High erstmal, ich benutze das Ilch Script schon etwas länger für nennen wir es mal interne Community für Freunde damit man sich nicht aus den Augen verliert und ich bin eigentlich sehr zufrieden mit Ilch.
Heute ist es zu einem Vorfall gekommen der mich äußerst stutzig macht, einzelne Seiten des Ilch Scriptes auf meinem Server wurden verändert, besser gesagt es wurde EINE Zeile im Quellcode auf den betroffenen Seiten ergänzt.
<iframe> verlinkung auf eine andere Seite <hidden></iframe>
Durch diese Veränderung im Script wurde während meine Seite geöffnet wurde eine Verbindung zu der anderen Seite aufgebaut, allerdings nicht in einem neu geöffnetem Fenster sonderm im selben, jedoch ohne diese seite wirklich aufzurufen, eher wie ein Proxy der über die andere Seite meine öffnet.
Dann passiert folgendes, mein Internet Explorer [Ja ich weiss...] beansprucht immer mehr Speicher, verschiedene Prozesse öffnen sich aber der Name ist niemals gleich, x.exe, yx.exe waren zwei davon, doch die schließen sich auch sofort wieder. Der Rechner wird langsamer, alles hakt usw...
Letzendlich bleibt nur ein Not aus weil nix mehr reagiert und immer mehr Speicher beansprucht wird.
Mein Norton zeigt nichts an.
Ich habe mir dann mal von meinem Server die Index.php gezogen und angeschaut und fand den oben erwähnten Link. Ganz am Ende des Scriptes, laut smartftp wurde die Datei um 16:54 das letztemal Verändert, jedoch nicht von mir, daraufhin suchte ich den kompletten Server nach Seiten ab die heute um 16:54 verändert wurden, ich habe nicht genau gezählt aber zehn Seiten waren auf jedenfall betroffen, diesen Seiten habe ich dann die Zeile entfernt und wieder auf den Server gespielt. Das Problem war damit beseitigt.
Mit dem Firefox wurde zwar auch auf die besagte Böse Seite verlinkt, jedoch hängte sich weder der Firefox noch mein System dabei auf.
Mir geht es jetzt darum, könnt Ihr mir sagen wie zur Hölle diese Zeile in den ganzen befallenen Seiten eingefügt wurde ?
Es ist mir klar, falls jemand meine Zugangsdaten für meinen Server besitzt ist es sehr einfach diese Zeilen einfach zu adden, aber wieso sollte sich jemand diese Mühe machen für eine Seite die kaum besucht wird.
Ich habe ein sicheres PW mit Zahlen & Buchstaben in einer "ergibt keinen Sinn Reihenfolge"
also wie kommt diese zeile in die ganzen Seiten.
Ich "Idiot" habe alle "befallenen" Seiten bereinigt so das ich den Original Code der Zeile leider nicht mehr habe.
Dafür habe ich aber noch das Ziel der Verlinkung welche ich hier allerdings erst Poste wenn man mich dazu auffordert, schließlich scheint von dort das Böse Script was meinen PC in die Knie zwang zu kommen.
Kann es eine Lücke im Ilch Script geben die es irgendeinem Bösen Prog im Netz erlaubt das Script umzuschreiben ???
Kam die Veränderung vielleicht von meinem PC als ich mit meinem Admin Account um 16 Uhr News veröffentlichte, die News.php war befallen ???
Oder hat sich wirklich ein Hacker für meine kleine Seite interessiert und sich einen Spass gemacht diese zeilen zu adden um jeden der auf die seite mit dem IE zugreift eins auszuwischen ??? Finde ich ja irgendwie unlogisch, aber was da passiert ist finde ich generell äußerst seltsam.
Ich bin auf jedenfall ziemlich Baff und wäre für Info's oder Erfahrungberichte dankbar, ist sowas schonmal irgendwie vorgekommen ???
Mein Problem ist beseitigt, zumindest Vorrübergehend, sagt mal was Ihr davon haltet, falls Ihr noch mehr Infos wünscht, einfach fragen, vielleicht kann ich nochwas ergänzen.
