Startseite / Anleitungen / Vbulletin Forum: Weiterleitung an myfilestore.com filestore72.info Umleitung von Google beheben

Vbulletin Forum: Weiterleitung an myfilestore.com filestore72.info Umleitung von Google beheben

vbulletin-hack

Aus aktuellem Anlass, möchte ich hier eine Lösung anbieten, wenn ein vBulletin Forum gehackt worden ist. Es geht darum das die Besucher die von einer Suchmaschinen kommen sollten, auf andere Malware verseuchte Webseiten weitergeleitet werden. Obwohl der Hack mehrere Jahre alt ist, sind die Hacker immer noch damit aktiv.

Weiterleitung an myfilestore.com, filestore72.info, url123.info beheben

Ich betreibe neben windowspower.de unter anderem noch ein Forum mit vBullein Forum-Software Firefox-forum.com. Im letzten Monat ist mir aufgefallen das die Besucherzahl auf einmal gesunken ist. Im ersten Moment konnte ich mir das gar nicht erklären. Das Forum ist immer erreichbar und sonst konnte ich auch keine Auffälligkeiten sehen.

Nachdem ich recherchiert habe, habe ich gemerkt, das Forum ist gehackt worden. Es wurde eine Weiterleitung eingebaut.

Es ist mir nicht sofort aufgefallen, weil dieses Hack mit Cookies arbeitet. Das bedeutet, wenn ich das Forum vorher schon besucht habe, ist ein Cookie gesetzt worden und das Forum war erreichbar. Wenn neue Besucher von einer Suchmaschine (Google, Yahoo, Bing) ins Forum kommen wollten, sind die automatisch weitergeleitet worden auf myfilestore.com. Die Schwachstelle ist das Ad on vBseo. Der wird seit ein paar Jahren nicht mehr weiterentwickelt, aber viele Forum Besitzer benutzen das noch. So wie ich auch. Einige berichten, das  eine Weiterleitung in folgende Webseiten folgt:

  • myfilestore.com
  • filestore72.info
  • file2store.info
  • url2short.info
  • filestore123.info
  • url123.info
  • dollarade.com
  • filestore321.com

vBullein Forum auf Weiterleitung prüfen
Wenn Sie ihr Forum auf eine Weiterleitung prüfen möchten, machen Sie folgendes:

Löschen Sie bitte alle Cookies und öffnen Sie diesen Link bei Google (den Link mit Ihrem Forum-Link anpassen):
site:eure-forum-link.com

site
Oder ein Suchbegriff aus Ihrem Forum das bei Google, yahoo, bing aufgelistet ist.

Testen Sie bitte das Ganze mit mehreren Browsern. Wichtig dabei ist, dass Sie nach jedem Besuch auf das Forum die Cookies löschen.
Wenn das Forum erreichbar ist dann ich alles ok. Sollten Sie auf eine der Seiten weitergeleitet worden sein, dann ist das Forum gehackt worden.

Weiterleitung an myfilestore.com Hack entfernen

Die Hacker benutzen eine Schwachstelle der Add-ons VBSEO. Damit ist es gelungen, denn Code auf der Datenbank zu platzieren. Ich habe mich auf die Suche gemacht, um zu finden wo der Code auf der Datenbank Tabelle geschrieben worden ist. Der Code ist verschlüsselt und alle Bemühungen nach myfilestore.com zu suchen war erfolglos. Ich habe folgendes gemacht:

Ich  habe die Mysql Datenbank durchsucht und bin fündig geworden. Habe die Tabellen nach VBSEO_ENABLED durchsucht.

vbseo_enabled

In der Tabelle vb_datastore genau in der forumdisplay_start war der Code versteckt.

vb_datastore

forumdisplay_start

 

Der Code kann auch an einer anderen Stelle der Datenbank platziert worden sein. So sieht der Code aus:

myfilestore.com Hack hack

Der Code kann auch bei vbseo_complete_sec untergebraucht sein, schaut Sie denn Code genau an. Meistens ist der so hinterlegt:
eval(base64_decode(‚KHKSHHDkdd……

