servus
Seit einigen Wochen habe ich nun Kopfzerbrechen und finde nirgends wirklich Hilfe!
Da wir nun Jahre lang auf Webspell setzten und hier auch Qualifizierte Leute anwesend sind wollte ich es auch mal hier versuchen.

Das Problem ist folgender:
Seit vielen Wochen schlagen die Antivir Programmer vieler thedaemon.de Besucher Alarm.
Hab mehrmals Schadhafte Scriptteile gefunden(interessant wie die dahin gelangen) sie auch gelöscht.
Vor ca. 1-2 Wochen wurd dann zum ersten mal die Domain von Google und von der Technik Abteilung unseren Webspace host geschlossen. Hab wie schon oft in Foren gelesen:
einen Datenbank Backup gemacht. Alles vom Space gelöscht und die neueste Version installiert!(unten mehr dazu)
Es lief wieder aber bis zum 16.07.12 hielt das Ganze leider nur!

Zwar schlägt Google folgendes vor: http://www.stopbadware.org/home/security damit aber kann ich nichts anfangen
Was würdet ihr an meiner stelle machen?

Die Scripte die auf dem Server laufen:
Webspell 4.2.3a (thedaemon.de/page)
Burning Board Lite 2.0.1 (thedaemon.de/forum)
(Die FTP Daten wurden auch geändert!)


Was mir aufgefallen ist:
auf dem Server werden folgende Datein geändert:

Webspell:
index.php
checklogin.php
admin/index.php
templates/clanwar_edit.html
templates/clanwar_new.html


BurningBoardLite:
index.php
acp/index.php
wcf\templates\compiled\27_0_2_board.php
wcf\templates\compiled\27_0_2_index.php
wcf\templates\compiled\27_0_2_postAdd.php
wcf\templates\compiled\27_0_2_postEdit.php
wcf\templates\compiled\27_0_2_thread.php
wcf\templates\compiled\27_0_2_threadAdd.php
wcf\templates\compiled\27_0_3_index.php

Ich kann unmöglich alle Dateien manuel danach absuchen

Die Enterpage(index.html),da soll auch was drauf sein.
Beim runterladen ist er kurz auf dem Desktop, aber nach spätestens 30-60 sekunden popt von Windows7 Essentiells eine grüne Meldung und die Datei verschwindet. Die Datei lässt sich auch nicht öffnen!

So sieht der Teil aus:




EDIT// 17:50Uhr 18.07.12
The following are example URLs from your site where we found such content:

http://www.thedaemon.d...e1efd5d836a9cf93cc7ffd875
http://www.thedaemon.d...e1efd5d836a9cf93cc7ffd875

Wenn ich das lösche hab ich paar Minuten Ruhe und dann steht es wieder da wo es vorher stand

Kurz ich bin am verzeifeln. Weiß nicht mehr weiter!
Hoffe ihr könnt uns da weiter helfen!
LG Burak B. / Radonaktiv

Hier steht was darueber:

http://stopmalvertisin...re-network-stats.php.html

danke für die schnelle antwort!

naya... so viel mehr hilft mir die seite auch nicht!

von irgendwo hat der hacker oder wer auch immer nen zugang zu der seite!
hab mehrmals alels erneuert.... passwörter x male geändert(sei es forum, page, ftp etc.),
aber irgendwie kommt da trotzdem was druch :/

Vielleicht hilft dir das hier weiter.

cool, danke.
hab ich alles schon gemacht. ich würd mal salop behaupten, das die nicht mein problem ist.
wer sucht der findet auch etwas nur komisch ist, obwohl ich alle passwörter ändern, hab ich nach ne kurzen zeit die gelöschten zeilen wieder dort wo sie vorher waren.
das zeigt mir das es irgendwo nen türchen offen ist. oder lieg ich da falsch?

anders gefragt: wie kann man solche code zeilen denn als hacker etc. in die daten andere hinzufügen?
per ftp zugang oder andere methoden?
bei ftp müsste es doch so sein, sobald ich alles lösche, daten änder und alles neubeziehe dürfte der zugang doch gekappt sein?

Es könnte mehre Ursachen haben.
Entweder hat der Webspace eine Sicherheitslücke oder deine Webseite.
Wenn man diese nach belieben ausnutzen kann kommt man immer anndie aktuelken Zugangsdaten.

Interessant wäre es die ip zu loggen vom Angreifer. Eventuell auch die Anfragen selbst damit könnte man auch die Schwachstelle ausmachen.
Da sollte aber dein Hoster der richtige Ansprechpartner sein.