Ein äußerst verbluffter ]RA[ verabschiedet sich und dankt für eure Aufmerksamkeit... Gute Nacht
verwendete ilchClan Version: 1.1
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Allgemein » Virus verändert Script oder was ???
| Geschlossen | ||
-
-
Di. 01.05.2007
01:44 Uhr
#2
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
so nun als erstes welche ilchversion hast du?? wenn es f oder g ist dann gibs wohl eine unentdeckte lücke im script.
wie derjenige das jetzt genau angestellt hat ist mir etwas unklar, er müsste ein eigenes script hochgeladen haben und darüber die dateien verändert haben.
wenn du nicht gard bei funpic bist dann schaue mal die serverlog am betreffenden tag an, die ip des hackers ist egal da es wahrscheinlich nicht seine ist sondern die eines proxies. aber wenn wir wissen wie er es geatn hat dann können wir das loch stopfenDiscite moniti!
www.pixelbash.de -
Die Veränderungen könnten auch noch vom Server aus kommen, sprich eine andere Seite des Servers wurde gehackt oder der Server selbst und ein Virus ändert sporadisch verschiedene php Dateien, ok recht unwahrscheinlich.
Bis Version 1.1E gab es eine Sicherheitslücke, die das beschriebene ermöglicht.
Durch deine News ist es auf jeden Fall nicht passiert.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Di. 01.05.2007
11:23 Uhr
#4
NickName gelöschter Usersoweit ich weiss gibts es zur zeit KEINEN Hack/Exploit für die aktuellen ilch-versionen - der einzige exploit, der noch existiert ist folgender:
[ exploits/shellcode ] -::DATE -::DESCRIPTION -::AUTHOR 2006-02-20 ilchClan <= 1.05g (tid) Remote SQL Injection Exploit x128
dafür kursieren zur zeit aber wieder einige "böse" dinge für den IE im netz, was sich auch mit deiner aussage decken würde, das Firefox keine probs hatte - diese werden aber durch windowsupdates (IE) gepacht
andererseits ist es eher wahrscheinlich, das dein pw geknackt wurde, da das verändern der dateien schwerlich durch nen iframe oder sonstige dinge möglich ist - auch auf einer selten besuchten seite gibts kiddies, die sich ne spaß aus solchen dingen machen! bedenke: es ist feiertag und die haben alle langeweile
in den ferien und an wochenende häufen sich solche angriffe - wir waren auch schon mehrfach betroffen! nun ist wirklich die frage, welche scriptversion du nutzt
ansonsten frag deinen hoster, ob er dir einen sicheren, firewall geschützten, server zur verfügung stellen kann - es könnte dann zwar probs mit zB ts-viewer, phgstats, manistatsreader (hatte in einer lteren version auch eine angriffsmöglichkeit geboten) oder ähnlich aufgebauten scripten kommen - dies hat aber meiner site extrem geholfen... seitdem wir auf solch einen server umgezogen sind, haben wir keine probs mehr mit diesen kiddies!!!
mfg
Zuletzt modifiziert von NickName am 01.05.2007 - 11:29:21 -
Erstmal Danke für die Antworten.
Ilch war bis eben auf der Version 1.1E die ja angeblich genau solch eine Lücke besaß, womit wahrscheinlich mein Problem identifiziert wurde.
Heute Morgen um 11:25 wurden auf jedenfall nochmals einige Seiten überschrieben und hab mal alles Dokumentiert:
<iframe src='###########' width='1' height='1' style='visibility: hidden;'></iframe>
Befallene Seiten:
01.05.2007 11:25
Main Ordner: index.php
include/admin/templates/index.htm
include/boxes/login.php
include/contents/user/login.php
include/designs/ilchClan/index.htm
include/templates/user/login.htm
Nachdem ich diese Seiten wieder von der Bösen Zeile befreit hatte, führte ich sofort die Updates 1.1E > F & 1.1F > G und hoffe nun das sich soetwas nicht nochmal wiederholt.
Ich hatte zwar die Forumsuche benutzt, jedoch nichts zu meinem Problem gefunden, wahrscheinlich die falschen "Suchbegriffe" benutzt, weshalb ich dann diesen thread gestartet habe.
Tut mir leid falls ich hier für Wirbel/Fehlalarm gesorgt habe, ich denke das problem lag dann wohl an der Sicherheitslücke in Version 1.1E die ich ja nun geschlossen habe.
Nochmals Danke für eure Antworten, sollte sich das ganze fortsetzen werde ich euch natürlich informieren.