Vorsichtsmaßnahmen vornehmen

Nach dem ich den Code entfernt habe, habe ich noch weitere Vorsichtsmaßnahmen vorgenommen.
1. FTP Passwort geändert
2. Administrator Passwort geändert

3. Habe den Standardordner der Administration Menü geändert. In der Datei includes/config.php habe ich die neuen Ordner eingegeben:

$config['Misc']['admincpdir'] = 'neuordnercp';
$config['Misc']['modcpdir'] = 'neuordnermo;


4
. Das Ganze habe ich auch mit Passwort geschützt, mit Hilfe der .htaccess. Hier ein .htaccess online Generator. Wenn Sie sichere Passwörter erstellen möchten, benutzt Sie unseren Passwort Generator.


5.
In der php.ini habe ich noch folgendes eingefügt:
register_globals = 0


6.
Dann öffnet Sie die vbseo.php und fügen oben folgenden Code nach <? ein:
if (strpos($_SERVER["QUERY_STRING"],'%00')) die;


7.
 Vergibt Sie noch die Schreibrechte 444 der Datei: vbseo/resources/xml/config.xml


8.
In der Datei vbseo/functions_vbseo_hook.php ändert Sie von:

vbseo_ping_proc($vbseo_ref, $_GET['vbseourl'] ? $vbulletin->options['bburl'].'/'.$_GET['vbseourl']

In:
vbseo_ping_proc($vbseo_ref, $_GET['vbseourl'] ?
$vbulletin->options['bburl'].'/'.preg_replace('#[\x00-\x1F]#', '', $_GET['vbseourl']) :

 

9. Öffnet Sie die misc.php und fügen Sie oben folgenden Code nach <? ein:

if($_GET['g']=='js') die;

 

Achtung: Eine Deaktivierung oder löschen von vBSEO löscht das Problem nicht.
Ich möchte an diese Stelle erwähnen, dass ich kein Programmierer und kein Sicherheits Experte bin.

Die hier Angebote Lösung hat mir geholfen und ich kann nicht garantieren das es bei Ihnen auch funktioniert. Die Anleitung hier ist meine Erfahrung. Bitte machen Sie vor jeder Änderung eine Sicherung, Datei/Datenbank. Ich übernehme keine Verantwortung.

Die Forum-Software vBulletin ist eine der sicherste auf dem Markt und regelmäßig erscheinen neue Sicherheitsupdates. Das Problem bei mir war die Erweiterung VBSEO das alle Besucher von einer Suchmaschine Google, Yahoo, Bing  nach myfilestore.com weitergeleitet worden sind. Ich wollte hier auf windowspower.de eine Anleitung anbieten und allen helfen soll, die betroffen sind. Ich habe einen ganzen Tag damit verbracht den Hack zu finden, hiermit sollte es schneller gehen. Ich würde mich freuen, wenn Sie hier Ihre Erfahrung posten.

Bestseller Nr. 1
Microsoft Windows 10 Pro 64bit
531 Bewertungen
Microsoft Windows 10 Pro 64bit
  • Persönliche Assistentin - die Bedienung von Windows 10 PCs und Tablets noch einfacher
  • Neuer Webbrowser - erleichtert Suchen, Lesen und Teilen von Informationen
  • Windows 10 wird neue universelle Anwendungen bereitstellen - Fotos, Videos, Musik, Karten, Kontakte uvm.
  • Lieferumfang: Microsoft Windows 10 Pro 64-Bit OEM Betriebssystem (Vollversion, 1 Lizenz)

Über den Autor Vangelis

Ich bin Vangelis, der Inhaber und Administrator von windowspower.de Ich bin begeisterter Windows-Fan und habe die letzten Jahre zusammen mit meinem Team windowspower.de aufgebaut.Stetig arbeiten wir daran Lösungsvorschläge für alle möglichen Windows-Probleme zu bieten.Ich freue mich sehr, wenn Euch unsere Tipps und Tricks auf windowspower.de helfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.