High erstmal, ich benutze das Ilch Script schon etwas länger für nennen wir es mal interne Community für Freunde damit man sich nicht aus den Augen verliert und ich bin eigentlich sehr zufrieden mit Ilch.
Heute ist es zu einem Vorfall gekommen der mich äußerst stutzig macht, einzelne Seiten des Ilch Scriptes auf meinem Server wurden verändert, besser gesagt es wurde EINE Zeile im Quellcode auf den betroffenen Seiten ergänzt.
<iframe> verlinkung auf eine andere Seite <hidden></iframe>
Durch diese Veränderung im Script wurde während meine Seite geöffnet wurde eine Verbindung zu der anderen Seite aufgebaut, allerdings nicht in einem neu geöffnetem Fenster sonderm im selben, jedoch ohne diese seite wirklich aufzurufen, eher wie ein Proxy der über die andere Seite meine öffnet.
Dann passiert folgendes, mein Internet Explorer [Ja ich weiss...] beansprucht immer mehr Speicher, verschiedene Prozesse öffnen sich aber der Name ist niemals gleich, x.exe, yx.exe waren zwei davon, doch die schließen sich auch sofort wieder. Der Rechner wird langsamer, alles hakt usw...
Letzendlich bleibt nur ein Not aus weil nix mehr reagiert und immer mehr Speicher beansprucht wird.
Mein Norton zeigt nichts an.
Ich habe mir dann mal von meinem Server die Index.php gezogen und angeschaut und fand den oben erwähnten Link. Ganz am Ende des Scriptes, laut smartftp wurde die Datei um 16:54 das letztemal Verändert, jedoch nicht von mir, daraufhin suchte ich den kompletten Server nach Seiten ab die heute um 16:54 verändert wurden, ich habe nicht genau gezählt aber zehn Seiten waren auf jedenfall betroffen, diesen Seiten habe ich dann die Zeile entfernt und wieder auf den Server gespielt. Das Problem war damit beseitigt.
Mit dem Firefox wurde zwar auch auf die besagte Böse Seite verlinkt, jedoch hängte sich weder der Firefox noch mein System dabei auf.
Mir geht es jetzt darum, könnt Ihr mir sagen wie zur Hölle diese Zeile in den ganzen befallenen Seiten eingefügt wurde ?
Es ist mir klar, falls jemand meine Zugangsdaten für meinen Server besitzt ist es sehr einfach diese Zeilen einfach zu adden, aber wieso sollte sich jemand diese Mühe machen für eine Seite die kaum besucht wird.
Ich habe ein sicheres PW mit Zahlen & Buchstaben in einer "ergibt keinen Sinn Reihenfolge"
also wie kommt diese zeile in die ganzen Seiten.
Ich "Idiot" habe alle "befallenen" Seiten bereinigt so das ich den Original Code der Zeile leider nicht mehr habe.
Dafür habe ich aber noch das Ziel der Verlinkung welche ich hier allerdings erst Poste wenn man mich dazu auffordert, schließlich scheint von dort das Böse Script was meinen PC in die Knie zwang zu kommen.
Kann es eine Lücke im Ilch Script geben die es irgendeinem Bösen Prog im Netz erlaubt das Script umzuschreiben ???
Kam die Veränderung vielleicht von meinem PC als ich mit meinem Admin Account um 16 Uhr News veröffentlichte, die News.php war befallen ???
Oder hat sich wirklich ein Hacker für meine kleine Seite interessiert und sich einen Spass gemacht diese zeilen zu adden um jeden der auf die seite mit dem IE zugreift eins auszuwischen ??? Finde ich ja irgendwie unlogisch, aber was da passiert ist finde ich generell äußerst seltsam.
Ich bin auf jedenfall ziemlich Baff und wäre für Info's oder Erfahrungberichte dankbar, ist sowas schonmal irgendwie vorgekommen ???
Mein Problem ist beseitigt, zumindest Vorrübergehend, sagt mal was Ihr davon haltet, falls Ihr noch mehr Infos wünscht, einfach fragen, vielleicht kann ich nochwas ergänzen.
Ein äußerst verbluffter ]RA[ verabschiedet sich und dankt für eure Aufmerksamkeit... Gute Nacht
verwendete ilchClan Version: 1.1