Genießt das Wetter, peeze die RA
Zuletzt modifiziert von ]RA[ am 01.05.2007 - 17:13:08 -
Eigentlich ist die Sicherheitlücke mit 1.1E geschlossen worden, und wenn es diese war, dann muss auch in einem Verzeichnis, in das man uploads machen kann eine Datei hochgeladen worden sein, mit der man auf deine Dateien zugreifen kann, also gehe am besten mal die Verzeichnisse durch ob nicht irgendwo eine Datei ist, die da nicht hingehört, du kannst ja auch nach dem Datum schauen, damit das Suchen nicht ganz so lange dauert.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
-
Di. 01.05.2007
17:30 Uhr
#7
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
schlaue scripts löschen sich wieder von selber... deshalb unwahrscheinlich was zu finden.
aber die serverlogs wären interesannt, damit man sieht wer wo wann was geschrieben hat.
ansonsten ändere passwörter und verbeite den gästen was hochzuladen.
Mairu, wurde eigentlich in f (da würde doch das gb überarbeited) auch der fehler behoben das man bei den kommentaren javascipt ausführen kann??Discite moniti!
www.pixelbash.de -
Ja, wurde.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
-
Leider zu früh gefreut, um 19:15 wurde erneut alles umgeschrieben. Das macht echt aggressiv !!!
Das mit den Serverlogs ist so ne Sache, ich bin bei Giga Hosting und kann auf meinen Server via CPanel Version 10.9.0-RELEASE 118 zugreifen.
Dort gibt es verdammt viele Statistiken, ich werd jetzt mal suchen ob ich da irgendwas brauchbares finde.
Gäste dürfen bei mir nix hochladen und bis auf die veränderten php/htm Dateien habe ich nix gefunden was ungewöhnlich scheint bzw. nicht zum Script gehört.
Das habe ich gerade gefunden, vielleicht hilft euch das weiter, wobei die IP 84.134.214.131 meine ist:
84.134.218.47 - - [01/May/2007:18:39:48 +0200] "GET / HTTP/1.1" 200 29682
84.134.218.47 - - [01/May/2007:18:50:07 +0200] "GET / HTTP/1.1" 200 29682
84.134.218.47 - - [01/May/2007:18:50:42 +0200] "GET /admin.php?admin HTTP/1.1" 200 15612
84.134.218.47 - - [01/May/2007:18:50:52 +0200] "GET /admin.php?admin-versionsKontrolle HTTP/1.1" 200 8581
84.134.218.47 - - [01/May/2007:18:50:58 +0200] "GET /admin.php?admin HTTP/1.1" 200 15620
84.134.218.47 - - [01/May/2007:18:51:26 +0200] "GET /admin.php?user HTTP/1.1" 200 20387
84.134.218.47 - - [01/May/2007:18:51:31 +0200] "GET /admin.php?user-1-1 HTTP/1.1" 200 15011
84.134.218.47 - - [01/May/2007:18:52:12 +0200] "GET / HTTP/1.1" 200 29682
84.134.218.47 - - [01/May/2007:18:52:47 +0200] "GET /index.php?user-details-1 HTTP/1.1" 200 23897
84.134.218.47 - - [01/May/2007:18:52:54 +0200] "GET /include/images/flags/Germany.gif HTTP/1.1" 200 953
84.134.218.47 - - [01/May/2007:18:55:33 +0200] "GET /include/designs/ilchClan/style.css HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:38 +0200] "GET /include/designs/ilchClan/img/top.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:39 +0200] "GET /include/designs/ilchClan/img/box_menu_pfeil.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:42 +0200] "GET /include/designs/ilchClan/img/logo.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:43 +0200] "GET / HTTP/1.1" 200 29682
84.134.218.47 - - [01/May/2007:18:55:43 +0200] "GET /include/designs/ilchClan/img/box_middle_bottom.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:45 +0200] "GET /include/designs/ilchClan/img/top2.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:45 +0200] "GET /include/designs/ilchClan/img/box_right_bottom.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:47 +0200] "GET /include/images/icons/offline.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:48 +0200] "GET /include/designs/ilchClan/img/contentbg.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:50 +0200] "GET /include/designs/ilchClan/img/box_left_middle.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:52 +0200] "GET /include/designs/ilchClan/img/box_left_top.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:54 +0200] "GET /include/designs/ilchClan/img/box_menu_trennlinie.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:55 +0200] "GET /include/designs/ilchClan/img/box_left_bottom.