Homepagevirus: This site is defaced

[meisteralex]

Seit heute habe ich folgende Meldung auf meiner Website


This site is defaced!!!

NeverEverNoSanity WebWorm generation 13.

Es wurden nach und nach alle php-dateien durch diese seite ersetzt, bzw. der Quellcode dieser Seite wurde in die php-dateien geschrieben


Es handelt sich bei meiner homepage um die Page http://www.alukasexo.de wer nachgucken will kann sich die Bescherung gern mal angucken

Wie kann sowas kommen und was ist das, bzw. wie verhindert man das in Zukunft
die Domain leitet zu einem anderen Server weiter, deshalb war das nicht so schlimmt, jedoch wär es eine Katastrophe wenn auch noch das Ziel der weiterleitung angegriffen werden würde

Kann mir da jemand auskunft geben ?

 

[Kim]

Naja, Webworm ist so ein kranker Hacker, der hackt alle möglichen Sitez, bei uboot hat er auch schon des öfteren zugeschlagen! Hier ein Beispiel http://mamasbigboy.uboot.com/

Würd mir mal den Serverlog zukommen lassen, da kannste dann über die ISP rauskriegen, woher der Kerl kommt und dir weitere rechtliche Schritte gegen ihn überlegen!

Viel Erfolg und halt uns hier auf dem Laufenden!

MfG
Kim

 

[The Prophet]

Das hat nix mit einem Worm zu tun! Deine Seite wurde gehackt / defaced. Warum das ganze passiert ist bzw. wie solltest du in den Logs nachschauen. Desweiteren würde ich deinen PHP Code mal überprüfen evt. hast du da eine Swachstelle. Eventuell wurde auch einfach dein FTP Passwort geknackt

 

[*VeGa*]

was es doch für Idioten gibt !
Kann ich nicht nachvollziehen sowas. Einfach quer durch´s Web hacken ohne Sinn und Verstand !

 

[DrPepper]

Hast du evtl. ein phpBB-Forum über die HP laufen?

Auszug einer Mail von PHPBB

Hallo zusammen.

Seit Mitte November ist eine Lücke in phpBB bekannt und gefixt [1], die das Ausführen von Systembefehlen auf dem Server erlaubt. JEDER Administrator eines phpBB 2.0.x sollte UNBEDINGT auf Version 2.0.11 updaten.

Es sind mittlerweile Skripte aufgetaucht, die Foren systematisch auf diese Lücke prüfen und wenn vorhanden das Forum und ganze Server zum Stillstand bringen, löschen oder Daten auslesen. [2]

Unter [3] finden Sie alle Updates seit 2.0.5 in Form von MODs. Wenn Sie nicht direkt auf ein aktuelles Paket [4] umsteigen wollen oder können, benutzen Sie diese Anleitungen.

Unsere Update-Hilfe [5] führt Sie Schritt für Schritt durch den Update-Prozess.

 

[meisteralex]

jo hatte ich laufen, allerdings glaub ich in einer höheren version
weiß jemand wie es mit meiner datenbank aussieht, ob die einträge noch vorhanden sind?
wenn ich jetzt ein neues phpbb draufhaue, nimmt der dann die einträge aus der alten datenbank ?

 

[The Prophet]

jo hatte ich laufen, allerdings glaub ich in einer höheren version
weiß jemand wie es mit meiner datenbank aussieht, ob die einträge noch vorhanden sind?
wenn ich jetzt ein neues phpbb draufhaue, nimmt der dann die einträge aus der alten datenbank ?

Hast du kein phpmyadmin oder eine vergleichbare Oberfläche?

 

[Kim]

ach ja, da is ne sicherheitslücke im phpbb, kam vor ein paar tagen die meldung, dass man das bitte updaten soll!
Hier die Mail:

Hallo zusammen.

Seit Mitte November ist eine Lücke in phpBB bekannt und gefixt [1], die das Ausführen von Systembefehlen auf dem Server erlaubt. JEDER Administrator eines phpBB 2.0.x sollte UNBEDINGT auf Version 2.0.11 updaten.

Es sind mittlerweile Skripte aufgetaucht, die Foren systematisch auf diese Lücke prüfen und wenn vorhanden das Forum und ganze Server zum Stillstand bringen, löschen oder Daten auslesen. [2]

Unter [3] finden Sie alle Updates seit 2.0.5 in Form von MODs. Wenn Sie nicht direkt auf ein aktuelles Paket [4] umsteigen wollen oder können, benutzen Sie diese Anleitungen.

Unsere Update-Hilfe [5] führt Sie Schritt für Schritt durch den Update-Prozess.

[1]: http://www.phpbb.de/viewtopic.php?t=70853
[2]: http://www.phpbb.de/viewtopic.php?t=73326
[3]: http://www.phpbb.com/phpBB/catdb.php?cat=48
[4]: http://www.phpbb.de/download.php
[5]: http://www.phpbb.de/doku/phpbb-update.php
MFG
Kim

 

[J3x]

Womöglich wird es damit etwas klarer

J3x

http://www.heise.de/newsticker/meldung/54504

 

[frow]

jo wolltisch auch jrade posten

 

[Mr. Incredible]

Auch Symantec hat diesen Virus als gefährlich eingestuft.
Folgendes finde ich interessant

"This site is defaced!!!
NeverEverNoSanity WebWorm generation X"

Note: X is a variable number that increments with each infection.

http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html

Edit: meisteralex, du hattest doch die nummer 13 auf deiner homepage oder?
und das bild auf http://www.heise.de/newsticker/meldung/54504 zeigt die nummer 12 also folgere ich daraus dass zuerst die seite http://www.heise.de/newsticker/meldung/54504 gahackt wurde und dann die von meisteralex oder irre ich mich da

Edit 2: Auf https://www.computerbase.de/forum/threads/homepagevirus-this-site-is-defaced.105411/ ist Bild mit der Nummer 7. Es wird doch nicht so schwer sein das zurückzuverfolgen um zu sehen woher er kam, besser von WEM er kam.