Thema: Seite gehacked?

Joomla 1.5.17

So, nun könnte es auch mich erwischt haben. Die Seite, um die es geht funktioniert zwar an sich tadellos, aber ich beobachte ein merkwürdiges Phänomen beim Eingeben von Inhalten in der Administratorumgebung.

Und zwar wird im html Quelltext immer folgender Abschnitt eingefügt:

<div style="display: none ! important; visibility: hidden ! important; position: absolute ! important; height: auto ! important; width: auto; z-index: 1410065406 ! important; border: 1px solid #0043b3 ! important; vertical-align: middle ! important; padding: 1px ! important; margin: 0px ! important; color: #000000 ! important; background-color: #a8ecff ! important; font-family: Arial ! important; font-size: 12px ! important; line-height: normal ! important; font-weight: normal ! important; left: 317px ! important; top: 35px ! important;" id="gmBFhv"></div>

Diese Passage lässt sich auch einfach nicht löschen, wenn ich die Passage entferne und auf "updaten" gehe (JCE v1.5.6), dann wird diese wie von Geisterhand jedesmal neu erstellt. Und wenn ich mir die obige Passage anschaue sieht es ganz so aus als wollte jemand Inhalte verbergen (visibility: hidden).

Zudem lässt sich der JCE Editor nicht mehr deaktivieren. Wenn ich in der Konfiguration auf "no editor" stelle und dies auch speichere, so ist dennoch immer der JCE aktiviert.

Wie kriege ich heraus, ob wirklich ein Hackversuch vorliegt?

Hi,

für gehackte Websites hat Flotte eine "Todo-Liste" geschrieben:

1) Sofort den gesamten Auftritt mit allen Dateien entfernen (sichern!)
2) Datenbankinhalt entfernen
3) Letzte definitv saubere Sicherung einspielen
4) Alle Passwörter ändern (Datenbank, Joomla, FTP, etc.)
5) Log-Dateien holen und Einbruchslücke lokalisieren
6) Lücke schließen!

Zur Feststellung ob oder ob nicht gehackt dürfte Punkt5 helfen.

hth

albatros

Hi,

wieviel wettest Du darauf, dass außer dem geposteten Code keine Veränderung in Dateien oder Datenbank vorgenommen wurde?

Gruß

albatros

Also da wette ich lieber darauf das die Deutsche Fußball-Nationalmannschaft Weltmeister wird, da sind die Chancen besser.

kannst du im quelltext was bearbeiten? das display: none entfernen? damit wir sehen was überhaupt eingeblendet wird.

Hmmm, vielleicht liegt es wirklich am JCE.
Im Forum der JoomGallery haben wir einen Fall, wo bei einem User in Kategorien ohne Beschreibung das Wort "undefined" eingefügt wird.
Genutzter Editor ist ebenfalls der JCE 1.5.6.

Hallo,

Damit ist klar, dass dieser Abschnitt ein reines JCE Phänomen ist und ich persönlich vermute stark, dass der JCE 1.5.6 nicht wirklich mit den Joomlaversionen 1.5.16/17 harmoniert.

Joomla 1.5.17 + JCE Com 1.5.7 + JCE Plug 1.5.6

-> keine Probleme , ich kann das nicht nachvollziehen.

viel erfolg.