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:57 +0200] "GET /include/designs/ilchClan/img/box_middle-right_top.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:55:58 +0200] "GET /include/designs/ilchClan/img/box_mittle-right_middle.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:56:11 +0200] "GET /include/designs/ilchClan/img/footer.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:18:56:48 +0200] "GET /include/images/icons/online.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:21 +0200] "GET /include/designs/ilchClan/style.css HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:30 +0200] "GET / HTTP/1.1" 200 29682
84.134.218.47 - - [01/May/2007:19:06:31 +0200] "GET /include/images/news/Downloads.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:33 +0200] "GET /include/designs/ilchClan/img/box_menu_pfeil.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:39 +0200] "GET /include/designs/ilchClan/img/box_middle_bottom.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:41 +0200] "GET /include/designs/ilchClan/img/box_right_bottom.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:43 +0200] "GET /include/images/news/News.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:43 +0200] "GET /include/images/icons/online.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:45 +0200] "GET /include/images/icons/offline.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:45 +0200] "GET /include/designs/ilchClan/img/top.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:46 +0200] "GET /include/designs/ilchClan/img/logo.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:46 +0200] "GET /include/designs/ilchClan/img/top2.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:47 +0200] "GET /include/designs/ilchClan/img/contentbg.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:48 +0200] "GET /include/designs/ilchClan/img/box_left_middle.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:48 +0200] "GET /include/designs/ilchClan/img/box_left_top.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:49 +0200] "GET /include/designs/ilchClan/img/box_menu_trennlinie.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:51 +0200] "GET /include/designs/ilchClan/img/box_left_bottom.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:52 +0200] "GET /include/designs/ilchClan/img/box_mittle-right_middle.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:54 +0200] "GET /include/designs/ilchClan/img/footer.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:06:54 +0200] "GET /include/designs/ilchClan/img/box_middle-right_top.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:37 +0200] "GET / HTTP/1.1" 200 29682
84.134.218.47 - - [01/May/2007:19:13:37 +0200] "GET /include/designs/ilchClan/style.css HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:41 +0200] "GET /include/designs/ilchClan/img/box_menu_pfeil.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:42 +0200] "GET /include/images/news/Downloads.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:43 +0200] "GET /include/designs/ilchClan/img/top.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:43 +0200] "GET /include/images/news/News.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:44 +0200] "GET /include/designs/ilchClan/img/box_middle_bottom.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:45 +0200] "GET /include/designs/ilchClan/img/box_right_bottom.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:47 +0200] "GET /include/images/icons/offline.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:48 +0200] "GET /include/designs/ilchClan/img/logo.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:51 +0200] "GET /include/images/icons/online.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:53 +0200] "GET /include/designs/ilchClan/img/contentbg.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:55 +0200] "GET /include/designs/ilchClan/img/box_left_middle.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:55 +0200] "GET /include/designs/ilchClan/img/top2.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:56 +0200] "GET /include/designs/ilchClan/img/box_left_top.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:57 +0200] "GET /include/designs/ilchClan/img/box_menu_trennlinie.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:13:58 +0200] "GET /include/designs/ilchClan/img/box_left_bottom.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:14:00 +0200] "GET /include/designs/ilchClan/img/box_middle-right_top.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:14:02 +0200] "GET /include/designs/ilchClan/img/box_mittle-right_middle.gif HTTP/1.1" 304 -
