ABAKUS

Verfasst: **18.03.2005, 11:28**

Hallo,

ich hätte da mal ne wichtige Frage :

Bitte schaut mal auf www.pferde-flohmarkt.de - es wird standardmäßig die Seite "index.php" geöffnet, bei allen Seiten, die auf dem gleichen Server liegen und index.php heißen, erscheint jetzt eine Werbung für "Compare Creditcards".

Wurde der Server gehackt ???

Auf den Webspace komm ich auch nicht mehr !

Danke für Antworten !

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Verfasst: **18.03.2005, 11:29**

Fehlermeldung beim Connecten zum Server, falls es was hilft :

Code: Alles auswählen

500 OOPS&#58; failed to open xferlog log file&#58;/var/log/xferlog
! unknown open message "500 OOPS&#58; failed to open xferlog log file&#58;/var/log/xferlog"500

Verfasst: **18.03.2005, 11:40**

@Garfield

https://www.pferde-flohmarkt.de/index.html funzt

arbeitest Du mit AWstats?

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Verfasst: **18.03.2005, 11:48**

Nein, ich nicht, aber der Serverbetreiber, soweit ich weiß. Der achtet aber immer drauf, sofort aktuellste Bugfixes zu machen.

Möglicherweise eine neue Lücke irgendwo ?

Mist aber auch

Verfasst: **18.03.2005, 12:03**

Da ich CrackerTracker installiert habe, hab ich einen Logeintrag :

1110650829 120305 200.97.21.3 /ftopic932.html&highlight=%2527%252esystem(chr(105)%252echr(100)%252echr(59))%252e%2527

200.97.21.3 dürfte die IP sein, über die gehackt wurde !

EDIT:
Das war aber scheinbar schon ein Hackingversuch am 12.03.2005, sehe ich das richtig ?

Sollte man Strafanzeige erstatten ?

Verfasst: **18.03.2005, 12:12**

die Zeit wendest Du besser auf, um ein mögliches Loch zu stopfen. Hattest Du vorher denn überhaupt eine index.php?

Verfasst: **18.03.2005, 12:15**

Ja, ich hatte eine index.php.

Ich habe vier verschiedene Domains und Seiten auf diesem Server, außerdem Zugriff auf ein paar weitere Sites, die ich (meist in php) gebastelt hab.

Alles, was index.php, und wie ich jetzt gesehen hab, auch index.html hat, ist gehackt worden.

Das geschah definitiv heute morgen 09.12 Uhr. Alle Dateien weisen dieses Änderungsdatum aus.

Und es waren auch zwei Verzeichnisse betroffen, die garantiert von nirgends aus verlinkt sind, weil ganz neugestaltet und nur mir bekannt.

Verfasst: **18.03.2005, 12:16**

Garfield hat geschrieben:Bitte schaut mal auf www.pferde-flohmarkt.de - es wird standardmäßig die Seite "index.php" geöffnet, bei allen Seiten, die auf dem gleichen Server liegen und index.php heißen, erscheint jetzt eine Werbung für "Compare Creditcards".

wo erscheint diese Werbung, ich seh nur die Pferde-Flohmarktseite

Verfasst: **18.03.2005, 12:20**

Ich hab schon alles gerichtet, ich stelle gleich mal einen Screenshot online.

Hier der Code der Seite, die erschien :

