Sehr Dringend

Gehe zu Seite:

Geschlossen

Di. 17.06.2008 14:01 Uhr #1

-[N.C]-Blade Mitglied

Registriert seit
15.09.2007

Beiträge
10

Beitragswertungen

Hi,und zwar habe ich ein paaar Probleme.

Ich habe seit tagen das Problem das ich in meiner index.php von meiner Seite sich automatisch nach 5-6 Stunden ein verschlüsseltes Script einschläust so das der rechner ein sagt das man sich ein Programm downloaden soll weil man Spyware auf dem Rechner hat.Lösche ich den verschlüsselten Code den ich gleich mal hier reinposten werde ist die Fehlermeldung nicht mehr da.Das habe ich komischer weise auf mehreren Homepages von mir seit kurzem.Ich denke ich hatte mal ein Spyware Virus der bereinigt ist.Nur das ich jetzt alle paar stunden auf meiner HP gehen muss um den Scheiss Code rauszulöschen der immer wieder von alleine reinkommt.Ich bin echt am verzweifeln da ich das Problem auf meinem Root auch habe wo ich ein Clanpageaward veranstallte der nachdem der code in der Index.php ist garnicht mehr die Seite anzeigen lässt.Bitte Dringend um Hilfe des geht mir echt auf die Nieren die ..........

Das ist der Code der sich einbaut

<script>

</script>

Dann habe ich noch da Problem das ich keine Modulrechte verteilen kann.Sobald ich den hakken rein oder rausgemacht habe bei einer Person die ein bestimmtes modul nutzen darf,und ich aktuallisiere ist nichts passiert.Also alles beim Alten.Habe mal die Admin.php neu hochgeladen aber geht immernoch nicht.

Ich Danke schonmal im Vorraus ich hoffe ihr könnt mir Helfen.

verwendete ilchClan Version: 1.1

betroffene Homepage: community.nosterscrew.de
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 17.06.2008 14:39 Uhr #2

boehserdavid Mitglied

Registriert seit
26.08.2006

Beiträge
2.122

Beitragswertungen

Hey, -[N.C]-Blade!

Les mal die Logs aus, welche Seiten aufgerufen wurde. Sind da welche mit HTTP bei, schau mal im Allgemein Forum nach.
2. PW's ändern, ALLE, MYSQL, FTP, Admin
3. Guck ALLE Dateien durch, und schau nach "<div style="display: none;">...." LÖSCHEN

1.1K?

Mit böhsen Grüßen
BöhserDavid

-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 17.06.2008 15:30 Uhr #3

-[N.C]-Blade Mitglied

Registriert seit
15.09.2007

Beiträge
10

Beitragswertungen

Ja 1.1 k ist da.Ich danke schonmal für die schnelle antwort.Ich werde dann mal alle pw ändern und bescheid geben falls sich was ändert.
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 17.06.2008 15:37 Uhr #4

-[N.C]-Blade Mitglied

Registriert seit
15.09.2007

Beiträge
10

Beitragswertungen

Les mal die Logs aus, welche Seiten aufgerufen wurde. Sind da welche mit HTTP bei, schau mal im Allgemein Forum nach.

Wie mache ich des?
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 17.06.2008 19:05 Uhr #5

boehserdavid Mitglied

Registriert seit
26.08.2006

Beiträge
2.122

Beitragswertungen

Wenn dein Server richtig eingestellt ist, wird jede Aktivität auf der Seite in eine Logfile geschrieben.
Wenn das nicht der Fall ist:
Hast du ContentStatstik installiert? (Mod für Ilch)
Wenn nicht, auch net so schlimm, musst du nicht.

Wenn nochmal was kommt einfach melden...

-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 17.06.2008 19:36 Uhr #6

Freixi Mitglied

Registriert seit
17.05.2008

Beiträge
124

Beitragswertungen

Kann auch der Teamspeak der boesewicht sein..

Dieser Code ist genau darueber.

Inline Script from status.hlstats.net/tsd.php?ip=62.75.204.169&port=8910&qport=51234&bg=151313&text=ffffff

Viele gruesse aus den Sonnigen Portugal

Freixi
0 Mitglieder finden den Beitrag gut.
- zitieren

Di. 17.06.2008 19:51 Uhr #7

Freixi Mitglied

Dies hier einbauen dann sollte ruhe sein... zwinker

Der Stand alone CrackerTracker ist etwas für alle PHP Programmierer: Er bringt das Schutzsystem vor SQL Injections und gängigen Wurmattacken (die versuchen über typische Exploits oder Lücken in PHP Skripten in die Datenbank einzudringen) in jedes PHP Skript!

Die Erkennungstechnologie des CrackerTrackers wird hierbei verwendet, um Wurmattacken bereits vor Ihrem PHP Skript zu erkennen und zu stoppen. Das einbringen des Schutzsystems, programmiert von Christian Knerr, ist dabei sehr einfach. Setzen Sie vor Ihr PHP Skript direkt in der ersten Codezeile nach <?php die Schutzdatei ctracker.php mit dem include-Befehl.

so:



<?php

include "ctracker.php";

echo "Hier Ihr PHP Skript";

?>

Bei der index.php von Ilch wird der so eingebaut:

Poste nur die ersten zeilen zwinker

sollten reichen..lol

<?php

 include "ctracker.php";

#   Copyright by: Manuel
#   Support: www.ilch.de
#   Codeedit by Topolino
define ( 'main' , TRUE );
.
.
.
.
.
.

Danach werden Wurmattacken dynamisch von Ihrem PHP Skript ferngehalten. Sobald jemand versucht über die URL einen SQL Inject zu starten verweigert der CrackerTracker den Zugriff auf Ihr PHP Skript.

