Wurde der Server gehackt ?

Beitrag von **Garfield** » 18.03.2005, 11:28

Hallo,

ich hätte da mal ne wichtige Frage :

Bitte schaut mal auf www.pferde-flohmarkt.de - es wird standardmäßig die Seite "index.php" geöffnet, bei allen Seiten, die auf dem gleichen Server liegen und index.php heißen, erscheint jetzt eine Werbung für "Compare Creditcards".

Wurde der Server gehackt ???

Auf den Webspace komm ich auch nicht mehr !

Danke für Antworten !

von **Anzeige von ABAKUS** »

Beitrag von **Garfield** » 18.03.2005, 11:29

Fehlermeldung beim Connecten zum Server, falls es was hilft :

Code: Alles auswählen

500 OOPS&#58; failed to open xferlog log file&#58;/var/log/xferlog
! unknown open message "500 OOPS&#58; failed to open xferlog log file&#58;/var/log/xferlog"500

Beitrag von **mario** » 18.03.2005, 11:40

@Garfield

https://www.pferde-flohmarkt.de/index.html funzt

arbeitest Du mit AWstats?

von **Anzeige von ABAKUS** »

Beitrag von **Garfield** » 18.03.2005, 11:48

Nein, ich nicht, aber der Serverbetreiber, soweit ich weiß. Der achtet aber immer drauf, sofort aktuellste Bugfixes zu machen.

Möglicherweise eine neue Lücke irgendwo ?

Mist aber auch

Beitrag von **Garfield** » 18.03.2005, 12:03

Da ich CrackerTracker installiert habe, hab ich einen Logeintrag :

1110650829 120305 200.97.21.3 /ftopic932.html&highlight=%2527%252esystem(chr(105)%252echr(100)%252echr(59))%252e%2527

200.97.21.3 dürfte die IP sein, über die gehackt wurde !

EDIT:
Das war aber scheinbar schon ein Hackingversuch am 12.03.2005, sehe ich das richtig ?

Sollte man Strafanzeige erstatten ?

Beitrag von **mario** » 18.03.2005, 12:12

die Zeit wendest Du besser auf, um ein mögliches Loch zu stopfen. Hattest Du vorher denn überhaupt eine index.php?

Beitrag von **Garfield** » 18.03.2005, 12:15

Ja, ich hatte eine index.php.

Ich habe vier verschiedene Domains und Seiten auf diesem Server, außerdem Zugriff auf ein paar weitere Sites, die ich (meist in php) gebastelt hab.

Alles, was index.php, und wie ich jetzt gesehen hab, auch index.html hat, ist gehackt worden.

Das geschah definitiv heute morgen 09.12 Uhr. Alle Dateien weisen dieses Änderungsdatum aus.

Und es waren auch zwei Verzeichnisse betroffen, die garantiert von nirgends aus verlinkt sind, weil ganz neugestaltet und nur mir bekannt.

Beitrag von **Jörg** » 18.03.2005, 12:16

Garfield hat geschrieben:Bitte schaut mal auf www.pferde-flohmarkt.de - es wird standardmäßig die Seite "index.php" geöffnet, bei allen Seiten, die auf dem gleichen Server liegen und index.php heißen, erscheint jetzt eine Werbung für "Compare Creditcards".

wo erscheint diese Werbung, ich seh nur die Pferde-Flohmarktseite

Beitrag von **Garfield** » 18.03.2005, 12:20

Ich hab schon alles gerichtet, ich stelle gleich mal einen Screenshot online.

Hier der Code der Seite, die erschien :

