Durch Zufall bin ich über ein verseuchtes SMF-Mod gestolpert.
Das Mod war getarnt als "Lots-O-Smileys"
http://custom.simplemachines.org/mods/index.php?mod=77
Das mod-Paket bei mir war schon älter. Die aktuelle Downloadversion von der SMF-Seite ist nicht betroffen, die ist sauber. Ich kann auch nicht mehr sagen, woher das verseuchte Teil stammte...
Die enthaltene package-info.xml war so abgeändert, dass im SMF-Paketmanager das Mod korrekt angezeigt wird. Bei der Installation aber legt es im Ordner /modules/Forum/smf/Smileys anstatt der versprochenen Smileys ein root-shell (c99/r57) Script ab.
Bitte unbedingt folgende Punkte in Eurer SMF Installation prüfen:
- Ordner /modules/Forum/smf/Smileys/ prüfen ob sich dort eine toto.php befindet, oder irgendeine andere .php Datei, ausser der index.php. Falls ja, unbedingt löschen.
- Ordner /modules/Forum/smf/Packages/ prüfen ob sich dort eine c99.rar oder mit ähnlichem Namen befindet. Falls ja, unbedingt löschen.
- Paketmanager aufrufen und guggen, ob das Mod "A lot of smileys" angezeigt wird. Falls ja das zip/rar Paket öffnen und guggen ob da wirklich Smileys drin sind, oder etwas anderes...
Achtung, das root-shell Script ist sehr gefährlich!! >> handeln !!!
Daraus wachgerüttelt, empfehle ich künftig, die SMF Modifikationen nicht mehr direkt von der Downloadseite bzw. direkt über den Paketmanager zu installieren. Sondern die Datei erst auf den eigenen Rechner zu holen, mit einem aktuellen guten Virenscanner zu prüfen und dann erst per Paketmanager hochzuladen und zu installieren.
Anständige Virenscanner wie z.B. f-secure erkennen diese root-shell Scripte...