Startseite / Anleitungen / Vbulletin Forum: Weiterleitung an myfilestore.com filestore72.info Umleitung von Google beheben

Vbulletin Forum: Weiterleitung an myfilestore.com filestore72.info Umleitung von Google beheben


Aus aktuellem Anlass, möchte ich hier eine Lösung anbieten, wenn ein vBulletin Forum gehackt worden ist. Es geht darum das die Besucher die von einer Suchmaschinen kommen sollten, auf andere Malware verseuchte Webseiten weitergeleitet werden. Obwohl der Hack mehrere Jahre alt ist, sind die Hacker immer noch damit aktiv.

Weiterleitung an myfilestore.com, filestore72.info, url123.info beheben

Ich betreibe neben windowspower.de unter anderem noch ein Forum mit vBullein Forum-Software firefox-forum.com. Im letzten Monat ist mir aufgefallen das die Besucherzahl auf einmal gesunken ist. Im ersten Moment konnte ich mir das gar nicht erklären. Das Forum ist immer erreichbar und sonst konnte ich auch keine Auffälligkeiten sehen.

Nachdem ich recherchiert habe, habe ich gemerkt, das Forum ist gehackt worden. Es wurde eine Weiterleitung eingebaut.

Es ist mir nicht sofort aufgefallen, weil dieses Hack mit Cookies arbeitet. Das bedeutet, wenn ich das Forum vorher schon besucht habe, ist ein Cookie gesetzt worden und das Forum war erreichbar. Wenn neue Besucher von einer Suchmaschine (Google, Yahoo, Bing) ins Forum kommen wollten, sind die automatisch weitergeleitet worden auf myfilestore.com. Die Schwachstelle ist das Ad on vBseo. Der wird seit ein paar Jahren nicht mehr weiterentwickelt, aber viele Forum Besitzer benutzen das noch. So wie ich auch. Einige berichten, das  eine Weiterleitung in folgende Webseiten folgt:

  • myfilestore.com
  • filestore72.info
  • file2store.info
  • url2short.info
  • filestore123.info
  • url123.info
  • dollarade.com
  • filestore321.com

vBullein Forum auf Weiterleitung prüfen
Wenn Sie ihr Forum auf eine Weiterleitung prüfen möchten, machen Sie folgendes:

Löschen Sie bitte alle Cookies und öffnen Sie diesen Link bei Google (den Link mit Ihrem Forum-Link anpassen):
site:eure-forum-link.com


Oder ein Suchbegriff aus Ihrem Forum das bei Google, yahoo, bing aufgelistet ist.

Testet Sie bitte das Ganze mit mehreren Browsern. Wichtig dabei ist, dass Sie nach jedem Besuch auf das Forum die Cookies löscht.
Wenn das Forum erreichbar ist dann ich alles ok. Sollten Sie auf eine der Seiten weitergeleitet worden sein, dann ist das Forum gehackt worden.

Weiterleitung an myfilestore.com Hack entfernen

Die Hacker benutzen eine Schwachstelle der Add-ons VBSEO. Damit ist es gelungen, denn Code auf der Datenbank zu platzieren. Ich habe mich auf die Suche gemacht, um zu finden wo der Code auf der Datenbank Tabelle geschrieben worden ist. Der Code ist verschlüsselt und alle Bemühungen nach myfilestore.com zu suchen war erfolglos. Ich habe folgendes gemacht:

Ich  habe die Mysql Datenbank durchsucht und bin fündig geworden. Habe die Tabellen nach VBSEO_ENABLED durchsucht.

In der Tabelle vb_datastore genau in der forumdisplay_start war der Code versteckt.

 

Der Code kann auch an einer anderen Stelle der Datenbank platziert worden sein. So sieht der Code aus:

myfilestore.com Hack

Der Code kann auch bei vbseo_complete_sec untergebraucht sein, schaut Sie denn Code genau an. Meistens ist der so hinterlegt:
eval(base64_decode(‚KHKSHHDkdd……

Vorsichtsmaßnahmen vornehmen

Nach dem ich den Code entfernt habe, habe ich noch weitere Vorsichtsmaßnahmen vorgenommen.
1. FTP Passwort geändert
2. Administrator Passwort geändert

3. Habe den Standardordner der Administration Menü geändert. In der Datei includes/config.php habe ich die neuen Ordner eingegeben:

$config['Misc']['admincpdir'] = 'neuordnercp';
$config['Misc']['modcpdir'] = 'neuordnermo;


4
. Das Ganze habe ich auch mit Passwort geschützt, mit Hilfe der .htaccess. Hier ein .htaccess online Generator. Wenn Sie sichere Passwörter erstellen möchten, benutzt Sie unseren Passwort Generator.


5.
In der php.ini habe ich noch folgendes eingefügt:
register_globals = 0


6.
Dann öffnet Sie die vbseo.php und fügen oben folgenden Code nach <? ein:
if (strpos($_SERVER["QUERY_STRING"],'%00')) die;


7.
 Vergibt Sie noch die Schreibrechte 444 der Datei: vbseo/resources/xml/config.xml


8.
In der Datei vbseo/functions_vbseo_hook.php ändert Sie von:

vbseo_ping_proc($vbseo_ref, $_GET['vbseourl'] ? $vbulletin->options['bburl'].'/'.$_GET['vbseourl']

In:
vbseo_ping_proc($vbseo_ref, $_GET['vbseourl'] ?
$vbulletin->options['bburl'].'/'.preg_replace('#[\x00-\x1F]#', '', $_GET['vbseourl']) :

 

9. Öffnet Sie die misc.php und fügen Sie oben folgenden Code nach <? ein:

if($_GET['g']=='js') die;

 

Achtung: Eine Deaktivierung oder löschen von vBSEO löscht das Problem nicht.
Ich möchte an diese Stelle erwähnen, dass ich kein Programmierer und kein Sicherheit Experte bin.

Die hier Angebote Lösung hat mir geholfen und ich kann nicht garantieren das es bei ihnen auch funktioniert. Die Anleitung hier ist meine Erfahrung. Bitte macht Sie vor jeder Änderung eine Sicherung, Datei/Datenbank. Ich übernehme keine Verantwortung.

Die Forum-Software vBulletin ist eine der sicherste auf dem Markt und regelmäßig erscheinen neue Sicherheitsupdates. Das Problem bei mir war die Erweiterung VBSEO das alle Besucher von einer Suchmaschine Google, Yahoo, Bing  nach myfilestore.com weitergeleitet worden sind. Ich wollte hier auf windowspower.de eine Anleitung anbieten und allen helfen soll, die betroffen sind. Ich habe einen ganzen Tag damit verbracht den Hack zu finden, hiermit sollte es schneller gehen. Ich würde mich freuen, wenn Sie hier Ihre Erfahrung postet.

Bestseller Nr. 1
Windows 10 Professional ( win 10 pro) 32/64 Bits OEM Product Key
13 Bewertungen
Windows 10 Professional ( win 10 pro) 32/64 Bits OEM Product Key
  • Auf jedem Windows 10 fähigen PC und Laptop installierbar
  • Online aktivierbar
  • Sie erhalten eine ordentliche Rechnung mit ausgewiesener MwSt.

Über den Autor Vangelis

Ich bin Vangelis, der Inhaber und Administrator von windowspower.de Ich bin begeisterter Windows-Fan und habe die letzten Jahre zusammen mit meinem Team windowspower.de aufgebaut.Stetig arbeiten wir daran Lösungsvorschläge für alle möglichen Windows-Probleme zu bieten.Ich freue mich sehr, wenn Euch unsere Tipps und Tricks auf windowspower.de helfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.