WICHTIG: Die Nutzung und Weiterverbreitung dieses Skriptes ist nur mit intaktem Tasse

Hinweis auf CBACK (Christian Knerr) www.cback.de sowie einem sichtbaren Link zu externer Link im Footer gestattet! Dies ist Teil unserer Lizenzbestimmungen. Jegliche Nutzung ohne diesen Fall ist nicht gestattet und wird geprüft!

Nun zum script selber.

Eine datei ctracker.php mit diesen code.

<?php
// Cracker Tracker Protection System
// Created by: Christian Knerr - www.cback.de
// phpBB Users: Please use our complete phpBB2 Mod!
// Version: 2.0.0
//
// License: GPL
//
//
// Begin CrackerTracker  StandAlone
//

  $cracktrack = $_SERVER['QUERY_STRING'];
  $wormprotector = array('chr(', 'chr=', 'chr%20', '%20chr', 'wget%20', '%20wget', 'wget(',
 			       'cmd=', '%20cmd', 'cmd%20', 'rush=', '%20rush', 'rush%20',
                   'union%20', '%20union', 'union(', 'union=', 'echr(', '%20echr', 'echr%20', 'echr=',
                   'esystem(', 'esystem%20', 'cp%20', '%20cp', 'cp(', 'mdir%20', '%20mdir', 'mdir(',
                   'mcd%20', 'mrd%20', 'rm%20', '%20mcd', '%20mrd', '%20rm',
                   'mcd(', 'mrd(', 'rm(', 'mcd=', 'mrd=', 'mv%20', 'rmdir%20', 'mv(', 'rmdir(',
                   'chmod(', 'chmod%20', '%20chmod', 'chmod(', 'chmod=', 'chown%20', 'chgrp%20', 'chown(', 'chgrp(',
                   'locate%20', 'grep%20', 'locate(', 'grep(', 'diff%20', 'kill%20', 'kill(', 'killall',
                   'passwd%20', '%20passwd', 'passwd(', 'telnet%20', 'vi(', 'vi%20',
                   'insert%20into', 'select%20', 'nigga(', '%20nigga', 'nigga%20', 'fopen', 'fwrite', '%20like', 'like%20',
                   '$_request', '$_get', '$request', '$get', '.system', 'HTTP_PHP', '&aim', '%20getenv', 'getenv%20',
                   'new_password', '&icq','/etc/password','/etc/shadow', '/etc/groups', '/etc/gshadow',
                   'HTTP_USER_AGENT', 'HTTP_HOST', '/bin/ps', 'wget%20', 'uname\x20-a', '/usr/bin/id',
                   '/bin/echo', '/bin/kill', '/bin/', '/chgrp', '/chown', '/usr/bin', 'g\+\+', 'bin/python',
                   'bin/tclsh', 'bin/nasm', 'perl%20', 'traceroute%20', 'ping%20', '.pl', '/usr/X11R6/bin/xterm', 'lsof%20',
                   '/bin/mail', '.conf', 'motd%20', 'HTTP/1.', '.inc.php', 'config.php', 'cgi-', '.eml',
                   'file\://', 'window.open', '<SCRIPT>', 'javascript\://','img src', 'img%20src','.jsp','ftp.exe',
                   'xp_enumdsn', 'xp_availablemedia', 'xp_filelist', 'xp_cmdshell', 'nc.exe', '.htpasswd',
                   'servlet', '/etc/passwd', 'wwwacl', '~root', '~ftp', '.js', '.jsp', 'admin_', '.history',
                   'bash_history', '.bash_history', '~nobody', 'server-info', 'server-status', 'reboot%20', 'halt%20',
                   'powerdown%20', '/home/ftp', '/home/www', 'secure_site, ok', 'chunked', 'org.apache', '/servlet/con',
                   '<script', '/robot.txt' ,'/perl' ,'mod_gzip_status', 'db_mysql.inc', '.inc', 'select%20from',
                   'select from', 'drop%20', '.system', 'getenv', 'http_', '_php', 'php_', 'phpinfo()', '<?php', '?>', 'sql=');

  $checkworm = str_replace($wormprotector, '*', $cracktrack);

  if ($cracktrack != $checkworm)
    {
      $cremotead = $_SERVER['REMOTE_ADDR'];
      $cuseragent = $_SERVER['HTTP_USER_AGENT'];

      die( "Attack detected! <br /><br /><b>Dieser Angriff wurde erkannt und blockiert:</b><br />$cremotead - $cuseragent" );
    }

//
// End CrackerTracker StandAlone
//

?>

Dann wie oben beschrieben per Include in den .php dateien oder ewtl. nur in der index.php da es um ein weiterleitungslink handelt.

Besser waere wenn ein der coder uns ein Modul dafuer baut der das schon automatisch in jede .php datei includen laesst, so mit DB Tabelle oder so...

EDIT:// An Ilchcode angepasst.. (index.php)

Zuletzt modifiziert von Freixi am 17.06.2008 - 20:25:04

Viele gruesse aus den Sonnigen Portugal

Freixi

0 Mitglieder finden den Beitrag gut.

zitieren

Beitrag zur Merkliste hinzufügen

ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Sehr Dringend