84.134.218.47 - - [01/May/2007:19:14:03 +0200] "GET /include/designs/ilchClan/img/footer.gif HTTP/1.1" 304 -
64.233.173.85 - - [01/May/2007:19:29:40 +0200] "GET /?kalender-v0-m4-y2007 HTTP/1.1" 200 10010
84.134.214.131 - - [01/May/2007:19:52:59 +0200] "GET / HTTP/1.1" 200 29719
84.134.214.131 - - [01/May/2007:19:57:15 +0200] "GET /index.php?forum HTTP/1.1" 200 27016
84.134.214.131 - - [01/May/2007:19:57:16 +0200] "GET /include/images/forum/ord.gif HTTP/1.1" 200 198
84.134.214.131 - - [01/May/2007:19:57:16 +0200] "GET /include/images/forum/nord.gif HTTP/1.1" 200 206
84.134.214.131 - - [01/May/2007:19:57:16 +0200] "GET /include/images/forum/cord.gif HTTP/1.1" 200 211
84.134.214.131 - - [01/May/2007:20:08:51 +0200] "GET /admin.php?admin HTTP/1.1" 200 15667
84.134.214.131 - - [01/May/2007:20:09:03 +0200] "GET /admin.php?grundrechte HTTP/1.1" 200 11002
84.134.214.131 - - [01/May/2007:20:09:18 +0200] "GET /admin.php?profilefields HTTP/1.1" 200 15236
84.134.214.131 - - [01/May/2007:20:09:19 +0200] "GET /include/images/icons/pfeilu.gif HTTP/1.1" 200 66
84.134.214.131 - - [01/May/2007:20:09:19 +0200] "GET /include/images/icons/pfeilo.gif HTTP/1.1" 200 66
84.134.214.131 - - [01/May/2007:20:09:29 +0200] "GET /admin.php?user HTTP/1.1" 200 20435
84.134.214.131 - - [01/May/2007:20:09:40 +0200] "GET /include/images/icons/pfeill.gif HTTP/1.1" 200 64
84.134.214.131 - - [01/May/2007:20:09:40 +0200] "GET /include/images/icons/pfeilr.gif HTTP/1.1" 200 64
84.134.214.131 - - [01/May/2007:20:09:42 +0200] "GET /admin.php?menu HTTP/1.1" 200 34363
84.134.214.131 - - [01/May/2007:20:09:45 +0200] "GET /admin.php?allg HTTP/1.1" 200 20262
84.134.214.131 - - [01/May/2007:20:10:39 +0200] "POST /admin.php?allg HTTP/1.1" 200 8618
84.134.214.131 - - [01/May/2007:20:10:44 +0200] "GET /admin.php?allg HTTP/1.1" 200 20396
84.134.214.131 - - [01/May/2007:20:10:44 +0200] "GET /include/admin/templates/style.css HTTP/1.1" 200 1947
84.134.214.131 - - [01/May/2007:20:10:48 +0200] "GET /include/includes/js/JSCookMenu.js HTTP/1.1" 200 29759
84.134.214.131 - - [01/May/2007:20:10:48 +0200] "GET /include/admin/templates/JSCookMenu/theme.css HTTP/1.1" 200 6851
84.134.214.131 - - [01/May/2007:20:10:49 +0200] "GET /include/admin/templates/JSCookMenu/theme.js HTTP/1.1" 200 2150
84.134.214.131 - - [01/May/2007:20:10:49 +0200] "GET /include/images/icons/admin/konfiguration.png HTTP/1.1" 200 1542
84.134.214.131 - - [01/May/2007:20:10:49 +0200] "GET /include/images/icons/admin/menubar_bg.png HTTP/1.1" 200 166
84.134.214.131 - - [01/May/2007:20:10:50 +0200] "GET /include/admin/templates/JSCookMenu/blank.gif HTTP/1.1" 200 807
84.134.214.131 - - [01/May/2007:20:10:50 +0200] "GET /include/images/icons/admin/navigation.png HTTP/1.1" 200 888
84.134.214.131 - - [01/May/2007:20:10:50 +0200] "GET /include/images/icons/admin/backup.png HTTP/1.1" 200 1712
84.134.214.131 - - [01/May/2007:20:10:50 +0200] "GET /include/images/icons/admin/ranks.png HTTP/1.1" 200 2057
84.134.214.131 - - [01/May/2007:20:10:51 +0200] "GET /include/images/icons/admin/smilies.png HTTP/1.1" 200 2358
84.134.214.131 - - [01/May/2007:20:10:51 +0200] "GET /include/images/icons/admin/newsletter.png HTTP/1.1" 200 1556
84.134.214.131 - - [01/May/2007:20:10:51 +0200] "GET /include/images/icons/admin/version_check.png HTTP/1.1" 200 2196
84.134.214.131 - - [01/May/2007:20:10:51 +0200] "GET /include/images/icons/admin/stats_site.png HTTP/1.1" 200 1132
84.134.214.131 - - [01/May/2007:20:10:52 +0200] "GET /include/admin/templates/JSCookMenu/arrow.gif HTTP/1.1" 200 65
