Wir hatten heute merkwürdige Fehlermeldungen in unserem Forum. Mit dem IE konnte die Seite gar nicht mehr geöffnet werden, und mit firefox gab's Fehlermeldungen, wenn man zb auf "gehe zum neuesten Beitrag" geklickt hat ("Header already sent....").
Bei meiner Fehlersuche bin ich auf folgende JS Dateie(n) gestoßen: vb_stat.js.
der Inhalt der Datei erzeugte ein iframe, welches eine url nachlädt. Aufgerufen wurde das Script in der Datei "class_postbit.php", einfach mit "<script>" am ende der Datei nach "?>". Nachdem ich die Zeile entfernt und die js datei gelöscht hatte funktionierte das Forum im Firefox wieder einwandfrei. Aber mit dem IE gabs weiterhin Probleme, die Startseite konnte nicht aufgerufen werden. Der Header wurde geladen bis zum Logo, dann wurde der Vorgang abgebrochen und eine 404 Seite angezeigt. Beim weiteren suchen wurde ich in der vbulletin_md5 fündig. Dort war am ende der Datei diesselbe Funktion angehängt, die in der vb_stat.js war. Nach dem Entfernen der Funktion und Löschen sämtlicher Cookies etc im IE klappt es auch dort wieder einwandfrei.
Bei meiner Recherche bin ich jetzt fündig geworden, daß diese URL, die das iframe nachlädt, einen Trojaner verteilt. Die Url ist wohl nicht mehr existent, deswegen kam es wohl zu den Fehlermeldungen.
(Bei Bedarf kann ich den js-Code gern hier posten).
Meine Frage nun: Kann dies aufgrund einer "löchrigen" vBulletin Software passiert sein, oder ist die Lücke eher beim Provider (ftp oä)?
Momentan setzen wir noch 3.5.4 ein, mit dem Relaunch unserer Hauptseite ist auch ein Update auf die aktuelle vB Version geplant.
Zitieren
Lesezeichen