ABAKUS

Ah, da hat sich was überschnitten.

War bei uns auf allen Siten - statisch und dynamisch. Und sogar in .gifs, .ini - und was weiß ich.

Muss mal überlegen, wo das damals publik gemacht wurde.

Sind´s statische oder dynamische Seiten?

Danke für die antworten.

Es ist eine Typo3 Seite. Die Links befinden sich in versteckten divs.

Ok, da gibt es Infos in typo3.net
Bei uns kamen die auch über Typo3 rein. Eine Extension war unsicher (macina_banners) > https://www.typo3.net/forum/list/list_p ... #pid237510

Schlechte Nachricht: nach sechs Wochen hirnen und versuchen haben wir uns der (damals verbreiteten) Meinung angeschlossen - und alles neu gemacht.

Neuer Server, den alten vom Netz genommen, mit zwei Rechnern und unterschiedlichen .hosts-Einstellungen und dem Programm Synergy zum kopieren von Texten von vernetzten Rechnern (bzw deren Bildschirmen) alle Inhalte von Hand kopiert.

Allerdings hat sich der Fiesling auf allen (auch nicht Typo3-Seiten) auf dem Server breit gemacht! Und - wir gesagt - in allen möglichen Dateien. Und sogar im Backend vom Typo3.

das hört sich nicht gut an. Gibts sonst noch Möglichkeiten?

solche sachen werden mit "weichen" erstellt.

geht per javascript oder in kombination mit dem server (php, usw).

funktioniert über das auslesen von parametern per http get.
kannst du den browser z.b, abfragen und den user auf eine optmierte seite schicken per redirect.

die methode ist aber mit vorsicht zu geniessen. google mag das nicht so.

bennos

ok, danke.

Wie bring ich die Suche wieder weg? Wie gesagt, die Link sind auf mehreren Hundert Seiten drauf.

Kann man nach so einem Angriff das System überhaupt wieder ganz sicher kriegen? Wenn nein, welche Alternativen bleiben mir?

Hehehe....net schlecht gemacht. Hat hat einer deine Seiten gehacked und nicht nur Links eingebaut, sondern kombiniert das ganze noch schön mit Cloaking.

Doch wahrscheinlich ist die Lösung einfacher, als du denkst.

Der Hacker hat sicherlich nicht 100te von deinen Seiten bearbeitet, sondern wahrscheinlich nur eine Seite, die auf allen anderen Seiten includiert wird. Das ist erheblich weniger Zeitaufwändig.

Du könntest also einfach mal per FTP auf deinen Server gehen, und dir die Änderungsdaten der seiten ansehen. Oder du ziehst die ganzen Dateien vom Server mal runter und lässt deinen PHP-Editor nach den Links suchen.

Vermutlich ist dein problem mit recht wenig Zeit gelöst.

Allerdings solltest du deine Logfiles mal scharf kontrollieren. Irgendwie muss der ja Zugriff bekommen haben.

ole1210 hat geschrieben:Du könntest also einfach mal per FTP auf deinen Server gehen, und dir die Änderungsdaten der seiten ansehen. Oder du ziehst die ganzen Dateien vom Server mal runter und lässt deinen PHP-Editor nach den Links suchen.

Genau, und das selbe mit der mysql-Datenbank machen - per Export auf den Lokalen Rechner und mit einen Editor nach markanten Stichwörtern suchen, dort hatte ich auch schon mal so eine solch eklige Injektion.

ole1210 hat geschrieben:Hehehe....net schlecht gemacht. Hat hat einer deine Seiten gehacked und nicht nur Links eingebaut, sondern kombiniert das ganze noch schön mit Cloaking.

Und genau das würde mich brennend interessieren wie die das mit dem Cloaking hingekriegt haben? in der htaccess finde ich nichts.

GreenHorn hat geschrieben: Genau, und das selbe mit der mysql-Datenbank machen - per Export auf den Lokalen Rechner und mit einen Editor nach markanten Stichwörtern suchen, dort hatte ich auch schon mal so eine solch eklige Injektion.

ok, aber wenn ich in der DB nichts finde, heist das ja noch lange nicht es keine links gibt, oder?

Hast Du die macina_banners in Benutzung? Wenn ja, erst mal auf die neueste Version updaten! Die ist sicher.

Da die ganze Säuberung einige Zeit in Anspruch nehmen wird, wie sollen wir uns verhalten?

Sollen wir den Googlebot ausschließen bis unser System wieder 100% sicher ist und alle versteckten Links entfernt sind um keine Entfernung aus dem index zu riskieren?

Am 11. März hast du dein problem gepostet und am 17. März fragst du nach, was du tun sollst?

Deine Ruhe möchtre ich haben. Die Links könnten schon lange weg sein. Das ist ne Aktion von wenigen Stunden.

Gruß

Ole

PS.: Würdest du tägliche Backups der DB und der dateien machen, so wäre es eine Sache von Minuten, bis alles wieder sauber ist.