RSS-Feed

Interne News

Malware-Meldung beim phpBB-Forum

| geschrieben von Dr. Sooom
Gestern um 8:02 Uhr erhielt ich von Google eine E-Mail mit dem Betreff "Malware notification regarding danielmayr.at". An dieser Stelle darf ich sofort Entwarnung für alle Webseiten, die sich nicht im Verzeichnis "/forum" befinden, aussprechen, da diese Malware-Meldung ausschließlich das phpBB-Forum betrifft. Kurz nach Kenntnisnahme dieser E-Mail habe ich um 10:15 Uhr aus Analyse-Gründen ein vollständiges Backup meiner Website angefertigt, auch wenn dieses kompromittiert ist.

Um 10:20 Uhr wurde dann das Verzeichnis "/forum/cache" vollständig gelöscht und die Dateien ".htaccess" und "index.htm" neu hochgeladen. Zur Sicherheit wurde auch noch die Datei ".htaccess" für das Verzeichnis "/forum" erneut hochgeladen, auch wenn beide ".htaccess"-Dateien nicht manipuliert wurden. Ebenfalls zur Sicherheit habe ich dann noch via den Admin-Bereich des phpBB-Forums den Cache löschen lassen. Diese Aktion erfolgte allerdings mittels des Internet Explorer 9, da mir im Mozilla Firefox 3.6.16 die folgende Warnmeldung angezeigt wurde:

Bild

Zu dieser Warnmeldung kam es, da "danielmayr.at/forum" auf die Liste attackierender Websites gesetzt wurde. Da ich die kompromittierte Foren-Seiten selber nie zu Gesicht bekam, kann ich mich nur auf die Angaben von Google verlassen, da ich die Backup-Dateien des Verzeichnisses "/forum/cache" nicht sichten werde, da zu anstrengend. Demnach dürften zwei I-Frames tschechischer Herkunft für diese Malware-Meldung verantwortlich gewesen sein. Weitere Informationen hierzu könnt ihr voraussichtlich bis Sonntag, dem 17. Juli 2011, auf dieser Google-Diagnoseseite abrufen.

Basierend auf die Foren-Cache-Dateien im Backup gehe ich davon aus, dass die Kompromittierung des phpBB-Forums Gestern zwischen 2:03 Uhr und 8:02 Uhr stattfand. Da nun das phpBB-Forum nach der Cache-Leerung wieder ordnungsgemäß funktionierte, galt es nun von jener o.g. Liste wieder entfernt zu werden. Infolgedessen wurde heute um 9.40 Uhr ein Antrag auf erneute Überprüfung mittels der Google Webmaster-Tools initialisiert und um 16:40 Uhr spätestens gab’s auch wieder grünes Licht für das phpBB-Forum.

Ich bitte daher diesen Vorfall und die dadurch entstandenen Unannehmlichkeiten zu entschuldigen.