter.

Und die access_log nützt mir auch nichts,
weil dort nichts steht,
was mir helfen kann.

@ Der_Lord
Wie kann denn sonst Jemand eine Datei in einem Verzeichnis ändern,
das mit .htaccess geschützt ist?

Gruß, Chris

Geschrieben: 18.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#28
Benutzerinformationen
Mal laienhaft ausgedrückt: ein Skript, das den Dateien vorgaukelt es sein kein User, sondern ein Systemzugriff. Andernfalls würden ja auch solche Programme wie der Dumper nicht laufen

Geschrieben: 18.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#29
Benutzerinformationen
Und wie kommt das Script in das mit .htaccess geschützte Verzeichnis?

Da fällt mir noch etwas ein.......

In meinem Forum habe ich einen User der meist mit der IP 127.255.255.255 kommt.


Und am 14.07.2008 habe ich folgende Mail über mein Kontaktformular erhalten.

Zitat:

Hast Du schon mal die IP´s von Name entfernt und Name entfernt verglichen??? Kleiner Tip, das ist der gleiche Typ! Name entfernt hat nämlich noch noch eine Mail entfernt Adresse!

Ich würd vorsichtig sein!


Absender war tip@fuer-personalbit.de

Geschrieben: 18.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#30
Benutzerinformationen
Zitat:

Die FTP Zugriffe sind in Ihren Logfiles nicht mit aufgeführt.


ist korrekt, weil die in einem anderen File sind

Zitat:

Zudem ist bei
Ihnem mit hoher Wahrscheinlichkeit keine Veränderung per FTP durchgeführt
worden.


ist auch korrekt, denke der Hoster sollte mal seinen kompromittierten Server checken, zugeben wird er es sowieso nicht

Zitat:
Und wie kommt das Script in das mit .htaccess geschützte Verzeichnis?


der htaccess-Schutz ist nur aus dem Web, sozusagen, aber das ganze passiert physikalisch auf dem Server, so wie du daheim auf deiner Festplatte zugreifst

Mit der IP-Adresse ist normal, kommt, wenn die Adresse nicht korrekt ausgelesen werden kann, durch Proxy z.B. Ist ein Fehler im Forum

Geschrieben: 18.07.2008
Erstelle PDF des Beitrags Drucke







[Erweiterte Suche]


