Hacked ...

Begonnen von Catlak, 26 Februar 2006, 17:28:08

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Catlak

Hi Leute,
Ich brauche eure Hilfe und zwar ..
Meine Seite wurde schon wieder gehackt diesmal wurden nur die Blöcke deaktiviert und nicht die daten per ftp gelöscht ..

aber wenn ich bei meiner seite aufrufe wird die seite gleich an diese seite hier weitergeleitet : http://www.beepworld.de/members12/emrecan/

Ich habe im root ordner die ganzen php dateien gelöscht und vom alten wieder ersetzt ... trotzdem wird die seite weitergeleitet wenn ich meine seite aufrufe ...

wo könnte dieser metarefresh versteckt sein ??? habt ihr vielleicht eine idee???

Hier ist der Link zu meiner seite : http://www.catlak.at/CATLAK/index.php


Mit freundlichen Grüßen

Musicman75

index.php
header.php
theme.html
theme.php

such da ma

evtl. noch myheader.php im /includes

Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

Andi

Hi :)

ZitatHaftanin Top 5 Üyeleri
ZitatDermanim Haberler Bölümü
Was ist das?
Sind das Blöcke, oder Mitteilungen oder was sonst?

In dem html Quelltext befindet sich der Meta-Refresh.

- Dein pragmaMx ist noch ein 0.1.4, du solltest updaten.
- Du hast min. ein 4n-Community Modul installiert, weiss Gott was bei Dir auf der Kiste alles rumkreucht....

Wenn du willst kannst du mal mir oder einem anderen Admin, FTP und phpMyadmin Zugriff zukommen lassen....
schön´s Grüssle, Andi

Catlak

Hi Andi,
"Haftanin Top 5 Üyeleri" das ist ein Modul was ich mit HTML selber erstellt hab es sind nur bilder drinnen.
"Dermanim Haberler Bölümü" ist auch nur aus HTML was ich selber erstellt habe .. sind nur nachrichten drauf die ich selber geschrieben hab ...

Könntest du mir vl. den genaueren Link zum Download von der letzten Version von Pragmamx geben damit ich es zuerst mal updaten kann ....

Und das mim Zugangsdaten schicke ich dir in kürze .. ich lasse meine ganzen zugangsdaten ändern .. und dann schicke ich es dir per PM zu ...


Andi

Hi :)

die Updates findest du hier:
http://www.pragmamx.org/Downloads-d_op-viewdownload-cid-61.html

Wobei die ältere pragmaMx Version nicht das Problem ist.

Das Problem ist mit Sicherheit ein Script, welches irgendwie hochgeladen wurde. Hier fällt mein erster Verdacht auf die 4n-Community Module, welche zumindest eins davon bei dir installiert ist.
Das würde ich gerne mal vorher ansehen, bevor etwas geändert oder gelöscht wird...


Diese beiden HTML-Module, wie hast du die erstellt?
Weil so wie es aussieht ist genau dort drin der meta-refresh
schön´s Grüssle, Andi

Catlak

Die HTML Module hab ich ganz einfach in dem ich Modul-Impressum bissl verändert habe erstellt.

und dann hab ich ein html code geschrieben halt mit bildern usw. zum anklicken und habe es im admin menü bei den blöcken als html eingefügt ...


Andi

Zitathabe es im admin menü bei den blöcken als html eingefügt

Also doch ein html-Block ;)

Lösche die beiden, dann ist die Weiterleitung weg.

Dann warte ich auf die Zugangsdaten...  8)
schön´s Grüssle, Andi

Catlak

ich kannn sie nicht löschen weil ich nicht weiss wie
kaum bin ich auf index.php odedr admin.php ist gleich die weiterleitung da

bigkaeferle

Du müsstest doch einen FTP Zugan haben, über den kannst Du doch die betreffenden Dateien löschen.

Catlak

Zitat von: bigkaeferle am 26 Februar 2006, 19:57:53
Du müsstest doch einen FTP Zugan haben, über den kannst Du doch die betreffenden Dateien löschen.

soweit ich es weiss werden die html blöcke die man im admin.php hergestellt nicht per ftp oder so erreichbar sind bzw. nicht in root/blocks/ gespeichert werden

JoergK

Hoi  ;)

HTML-Blöcke werden komplett in der Datenbank in der Tabelle {prefix}_blocks gespeichert.
Dort einfach die beiden zutreffenden Zeilen löschen.
Gruß,
Jörg


Nobody is perfect ... so don't call me Nobody

bigkaeferle

Ok, Griff ins Klo! Sorry!

JoergK

ZitatOk, Griff ins Klo!
Hände waschen nicht vergessen !! :lol2:
Gruß,
Jörg


Nobody is perfect ... so don't call me Nobody

Catlak

Hi Leute,
Problem Mit den blöcken und metarefresh gelöst habe in der datenbank prefix_blocks die blöcke gelöscht und die blöcke einfach aktiviert und schon ging die Seite wieder nur was mich interessiert ist wie sie andauernd hacken das versteh ich kaum ...

@t Andi : Die Zugangsdaten sind schon unterwegs


Andi

Hi :)

ich hatte jetzt die gesamte Homepage durchsucht, nach verdächtigen Dateien, ohne Ergebnis, ausser 2-3 fremd-Modulen, die potentielle Sicherheitslücken aufweisen. Die schreibe ich dir aber in einer PN.

Die logfiles habe ich durchforstet, von den oben erwähnten Modulen findet sich dort kein verdächtiger Eintrag, zumal diese Module zum Glück deaktiviert sind.
Auch sonst findet sich, ausser den üblichen nuke-Hacks auf my-Egallery und konsorten nichts verdächtiges.

Es lässt sich also mit nmeinen Mitteln nicht nachvollziehen, was da passiert ist.
Frage ist, wie konnten diese beiden HTML-Blöcke verändert werden....


äh, du musst deine index.php noch umbenennen ;)


Zitatwie sie andauernd hacken
Andauernd?
schön´s Grüssle, Andi

m-t

catlak...

Was mir da so grad aufgefallen ist:

Zitat von: Catlak am 26 Februar 2006, 18:08:54
ich lasse meine ganzen zugangsdaten ändern ..

Machst du das nicht selber ?