84.134.214.131 - - [01/May/2007:20:10:52 +0200] "GET /include/images/icons/admin/stats_visitor.png HTTP/1.1" 200 2019
84.134.214.131 - - [01/May/2007:20:10:52 +0200] "GET /include/images/icons/admin/stats_online.png HTTP/1.1" 200 2775
84.134.214.131 - - [01/May/2007:20:10:52 +0200] "GET /include/images/icons/admin/user.png HTTP/1.1" 200 1958
84.134.214.131 - - [01/May/2007:20:10:52 +0200] "GET /include/images/icons/admin/user_rights.png HTTP/1.1" 200 2426
84.134.214.131 - - [01/May/2007:20:10:52 +0200] "GET /include/images/icons/admin/user_profile_fields.png HTTP/1.1" 200 1955
84.134.214.131 - - [01/May/2007:20:10:53 +0200] "GET /include/images/icons/admin/user_add.png HTTP/1.1" 200 2179
84.134.214.131 - - [01/May/2007:20:10:53 +0200] "GET /include/images/icons/admin/wars_next.png HTTP/1.1" 200 2598
84.134.214.131 - - [01/May/2007:20:10:53 +0200] "GET /include/images/icons/admin/wars_last.png HTTP/1.1" 200 2700
84.134.214.131 - - [01/May/2007:20:10:53 +0200] "GET /include/images/icons/admin/teams.png HTTP/1.1" 200 2657
84.134.214.131 - - [01/May/2007:20:10:54 +0200] "GET /include/images/icons/admin/awards.png HTTP/1.1" 200 2021
84.134.214.131 - - [01/May/2007:20:10:54 +0200] "GET /include/images/icons/admin/kasse.png HTTP/1.1" 200 2081
84.134.214.131 - - [01/May/2007:20:10:55 +0200] "GET /include/images/icons/admin/rules.png HTTP/1.1" 200 1546
84.134.214.131 - - [01/May/2007:20:10:55 +0200] "GET /include/images/icons/admin/history.png HTTP/1.1" 200 2618
84.134.214.131 - - [01/May/2007:20:10:55 +0200] "GET /include/images/icons/admin/training_times.png HTTP/1.1" 200 3317
84.134.214.131 - - [01/May/2007:20:10:55 +0200] "GET /include/images/icons/admin/news.png HTTP/1.1" 200 1041
84.134.214.131 - - [01/May/2007:20:10:55 +0200] "GET /include/images/icons/admin/forum.png HTTP/1.1" 200 1560
84.134.214.131 - - [01/May/2007:20:10:55 +0200] "GET /include/images/icons/admin/downloads.png HTTP/1.1" 200 3509
84.134.214.131 - - [01/May/2007:20:10:56 +0200] "GET /include/images/icons/admin/links.png HTTP/1.1" 200 4583
84.134.214.131 - - [01/May/2007:20:10:56 +0200] "GET /include/images/icons/admin/gallery.png HTTP/1.1" 200 622
84.134.214.131 - - [01/May/2007:20:10:56 +0200] "GET /include/images/icons/admin/guestbook.png HTTP/1.1" 200 2985
84.134.214.131 - - [01/May/2007:20:10:56 +0200] "GET /include/images/icons/admin/vote.png HTTP/1.1" 200 1158
84.134.214.131 - - [01/May/2007:20:10:57 +0200] "GET /include/images/icons/admin/calendar.png HTTP/1.1" 200 1977
84.134.214.131 - - [01/May/2007:20:10:57 +0200] "GET /include/images/icons/admin/contact.png HTTP/1.1" 200 2530
84.134.214.131 - - [01/May/2007:20:10:57 +0200] "GET /include/images/icons/admin/imprint.png HTTP/1.1" 200 597
84.134.214.131 - - [01/May/2007:20:10:58 +0200] "GET /include/images/icons/admin/partners.png HTTP/1.1" 200 2116
84.134.214.131 - - [01/May/2007:20:10:58 +0200] "GET /include/images/icons/admin/picofx.png HTTP/1.1" 200 1975
Zuletzt modifiziert von ]RA[ am 01.05.2007 - 20:28:34 -
Di. 01.05.2007
20:57 Uhr
#10
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Nunja 84.134.218.47 scheint ja auch ein Admin zu sein, und mehr Zugriffe gibt es nicht.
Vielleicht doch von woanders??Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Di. 01.05.2007
21:16 Uhr
#11
- Registriert seit
- 21.01.2006
- Beiträge
- 2.659
- Beitragswertungen
hast du denn den download bereich nach php scripten oder so abgesucht?
vll löscht sich das script ja doch nit von alleine
Zitat geschrieben von loW -
Also Admin bin nur ich, aber da meine Internetverbindung sehr wackelig ist, ist es sehr wahrscheinlich das ich das auch war, außerdem kann doch jemand mit nem admin account für das Ilch Script nicht den Quellcode von einzelnen Seiten ändern, zumindest nicht von den Nicht-Selbstgebastelten Seiten, oder etwa doch ?
Es gibt noch den Eintrag
64.233.173.85 - - [01/May/2007:19:29:40 +0200] "GET /?kalender-v0-m4-y2007 HTTP/1.1" 200 10010
Lücke im Kalender ???
Und ja, hab auch den Downloadbereich abgesucht, der war und ist komplett leer.
Was meinst Du mit "vielleicht doch von woanders" ???