Code: Alles auswählen

<html><head><title>CJB.NET&#58; Free Web Hosting, Free Domains, Free Forums, Free Blogs</title><meta name="description" content="Free Web Hosting, Free Domains, Free Forums, Free Blogs"><meta name="keywords" content="free web hosting, free domains, free forums, free blogs"></head><body alink="#000066" bgcolor="#eeeeee" link="#000066" text="#333333" vlink="#000066"><center><table bgcolor="#000000" cellpadding="0" cellspacing="1"><td align="center" bgcolor="#ffffff" width="728"><table cellpadding="0" cellspacing="0" height="60" width="728"><td align="left" height="60" width="128"><a href="http&#58;//www.cjb.net/"><img alt="CJB.NET" border="0" height="60" src="http&#58;//www.cjb.net/logo.gif" width="128"></a></td><td align="center" height="60" width="132"><font face="arial" size="1">Free Web Hosting<br>Free Domains<br>Free Forums<br>Free Blogs</font></td><td align="right" height="60" width="468"><a href="http&#58;//www.tera-byte.com/"><img alt="Tera-Byte" border="0" height="60" src="http&#58;//www.cjb.net/tera-byte.gif" width="468"></a></td></table></td><tr><td align="center" bgcolor="#ffffff" width="728"><table width="728"><td width="728"><br><center><table width="100%"><td align="center" valign="top"><font face="arial"><b>Free Web Hosting and Free URL Redirection<p><form action="http&#58;//www.cjb.net/cgi-bin/signup.cgi" method="post">www.<input maxlength="32" name="username">.cjb.net<p><input type="submit" value="Register it!"></form></b></font></td><td align="center" valign="top"><font face="arial"><b><a href="http&#58;//forums.cjb.net/">Get a free forum for your web site!</a><p><a href="http&#58;//blogs.cjb.net/">Create your own free blog!</a><p><a href="http&#58;//www.cjb.net/account.html">Log In</a></b></font></td></table></center><br></td></table></td><tr><td align="center" bgcolor="#ffffff" width="728"><script src="http&#58;//context5.kanoodle.com/cgi-bin/ctpub_adserv.cgi?id=81811844&site_id=81811847&format=728x90&bdcl=000000&bgcl=ffffff&tlcl=000066&ttcl=000000&ulcl=000066"></script></td></table><br><a href="http&#58;//www.comparecreditcards.us/"><img alt="Compare Credit Cards" border="0" height="60" src="http&#58;//www.cjb.net/ccc.gif" width="344"></a><br><br><font face="arial" size="1">&copy; 2005 CJB Management, Inc. All rights reserved.<br><a href="http&#58;//www.cjb.net/contact.html">Contact Us</a> | <a href="http&#58;//www.cjb.net/policies.html">Terms and Policies</a> | <a href="http&#58;//www.cjb.net/cgi-bin/whois.cgi">WHOIS Lookup</a><br><div style="visibility&#58;hidden"><a href="http&#58;//blogs.cjb.net/blogs">Blogs</a> | <a href="http&#58;//forums.cjb.net/forums">Forums</a></div></font></center></body></html>

Beitrag von **Garfield** » 18.03.2005, 12:22

Link zum Screenshot :

www.pferde-flohmarkt.de/temp/hacking-screenshot.jpg

Beitrag von **mario** » 18.03.2005, 12:47

alle index auf dem Server löschen oder ändern sieht doch sehr nach AWstats-Loch aus. Welche Awastat-Version verwendet Dein Hoster auf dem Server wo Deine Domains liegen?

Beitrag von **Jörg** » 18.03.2005, 12:52

1110650829 120305 200.97.21.3 /ftopic932.html&highlight=%2527%252esystem(chr(105)%252echr(100)%252echr(59))%252e%2527

hat wohl mehr mi phpbb zu tun als mit awstats, zu dem Query String findet man einiges bei Google:

https://www.google.de/search?hl=de&q=%2 ... uche&meta=

Beitrag von **Jörg** » 18.03.2005, 12:54

Jörg hat geschrieben:
1110650829 120305 200.97.21.3 /ftopic932.html&highlight=%2527%252esystem(chr(105)%252echr(100)%252echr(59))%252e%2527
hat wohl mehr mi phpbb zu tun als mit awstats, zu dem Query String findet man einiges bei Google:

https://www.google.de/search?hl=de&q=%2 ... uche&meta=

Edit:

die URL kopieren und direkt in den Browser eingeben, die outbound.pl hier ist wohl geschützt geegn den Query String

Beitrag von **Garfield** » 18.03.2005, 13:00

Der wurde ja aber von CrackerTracker (ist so'n Schutz-Mod) von seinem Tun abgehalten.

Also doch eher AWStats. Welche Version, weiß ich leider nicht.

Beitrag von **mario** » 18.03.2005, 13:14

@ Jörg

auch hier ist dieser Referer im Zusammenhang mit AWStats erwähnt... https://www.google.de/search?q=%26highl ... 252esystem(chr(105)%25252echr(100)%25252echr(59))%25252e%252527&hl=de&lr=&c2coff=1&start=10&sa=N

https://www.martinmurray.co.uk/stats/awstats122004.txt