merkwürdige Werbung ist zurück

**Stefbar** · 28.01.2011 12:42

Hallo,

wir hatten auf unserer kleinen Firmenwebsite vor einiger Zeit ein problem. Dabei wurde bei google und anderen Suchmaschinen jede Menge ****** Werbung (potenzmittel) in Zusammenhang mit unserer Index Seite angezeigt. Darauf hin haben wir die Website vom Netz genommen, das CMS aktualisiert, eine neue DB aufgesetzt und den verschandelten Code und die Datenbank bereinigt. Das ganze ist seit kurzer Zeit wieder online und was ist passiert?

richtig, ****** werbung ist wieder da.

Ich habe einfach keine ahnung wo das ganze herkommt. das CMS ist auf dem aktuellen stand, Version 1.5, die datenbank bei 1und1 ist auch aktuell. Bin hier etwas am verzweifeln.

Hat irgendjemand eine idee wie man so etwas vermeiden kann?

Könnte es irgendwie mit der .htaccess zu tun haben? Ich vermute das es nicht an den backend systemen liegt sondern das irgendwas bei joomla falsch eingestellt ist. Hätte jemand eine Idee?

vielen Dank

Stefan

**albatros** · 28.01.2011 12:47

Hi,

ich fürchte, das ist ein Fall für Flottes Liste, die Du in 2.6. der FAQ findest. Schau vorab mal im Quellcode Deiner Seiten nach Iframes.

hth

albatros

**Stefbar** · 28.01.2011 12:54

das habe ich alles versucht. Auch heruaszufinden wo da ein eindringen ist aber ich hab keine ahnung. Die Systeme sind auf einem aktuellen stand und wir verwenden keinerlei drittanbieter software.

Ich habe auch im netz verhätlnismäßig wenig infos darüber gefunden. Das ganze ist ja auch so, dass mir der normale quellcode nichts anzeigt, nur der google bot sieht halt diesen via... scheiss und listet ihn dann auf...bzw. die anderen bots ebenfalls.

Ansonsten ist die website ja ok. Passwörter wurden ja auch erst letztens vollständig geändert....ach zum kotzen und das alles an einem freitag...

**sir.smily** · 28.01.2011 13:03

Hallo @Stefbar

Es kann auch durchaus sein, dass der PC womit die Daten und Logins zur Seite gewuppt werden, verseucht ist ... so schleichend kommen die z.B. bei einem verseuchten PC wieder in den Umlauf.

P.S. Wenn es eine recht einfache Seite ist die du wohl eher selten besuchtst um etwas zu ändern, schreib dir doch einfach auf, wann du dich in die Seite eingeloggt hast. Wenn du dann Probleme hast kannst du in den logfiles besser nach Loginversuchen von Außen schauen ...

**keraM** · 28.01.2011 13:05

Zitat von Stefbar

Darauf hin haben wir die Website vom Netz genommen, das CMS aktualisiert, eine neue DB aufgesetzt und den verschandelten Code und die Datenbank bereinigt. Das ganze ist seit kurzer Zeit wieder online und was ist passiert?

Ihr habt mglw. eine Backdoor übersehen oder einen Schädling auf Eurem PC der die Passwörter ausspioniert und weitergibt.

**Stefbar** · 28.01.2011 13:08

das halte ich für relativ unwarscheinlich, da die PCs recht gut gesichert sind und eine solche Software höchstens von einem Admin selbst unwissentlich hätte installiert werden können. Die normalen Benutzerkonten haben nicht genügend berechtigungen bzw. würde man dies durchaus mit der Zeit merken.

Aber gut, vielleicht wirkt diese Sicherheit auch trügerisch. Mal schauen, ich werde unseren Admin mal anrufen, mal sehen was er sagt, wie warscheinlich eine solche möglichkeit ist aber danke für die hinweise.

im übrigen war ich es der alle sachen hochgeladen hat und ich habe eine woche zuvor ein vollkommen neues profil erhalten (namensänderung). Daher wurden alle alten Dateien gelöscht (hat mich nen tag arbeit gekostet alles wieder einzurichten). Daher kann ich das fast auch komplett ausschliessen. Von zu Hause habe ich nichts gemacht, nur in der Firma.

**sir.smily** · 28.01.2011 13:13

Da muss nicht mal großartig etwas installiert werden ... solch Angriffe bzw. die Programme die Passwörter usw. weiterleiten, sind so winzig klein ... das ist in wenigen Sekunden geschehen ...

**keraM** · 28.01.2011 13:14

OK, dann bliebe noch die Backdoor auf dem Web.
Alle installierten Erweiterungen (auch nicht genutzte) waren seit dem letzten Hack immer aktuell und ohne bekannte Sicherheitslücke? Durchsuche mal secunia.com und exploit-db.com nach den Erweiterungen, die ihr installiert habt.

**Stefbar** · 28.01.2011 13:16

bis auf das template ist eingetlich alles standard. Mit dem upgrade auf joomla 1.5 ist die einzige erweiterung son map24 tool weggefallen, weil wir keine aktuelle version hatten. Das Template ist jedoch relativ bekannt und wurde von dem webdesigner angepasst (madeyourweb template).

Danke für den hinweis. ich schau da trotzdem mal nach. evtl. finde ich rigendwas.

**s0801634** · 28.01.2011 13:26

Ich hatte neulich mal das (fast) das gleiche Problem.

Der Angriff erfolgte per ftp und es wurden alle index.html und index.php Dateien mit einem iframe versehen.

Das Problem: Ein Trojaner auf meinem PC, den ich erst mit einem Online-Virenscanner gefunden habe... Den PC habe ich komplett neu installiert, nochmals alle Passwörter geändert und vorsichtshalber den ftp-User auf einen leeren Ordner angelegt, in dem nur eine fake index.html Datei liegt, um zu sehen, ob es wieder versucht wird.

Seitdem habe ich Ruhe und alles funktioniert wieder so, wie es soll :-)

Gruß,
Mitch

Thema: merkwürdige Werbung ist zurück

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

merkwürdige Werbung ist zurück

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen