ABAKUS

Vermutlich Sicherheitslücke in einem CMS. Aber ohne genauere Angaben kann man hier nicht helfen.

Ach, wie dumm. Die Domain darf ich leider nicht rausgeben

Weiß vielleicht jemand, ob man hinsichtlich Malware was bei WMT einstellen kann? Dann würd ich das mal auf der Seite integrieren.

Mahoney, du hattest wohl recht. Wir haben in der index datei einen komischen Abschnitt gefunden. Da hat wohl wirklich einer was eingeschleust. Hoffe, wenn wir den Teil rausnehmen, dass damit das Problem behoben ist.

ich vermute stark das Dateien mit Schadcode infiziert sind. Da hilft nur die entsprechenden Dateien mit den Originalen ersetzen.

Datenbank regelmäßig sichern sollte selbstverständlich sein

eventuell noch FTP Passwörter ändern, da man nicht weiß wie der Angreifer die Dateien beschädigt hat

Und was noch ganz wichtig ist , CMS immer auf den neusten Stand halten. Es gibt immer mal wieder Sicherheitslücken in allen möglichen CMS z.B. Foren, Blogs, etc..

Guter Tipp @holgi74, das werden wir gleich mal umsetzen. Zumindest das Passwort für den FTP Zugang Alles andere dann nach und nach. Mich würds auch mal interessieren, wie die Seite infiziert werden konnte. Schon komisch

läuft die Seite mit wordpress und das Theme nutzt timthumb ?
dann lies diesen Beitrag mal https://blog.wpde.org/2011/08/03/sicher ... thumb.html

einige meiner Blogs waren davon betroffen

War das ein Iframe code?
Könnte ne Iframe Injection sein: https://winfuture.de/news,64627.html
Denke es wird das beste sein, alle Passwörter zu ändern und ein Backup aufzuspielen, da evtl. mehrere Dateien überschrieben wurden.

Wird zufällig Filezilla als FTP-Programm genutzt?

Als CMS wird Typo3 genutzt. Nein, so wie es aussieht, wars kein iFrame, irgendeine Windows-Datei, oder so. Hmm, ich weiß gar nicht welches FTP-Programm mein Bekannter nutzt, da muss ich ihn gleich mal fragen.

Danke schonmal für die vielen Tipps!

Ich hatte sowas vor ein paar Tagen auch. Der Hacker hat jede Nacht überall iFrames neu reingehängt, ich habe sie jeden morgen wieder entfernt.

Ändern der Passworte brachte nichts, die Lücke finden? - naja: Heuhaufen.

Also: Upgrade des CMS, dabei auch die ganzen PlugIns neu, tw gabs keine kompatiblen mehr. jQuery neu... War ziemlich viel Arbeit und einiges läuft immer noch nicht wie vorher.
Vor allem um die älteren Bildergalerien habe ich einen Bogen gemacht; alles womit man was uploaden kann.

Immerhin ist jetzt ruhe.. (hoffentlich)

Der Hacker hat jede Nacht überall iFrames neu reingehängt

Nicht zufällig am 07.03. um 19:50?

Das Problem basiert auf Filezilla! Über z.B. unsichere PHP Formulare kann Schadcode injiziert werden, der dann über Filezilla auf ALLE gespeicherten Daten in Filezilla zugreifen kann. Filezilla speichert die Passwörter nämlich in einer unsicheren offenen XML Datei.

Meine Empfehlung:
Dringend Filezilla entfernen und ein sicheres FTP Programm benutzen, ALLE Domains, die jemals über Filezilla Zugriff hatte kontrollieren, da nicht nur CMS betroffen sind. ALLE Passwörter ändern und sichere PW erstellen (KeePass ist ausreichend).

@Lika: Wir wissen was "Website eines Bekannten" heißt Er (oder du) soll wirklich alle über Filezilla erreichbaren Websites testen. Ich gehe jede Wette ein, dass alle betroffen sind.

Filezilla speichert die Passwörter nämlich in einer unsicheren offenen XML Datei.

Ja, aber dazu musst du dir erst mal einen Trojaner einfangen - der sich dann auch für Filezilla interessiert. Da hast du dann sowieso ein gröberes Problem.

In meinem Fall könnte das so gewesen sein (der Kunde benutzt Filezilla UND er hatte einen Trojaner), könnte auch ein älteres PagePeel-Script (mit Upload) gewesen sein, das ich 5 Tage vorher aktiviert habe, oder die harmlose kleine Ajax-Suchfunktion, die ALLES entgegennimmt, oder.. oder...

Müßig, da zu suchen; der Kerl hat sich sicher 3 Hintertürchen eingebaut und braucht nur mehr irgendein Script, das 10000e Websites rundum überprüft, ob noch alles da ist und ggf erneuert. EIne davon eben meine

Der Provider hat _gerne_ einen frischen Webspace + Datenbank hergerichtet, ich hab das CMS völlig neu aufgesetzt und nur die Bilder (vorher alle gesichtet) mitgenommen.
Von der DB gabs ein relativ frisches Backup.
2-3 Tage Arbeit - unbezahlt, sowas verrechnet man nicht gerne; hat wohl jeder ein bisschen Schuld.

So Filezilla ist für mich gestorben. Da nutzt ich doch nun lieber was seriöseres.

@todo: schön wärs wenn das meine Seite wäre, hätte ich ziemlich viel Geld Nein, im Ernst. Wenn es meine Seite wäre, dann würde ich den Link mitgeben.

Vielen lieben Dank an euch alle für die vielen Tipps.

Wenn du davon ausgehst, dass Filezilla schuld ist, dann bedeutet das zwangsläufig auch, dass du nach dem Trojaner auf der Kiste suchen musst. Sonst wird das nix.