Code: Alles auswählen

<html><head><title>CJB.NET&#58; Free Web Hosting, Free Domains, Free Forums, Free Blogs</title><meta name="description" content="Free Web Hosting, Free Domains, Free Forums, Free Blogs"><meta name="keywords" content="free web hosting, free domains, free forums, free blogs"></head><body alink="#000066" bgcolor="#eeeeee" link="#000066" text="#333333" vlink="#000066"><center><table bgcolor="#000000" cellpadding="0" cellspacing="1"><td align="center" bgcolor="#ffffff" width="728"><table cellpadding="0" cellspacing="0" height="60" width="728"><td align="left" height="60" width="128"><a href="http&#58;//www.cjb.net/"><img alt="CJB.NET" border="0" height="60" src="http&#58;//www.cjb.net/logo.gif" width="128"></a></td><td align="center" height="60" width="132"><font face="arial" size="1">Free Web Hosting<br>Free Domains<br>Free Forums<br>Free Blogs</font></td><td align="right" height="60" width="468"><a href="http&#58;//www.tera-byte.com/"><img alt="Tera-Byte" border="0" height="60" src="http&#58;//www.cjb.net/tera-byte.gif" width="468"></a></td></table></td><tr><td align="center" bgcolor="#ffffff" width="728"><table width="728"><td width="728"><br><center><table width="100%"><td align="center" valign="top"><font face="arial"><b>Free Web Hosting and Free URL Redirection<p><form action="http&#58;//www.cjb.net/cgi-bin/signup.cgi" method="post">www.<input maxlength="32" name="username">.cjb.net<p><input type="submit" value="Register it!"></form></b></font></td><td align="center" valign="top"><font face="arial"><b><a href="http&#58;//forums.cjb.net/">Get a free forum for your web site!</a><p><a href="http&#58;//blogs.cjb.net/">Create your own free blog!</a><p><a href="http&#58;//www.cjb.net/account.html">Log In</a></b></font></td></table></center><br></td></table></td><tr><td align="center" bgcolor="#ffffff" width="728"><script src="http&#58;//context5.kanoodle.com/cgi-bin/ctpub_adserv.cgi?id=81811844&site_id=81811847&format=728x90&bdcl=000000&bgcl=ffffff&tlcl=000066&ttcl=000000&ulcl=000066"></script></td></table><br><a href="http&#58;//www.comparecreditcards.us/"><img alt="Compare Credit Cards" border="0" height="60" src="http&#58;//www.cjb.net/ccc.gif" width="344"></a><br><br><font face="arial" size="1">&copy; 2005 CJB Management, Inc. All rights reserved.<br><a href="http&#58;//www.cjb.net/contact.html">Contact Us</a> | <a href="http&#58;//www.cjb.net/policies.html">Terms and Policies</a> | <a href="http&#58;//www.cjb.net/cgi-bin/whois.cgi">WHOIS Lookup</a><br><div style="visibility&#58;hidden"><a href="http&#58;//blogs.cjb.net/blogs">Blogs</a> | <a href="http&#58;//forums.cjb.net/forums">Forums</a></div></font></center></body></html>

Verfasst: **18.03.2005, 12:22**

Link zum Screenshot :

www.pferde-flohmarkt.de/temp/hacking-screenshot.jpg

Verfasst: **18.03.2005, 12:47**

alle index auf dem Server löschen oder ändern sieht doch sehr nach AWstats-Loch aus. Welche Awastat-Version verwendet Dein Hoster auf dem Server wo Deine Domains liegen?

Verfasst: **18.03.2005, 12:52**

1110650829 120305 200.97.21.3 /ftopic932.html&highlight=%2527%252esystem(chr(105)%252echr(100)%252echr(59))%252e%2527

hat wohl mehr mi phpbb zu tun als mit awstats, zu dem Query String findet man einiges bei Google:

https://www.google.de/search?hl=de&q=%2 ... uche&meta=

Verfasst: **18.03.2005, 12:54**

Jörg hat geschrieben:
1110650829 120305 200.97.21.3 /ftopic932.html&highlight=%2527%252esystem(chr(105)%252echr(100)%252echr(59))%252e%2527
hat wohl mehr mi phpbb zu tun als mit awstats, zu dem Query String findet man einiges bei Google:

https://www.google.de/search?hl=de&q=%2 ... uche&meta=

Edit:

die URL kopieren und direkt in den Browser eingeben, die outbound.pl hier ist wohl geschützt geegn den Query String

Verfasst: **18.03.2005, 13:00**

Der wurde ja aber von CrackerTracker (ist so'n Schutz-Mod) von seinem Tun abgehalten.

Also doch eher AWStats. Welche Version, weiß ich leider nicht.

Verfasst: **18.03.2005, 13:14**

@ Jörg

auch hier ist dieser Referer im Zusammenhang mit AWStats erwähnt... https://www.google.de/search?q=%26highl ... 252esystem(chr(105)%25252echr(100)%25252echr(59))%25252e%252527&hl=de&lr=&c2coff=1&start=10&sa=N

https://www.martinmurray.co.uk/stats/awstats122004.txt

ABAKUS

Wurde der Server gehackt ?

Wurde der Server gehackt ?

Wurde der Server gehackt ?

Wurde der Server gehackt ?

Wurde der Server gehackt ?

Wurde der Server gehackt ?

Wurde der Server gehackt ?

Wurde der Server gehackt ?

Re: Wurde der Server gehackt ?

Wurde der Server gehackt ?

Wurde der Server gehackt ?

Wurde der Server gehackt ?

Re: Wurde der Server gehackt ?

Re: Wurde der Server gehackt ?

Wurde der Server gehackt ?

Wurde der Server gehackt ?