PW's wurden jetzt geändert, und die Anzahl der user ist sehr überschaubar, ich kenne jeden persönlich und registrierung lasse ich nicht zu.
Zuletzt modifiziert von ]RA[ am 01.05.2007 - 22:59:07 -
Di. 01.05.2007
23:02 Uhr
#13
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Nunja du sagtest 19:15 und das mit dem Kalender war erst 29?Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Stimmt schon, war auch nur ne Idee.
Ich verstehs nur nicht, hab wieder alles gelöscht und mal schauen wie lange es diesmal dauert. -
Di. 01.05.2007
23:30 Uhr
#15
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
wenn man 64.233.173.85 mal genauer snschaut findet man herraus das die ip google gehört und somit sehr wahrscheinlich ist das da mal der googlebot dein kalender angeschaut hat... nix ausergewöhnliches.
also möglichkeiten wären:
- jemand hat dein passwort für ftp gehackt
- oder jamand hat eine lücke entdeckt und sie für sich behalten... sprich es gibt kein exploid der derzeit funktioniert bei ilch 1.1 e+Discite moniti!
www.pixelbash.de -
Also Jungs, seitdem ich die Passwörter gestern abend geändert habe scheint das Problem behoben zu sein, zumindest gab es jetzt seit ca 26 Stunden keine Änderungen mehr am Script.
Hätte ich gewusst das es wirklich daran liegt hätte ich euch damit nicht belästigt, ich war einfach überzeugt das meine Passwörter recht sicher sind, Buchstaben/Zahlen/Groß/Klein Kombination ohne Sinn aber dem war wohl nicht so.
Würde mich echt mal interessieren wie jemand darauf gekommen ist oder ob er dieses irgendwie und vorallem wie ausspioniert hat.
Frage mich nur wieso jemand, wenn er mein PW hat und damit ohne Probleme die komplette Seite mit Server übernehmen könnte das nicht tut und einfach nur eine versteckte Verlinkung auf 6 Seiten integriert die einem mit dem IE auf eine Seite mit Viren schickt... fehlender Ehrgeiz ^^ aber will mich ja nicht beschweren, hatte ja anscheinend Glück.
Danke für eure Unterstützung und ich melde mich falls es doch noch irgendiwe weiter geht... allerdings erst wenn ich die PW's dann erneut geändert habe und sicher bin das es nicht daran liegt
EXTRA FETTES THX die RA -
Mi. 02.05.2007
22:58 Uhr
#17
- Registriert seit
- 03.11.2006
- Beiträge
- 2.925
- Beitragswertungen
naja, is eigentlich egal wasde eingibst, irgentwann findet es auch das behindertste BF-prog heraus, script-kiddies sind anscheinend geduldig LOL
aber gut das es nur daran lag, muss auch nicht umbeding ne Virenseite sein oder laggt dein PC jetzt noch, vll war es auch einfach nur eine mit verdammt vielen bildern(ganz normale bilder). da bricht der ie auch öfters zusammen, oder bei viel activeX-Gedöhns...ach is ja auch egal^^ -
Doch, das war ne Virenseite, oder zumindest etwas ähnliches, denn jedesmal direkt nach dem aufruf meiner Seite schmierte mein IE ab, es öffneten sich wild irgendwelche komischen Prozesse die immer mehr speicher beanspruchten, mein Norton springt an und melden mir 3-4 Warnungen über gefundene Bedrohungen die nicht behoben werden könnten. Dabei hängte sich Norton auf, PC reagiert nicht mehr und ich musste "den Stecker ziehn".
Firefox hat hier echt seine Qualitäten gezeigt, der wurde zwar auch auf die seite geschickt, aber gekratzt hat es weder den Firefox noch mein System, das Problem war nur beim IE.
Es half jedesmal nur ein reboot im abgesicherten Modus und das manuelle Löschen, wobei eine Datei so hartnäckig war und erst mit der bekannten "killbox" > lösche beim nächsten neustart erfolgreich beseitigt werden konnte.
Ich geh jetzt Feiern Gute Nacht
-
Do. 03.05.2007
08:55 Uhr
#19
- Registriert seit
- 25.03.2007
- Beiträge
- 237
- Beitragswertungen
Hallo, für solche und ähnliche geschichten die mich schon länger beschäftigt haben, weil ich auch davon betroffen war, (allerdings nicht die passwörter sondern ein hack via bug von phpmyadmin) habe ich ne DB geopfert und StatIT installiert, es beugt zwar nicht vor, aber wenn das script dediziert und dezentral läuft, also auf nem anderen server und ein bisschen php kann ist es theoretisch möglich vom angreifer 35-Proxie-Hops (je nach dem wie lange er auf der seite ist) zurückverfolgen und die gesamte kommunikation mit der DB und so weiter zu loggen.
