Virenmeldung bei Aufruf der website

[RHCMS]

erledigt

[nockenfell]

Hm, tönt hässlich.

Ich würde mal folgendes machen:

- Backup der Datenbank und der Dateien.
- gesamte Webseite löschen
- Installation von 1.8.2 (die 1.7.x hat eine Sicherheitslücke)
- Installiere jungfräulich mit einer neuen DB
- Nach dem installieren änderst du in der config.php den Datenbanknamen auf die alte Datenbank

Nun schaust du ob du noch immer die Fehlermeldung bekommst. Wenn ja, ist der Schadcode in der DB enthalten. Falls dies der Fall ist, melde dich nochmals.

[mike-r]

Wenn ja, ist der Schadcode in der DB enthalten.

Nicht zwingend. Er könnte auch auf dem Server sein, auch ausserhalb des cms. Ich würde zuerst mal testen, was eine leere html-datei ohne jegliche CMS-Verbindung ausgibt. Auch mal schauen, was überhaupt auf dem Server so "rumliegt".

Edit: Mhh, die Fehlermeldung des Servers oder auch die Anmeldemaske wirft keinen Schadcode aus.
Andere Dateien schon: http://www.iptrade.de/modules/index.html (was gegen die DB spricht, allerdings nicht mit Sicherheit)
Hier wäre für spätere Recherchen interessant, was diese (und andere betroffene Dateien) für ein Änderngsdatum haben. Ach wäre interessant, was das Log zu diesem Datum hergibt. Auch das CMS-interne Log dazu.

[owr_bgld]

liegt nicht wirklich zwingend an der Datenbank

In deinem Quellcode steht ganz ganz unten (nach ) folgender javascript:

Code: Select all

<__script__ type="text/javascript" src="http://XXXXXXX.ru/XXXXXX.js"></__script>

Die XXX sind nur für den Text der sonst dort stehen würde.

Also erstmals gucken, ob das irgendwo im Template drinnen steht. Ich gehe aber davon aus, dass dies nicht der Fall ist. Aber es scheint auf jeder Seite auf.

Wenn es wirklich so im Template drinnen steht, dann wurde einer deiner Userpasswörter geknackt und du musst höchstwahrscheinlich nur das korrigieren.

Ist dort nichts geändert, wird der Code in irgendeiner Datei drinnen sein.

Leider hast du nicht angegeben, welche Version du nutzt - aber egal. Update würde ich dir trotzdem wärmstens empfehlen.
Du musst schauen, welche php-Version du hast, je nachdem könntest du eigentlich direkt updaten, je nachdem auf 1.6.8 oder 1.8.2

Am besten -> Datenbank sichern
schauen welche Version du hast (auch von den eingesetzten Modulen !!!) und dir im dev-Corner diese ganzen wieder downloaden (dann hast sicher die ohne Schadcode)

Wenn du Dateien oben hast, die du selbst erstellt geändert hast (insbesondere im uploads-Ordner), diese auch sichern.
Alle restlichen Dateien sichern.

Wenn du dir die Arbeit machst und durchschaust, welche Datei mit einem anderen Datum geändert wurde als alle anderen gleichartigen hast du wahrscheinlich die infizierte Datei. Du könntest diese runterladen und mit einem Editor nach dem Javascript durchsuchen.)

Dann die neue Version rauf, upload und schauen ob alles funktioniert.

Ach ja - und nicht vergessen, umgehend ALLE Passwörter (ftp,Datenbank,userpasswörter,....) ändern.

[nicmare]

bekanntes problem wenn du hier im deutschen forum suchst. hat aber nichts mit CMSms zu tun!
kurz gefasst: auf einem rechner ist ein wurm der die ftp zugangsdaten geklaut hat und sich überall versucht einzuloggen und den javascript code einschleust (in der regel in jeder index, home, start und js date).
also ftp passwörter ändern und quelltext säubern. bei einem cms mit diversen JS dateien ein ding der unmöglichkeit. also am besten backup aufspielen oder wie ich das bei CMSms dann mache: CMSms version runterladen und auf den infizierten webspace rüberspielen.

[RHCMS]

erledigt

[mike-r]

Danke für Deine ausführliche Beschreibung des Problems, bzw. wie Du es gelöst hast. So haben auch andere was davon.
Auch die Beantwortung der zur Problemlösung/eingrenzung gestellten Fragen hier is sehr löblich von Dir.