Fehler
Warnung: syntax error, unexpected END_OF_LINE, expecting '=' in /var/www/clients/client1/web3/security/myxoops/xoops_data/configs/xoRewriteHtaccess.ini.php on line 13 in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 32
Warnung: array_key_exists() expects parameter 2 to be array, boolean given in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 34
Warnung: XoSmartyPlugin : section [xoRewriteHtaccess] does not exist in /configs/xoRewriteHtaccess.ini.php in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 42
abgelehnt
Abfragen
0.000147 - SET NAMES 'utf8'
0.000097 - SET SQL_BIG_SELECTS = 1
0.000180 - SELECT * FROM config WHERE (conf_modid = '0' AND conf_catid = '1') ORDER BY conf_order ASC
0.000358 - SELECT sess_data, sess_ip FROM session WHERE sess_id = 'um8unp9c5jmr81g5494v00ram7'
0.000116 - SELECT * FROM modules WHERE dirname = 'newbb'
0.000104 - SELECT COUNT(*) FROM group_permission WHERE (gperm_modid = '1' AND (gperm_groupid = '3') AND gperm_name = 'module_read' AND gperm_itemid = '2')
0.000159 - SELECT * FROM config WHERE (conf_modid = '2') ORDER BY conf_order ASC
0.000076 - SELECT * FROM modules WHERE dirname = 'protector'
0.004321 - DELETE FROM protector_access WHERE expire < UNIX_TIMESTAMP()
0.000266 - SELECT COUNT(*) FROM protector_access WHERE ip='54.211.180.175' AND request_uri='/forum/viewtopic.php?post_id=53167'
0.000203 - SELECT COUNT(*) FROM protector_access WHERE ip='54.211.180.175'
0.000181 - INSERT INTO protector_access SET ip='54.211.180.175',request_uri='/forum/viewtopic.php?post_id=53167',expire=UNIX_TIMESTAMP()+'60'
0.000119 - SELECT * FROM modules WHERE dirname = 'xoopspoll'
0.000102 - SELECT * FROM modules WHERE dirname = 'umfrage'
0.002285 - SELECT t.* FROM bb_topics t, bb_posts p WHERE t.topic_id = p.topic_id AND p.post_id = 53167
0.000123 - SELECT * FROM bb_forums WHERE forum_id = '72'
0.000149 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'category_access')
0.000236 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_access')
0.000160 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_view')
0.004326 - SELECT COUNT(*) FROM `bb_posts` WHERE (topic_id = '10509' AND approved = '1')
0.000272 - SELECT COUNT(*) FROM bb_posts AS p WHERE p.topic_id=10509 AND p.approved = 1 AND p.post_id < 53167
0.000861 - SELECT p.*, t.* FROM bb_posts p, bb_posts_text t WHERE p.topic_id=10509 AND p.post_id = t.post_id AND p.approved = 1 ORDER BY p.post_id ASC LIMIT 20, 10
0.000667 - UPDATE bb_topics SET topic_views = topic_views + 1 WHERE topic_id =10509
0.000125 - SELECT * FROM config WHERE (conf_modid = '0' AND conf_catid = '3') ORDER BY conf_order ASC
0.000124 - SELECT DISTINCT gperm_itemid FROM group_permission WHERE gperm_name = 'block_read' AND gperm_modid = 1 AND gperm_groupid IN (3)
0.000108 - SELECT b.* FROM newblocks b, block_module_link m WHERE m.block_id=b.bid AND b.isactive=1 AND b.visible=1 AND m.module_id IN (0,2) AND b.bid IN (31,30,29,28,27,26,25,24,23,22,21,18,17,16,49,15,14,13,10,7,5,3,2,20,19,48,38,37,36,41,40,35,45,44,46,47,50,51,52) ORDER BY b.weight, m.block_id
0.003029 - DELETE FROM lastseen WHERE (uid<1 AND time<=1413921058) OR (uid>0 AND time<=1413316558)
0.000224 - UPDATE lastseen SET online=0 WHERE uid>0 AND time< 1413921058
0.000104 - SELECT * FROM modules WHERE dirname = 'onlinehistory'
0.000117 - SELECT * FROM config WHERE (conf_modid = '7') ORDER BY conf_order ASC
0.000336 - SELECT count(uid) as cuid FROM lastseen WHERE uid=0 AND ip='54.211.180.175'
0.000280 - UPDATE lastseen SET time = 1413921358, ip='54.211.180.175' ,uagent='CCBot/2.0 (http://commoncrawl.org/faq/)', username='Besucher', module=2, online=1 WHERE uid=0 AND ip='54.211.180.175'
0.000432 - SELECT COUNT(uid) as count FROM lastseen WHERE (online > '0' AND uid > '-1')
0.000186 - DELETE FROM bb_online WHERE online_updated < 1413921058
0.001856 - DELETE FROM online WHERE online_updated < 1413921058
0.000289 - SELECT COUNT(*) FROM online WHERE online_uid=0 AND online_ip='54.211.180.175'
0.000499 - UPDATE online SET online_updated=1413921358, online_module = 2 WHERE online_uid = 0 AND online_ip='54.211.180.175'
0.000240 - SELECT COUNT(*) FROM bb_online WHERE online_uid=0 AND online_ip='54.211.180.175'
0.000454 - UPDATE bb_online SET online_updated= '1413921358', online_forum = '72', online_topic = '10509' WHERE online_uid = 0 AND online_ip='54.211.180.175'
0.000391 - DELETE FROM bb_online WHERE ( online_uid > 0 AND online_uid NOT IN ( SELECT online_uid FROM online WHERE online_module =2 ) ) OR ( online_uid = 0 AND online_ip NOT IN ( SELECT online_ip FROM online WHERE online_module =2 AND online_uid = 0 ) )
0.000268 - SELECT * FROM bb_online WHERE online_topic = '10509'
0.000123 - SELECT cat_title, cat_id FROM bb_categories WHERE cat_id = '2'
0.000185 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_post')
0.000114 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.002938 - SELECT * FROM `users` WHERE uid IN (8758,10370,10394)
0.000083 - SELECT * FROM smiles
0.000220 - SELECT online_uid FROM bb_online WHERE online_uid IN (8758, 10370, 10394)
0.000095 - SELECT * FROM ranks
0.000783 - SELECT user_digests, uid FROM bb_user_stats WHERE uid IN( 8758, 10370, 10394)
0.000167 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000141 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000120 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000160 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000138 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000133 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000143 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000127 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000143 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000145 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000123 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000139 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000197 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000150 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000140 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000174 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000182 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000166 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000255 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000189 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000134 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000149 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000118 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000176 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000139 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000128 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000127 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000212 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000192 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000188 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000161 - SELECT * FROM modules WHERE dirname = 'xoopspoll'
0.000180 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_addpoll')
0.000232 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_addpoll')
0.000180 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'category_access')
0.000120 - SELECT `cat_id`, `cat_order`, `cat_title` FROM `bb_categories` WHERE cat_id IN (9, 20, 12, 17, 19, 21, 2) ORDER BY cat_order ASC
0.000154 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
Zusammen: 85
Blöcke
Online Historie Zählblock: nicht zwischengespeichert
Zusammen: 1
Extras
plugin smarty for xoops => xoRewriteModule : Loaded
plugin smarty for xoops => xoRewriteModule : Loaded
inbegriffene Dateien: 160 Dateien
Speicher: 12608392 bytes
Zeitmessung
XOOPS brauchte 0.747 Sekunden zum laden.
XOOPS Boot brauchte 0.049 Sekunden zum laden.
Module init brauchte 0.109 Sekunden zum laden.
XOOPS output init brauchte 0.027 Sekunden zum laden.
Module display brauchte 0.538 Sekunden zum laden.
Page rendering brauchte 0.022 Sekunden zum laden.