Aus aktuellem Anlass, möchte ich hier eine Lösung anbieten, wenn ein vBulletin Forum gehackt worden ist. Es geht darum das die Besucher die von einer Suchmaschinen kommen sollten, auf andere Malware verseuchte Webseiten weitergeleitet werden. Obwohl der Hack mehrere Jahre alt ist, sind die Hacker immer noch damit aktiv.
Weiterleitung an myfilestore.com, filestore72.info, url123.info beheben
Ich betreibe neben windowspower.de unter anderem noch ein Forum mit vBullein Forum-Software Im letzten Monat ist mir aufgefallen das die Besucherzahl auf einmal gesunken ist. Im ersten Moment konnte ich mir das gar nicht erklären. Das Forum ist immer erreichbar und sonst konnte ich auch keine Auffälligkeiten sehen.
Nachdem ich recherchiert habe, habe ich gemerkt, das Forum ist gehackt worden. Es wurde eine Weiterleitung eingebaut.
Es ist mir nicht sofort aufgefallen, weil dieses Hack mit Cookies arbeitet. Das bedeutet, wenn ich das Forum vorher schon besucht habe, ist ein Cookie gesetzt worden und das Forum war erreichbar. Wenn neue Besucher von einer Suchmaschine (Google, Yahoo, Bing) ins Forum kommen wollten, sind die automatisch weitergeleitet worden auf myfilestore.com. Die Schwachstelle ist das Ad on vBseo. Der wird seit ein paar Jahren nicht mehr weiterentwickelt, aber viele Forum Besitzer benutzen das noch. So wie ich auch. Einige berichten, das eine Weiterleitung in folgende Webseiten folgt:
- myfilestore.com
- filestore72.info
- file2store.info
- url2short.info
- filestore123.info
- url123.info
- dollarade.com
- filestore321.com
vBullein Forum auf Weiterleitung prüfen
Wenn Sie ihr Forum auf eine Weiterleitung prüfen möchten, machen Sie folgendes:
Löschen Sie bitte alle Cookies und öffnen Sie diesen Link bei Google (den Link mit Ihrem Forum-Link anpassen):
site:eure-forum-link.com
Oder ein Suchbegriff aus Ihrem Forum das bei Google, yahoo, bing aufgelistet ist.
Testen Sie bitte das Ganze mit mehreren Browsern. Wichtig dabei ist, dass Sie nach jedem Besuch auf das Forum die Cookies löschen.
Wenn das Forum erreichbar ist dann ich alles ok. Sollten Sie auf eine der Seiten weitergeleitet worden sein, dann ist das Forum gehackt worden.
Weiterleitung an myfilestore.com Hack entfernen
Die Hacker benutzen eine Schwachstelle der Add-ons VBSEO. Damit ist es gelungen, denn Code auf der Datenbank zu platzieren. Ich habe mich auf die Suche gemacht, um zu finden wo der Code auf der Datenbank Tabelle geschrieben worden ist. Der Code ist verschlüsselt und alle Bemühungen nach myfilestore.com zu suchen war erfolglos. Ich habe folgendes gemacht:
Ich habe die Mysql Datenbank durchsucht und bin fündig geworden. Habe die Tabellen nach VBSEO_ENABLED durchsucht.
In der Tabelle vb_datastore genau in der forumdisplay_start war der Code versteckt.
Der Code kann auch an einer anderen Stelle der Datenbank platziert worden sein. So sieht der Code aus:
Der Code kann auch bei vbseo_complete_sec untergebraucht sein, schaut Sie denn Code genau an. Meistens ist der so hinterlegt:
eval(base64_decode(‚KHKSHHDkdd……
Vorsichtsmaßnahmen vornehmen
Nach dem ich den Code entfernt habe, habe ich noch weitere Vorsichtsmaßnahmen vorgenommen.
1. FTP Passwort geändert
2. Administrator Passwort geändert
3. Habe den Standardordner der Administration Menü geändert. In der Datei includes/config.php habe ich die neuen Ordner eingegeben:
$config['Misc']['admincpdir'] = 'neuordnercp';
$config['Misc']['modcpdir'] = 'neuordnermo;
4. Das Ganze habe ich auch mit Passwort geschützt, mit Hilfe der .htaccess. Hier ein .htaccess online Generator. Wenn Sie sichere Passwörter erstellen möchten, benutzt Sie unseren Passwort Generator.
5. In der php.ini habe ich noch folgendes eingefügt:
register_globals = 0
6. Dann öffnet Sie die vbseo.php und fügen oben folgenden Code nach <? ein:
if (strpos($_SERVER["QUERY_STRING"],'%00')) die;
7. Vergibt Sie noch die Schreibrechte 444 der Datei: vbseo/resources/xml/config.xml
8. In der Datei vbseo/functions_vbseo_hook.php ändert Sie von:
vbseo_ping_proc($vbseo_ref, $_GET['vbseourl'] ? $vbulletin->options['bburl'].'/'.$_GET['vbseourl']
In:
vbseo_ping_proc($vbseo_ref, $_GET['vbseourl'] ?
$vbulletin->options['bburl'].'/'.preg_replace('#[x00-x1F]#', '', $_GET['vbseourl']) :
9. Öffnet Sie die misc.php und fügen Sie oben folgenden Code nach <? ein:
if($_GET['g']=='js') die;
Die hier Angebote Lösung hat mir geholfen und ich kann nicht garantieren das es bei Ihnen auch funktioniert. Die Anleitung hier ist meine Erfahrung. Bitte machen Sie vor jeder Änderung eine Sicherung, Datei/Datenbank. Ich übernehme keine Verantwortung.
Die Forum-Software vBulletin ist eine der sicherste auf dem Markt und regelmäßig erscheinen neue Sicherheitsupdates. Das Problem bei mir war die Erweiterung VBSEO das alle Besucher von einer Suchmaschine Google, Yahoo, Bing nach myfilestore.com weitergeleitet worden sind. Ich wollte hier auf windowspower.de eine Anleitung anbieten und allen helfen soll, die betroffen sind. Ich habe einen ganzen Tag damit verbracht den Hack zu finden, hiermit sollte es schneller gehen. Ich würde mich freuen, wenn Sie hier Ihre Erfahrung posten.