Wollte es nur mal erwähnen -
Fr. 25.05.2007
15:48 Uhr
#20
- Registriert seit
- 17.01.2007
- Beiträge
- 3.646
- Beitragswertungen
Bei wird jetzt auch ca. alle 6 Stunden der iframe in die oben genannten Dateien eingebaut.
Ich bekomme von meinem Antivierenprogramm, beim betreten meiner website, mehere Virenmeldungen und der internetexplorer stürtzt ab und windows ich erstmal für 2min. außer Gefecht gesetzt.
Bei der ilch.de Testseite werden ja jede Stunde alle Dateien neu hochgeladen.
-----------------------------------------------
Wie kann ich das bei mir machen, dass dann automatisch jede halbe Stunde oderso die index.php durch eine neue index.php ersetzt wird?
-----------------------------------------------
Dann muss ich nicht alle paar Stunden die ganzen iframes manuell löschen. -
Fr. 25.05.2007
15:53 Uhr
#21
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Also den fehler gibst nicht nur beim ilch script da ist die vermutung recht groß das es wohl doch eine generelles php programm ist,.. bzw. irgend eine php version fehlerhaft ist,...;)
Edit: ich versuche gerade das script auszutricksen,...
Zuletzt modifiziert von SLJ am 25.05.2007 - 15:56:05 -
Fr. 25.05.2007
16:01 Uhr
#22
- Registriert seit
- 03.11.2006
- Beiträge
- 2.925
- Beitragswertungen
also, hr-gfx wurd davon auch "befallen" wir habens gelösst, indem wir das ftp-pw änderten, und die index.php ; boxes/login.php und die index.htm des designs vom schädlichen iframe befreiten, das sich der code auch im design versteckt is hier glaubich neu, vll sollte man eine liste machen...
und das jede h die index.php erneuert wird, lässt sich nur durch cronjobs lösen, aber ich hab auch nicht so eine ahnung von cronjobs
-
Fr. 25.05.2007
16:02 Uhr
#23
- Registriert seit
- 17.01.2007
- Beiträge
- 3.646
- Beitragswertungen
Wäre cool, wenns dafür ne Lösung geben würde.
--> Hab meine Seite heute mit einem älteren Computer (von der Schule aus) betreten und der hat das garnicht verkraftet. Da haben sich ziemliche viele Fehlermeldungen geöffnet und dann ist der komplett zusammengebrochen.
-
Fr. 25.05.2007
16:19 Uhr
#24
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Also ftp daten ändern hat bei mir nix geholfen,... alle dateien überschreiben auch net spätestens am nächsten tag der selbe fehler,...
-
Fr. 25.05.2007
16:23 Uhr
#25
- Registriert seit
- 17.01.2007
- Beiträge
- 3.646
- Beitragswertungen
Ich hab jetzt mal ftp-daten verändert. Mal schauen obs bei mir geht.
Aber eigetlich bringt das ja nichts. Da derjenige, der den iframe einbauen lässt das ftp-passwort ja vorher auch nicht kannte .
-
Fr. 25.05.2007
16:39 Uhr
#26
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Also da die index.php CHMOD 644 hat, kann die Änderung eigentlich nur vom System/FTP aus erfolgen.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Fr. 25.05.2007
16:42 Uhr
#27
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Also Mairu und ich testen mal einiges,... wenn wir mehr wissen geben wir bescheid,...
-
Fr. 25.05.2007
16:57 Uhr
#28
- Registriert seit
- 17.01.2007
- Beiträge
- 3.646
- Beitragswertungen
Zitat geschrieben von SLJAlso Mairu und ich testen mal einiges,... wenn wir mehr wissen geben wir bescheid,...
Das ist cool, danke an euch. -
Fr. 25.05.2007
17:04 Uhr
#29
- Registriert seit
- 18.05.2004
- Beiträge
- 15.492
- Beitragswertungen
Na ich möchte den fehler doch auch weghaben,...
-
Fr. 25.05.2007
17:09 Uhr
#30
- Registriert seit
- 17.01.2007
- Beiträge
- 3.646
- Beitragswertungen
Bauen bei externer Link auch immer iframes ein? Da kam nämich bei mir noch nie eine Virenmeldung.
| Geschlossen | ||
 |
Zurück zu Allgemein | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten