Suche

[Catlak]

Hi Leute,
Ich brauche eure Hilfe und zwar ..
Meine Seite wurde schon wieder gehackt diesmal wurden nur die Blöcke deaktiviert und nicht die daten per ftp gelöscht ..

aber wenn ich bei meiner seite aufrufe wird die seite gleich an diese seite hier weitergeleitet : http://www.beepworld.de/members12/emrecan/

Ich habe im root ordner die ganzen php dateien gelöscht und vom alten wieder ersetzt ... trotzdem wird die seite weitergeleitet wenn ich meine seite aufrufe ...

wo könnte dieser metarefresh versteckt sein habt ihr vielleicht eine idee???

Hier ist der Link zu meiner seite : http://www.catlak.at/CATLAK/index.php


Mit freundlichen Grüßen

[Musicman75]

index.php
header.php
theme.html
theme.php

such da ma

evtl. noch myheader.php im /includes

[Andi]

Hi

Haftanin Top 5 Üyeleri

Dermanim Haberler Bölümü

Was ist das?
Sind das Blöcke, oder Mitteilungen oder was sonst?

In dem html Quelltext befindet sich der Meta-Refresh.

- Dein pragmaMx ist noch ein 0.1.4, du solltest updaten.
- Du hast min. ein 4n-Community Modul installiert, weiss Gott was bei Dir auf der Kiste alles rumkreucht....

Wenn du willst kannst du mal mir oder einem anderen Admin, FTP und phpMyadmin Zugriff zukommen lassen....

[Catlak]

Hi Andi,
"Haftanin Top 5 Üyeleri" das ist ein Modul was ich mit HTML selber erstellt hab es sind nur bilder drinnen.
"Dermanim Haberler Bölümü" ist auch nur aus HTML was ich selber erstellt habe .. sind nur nachrichten drauf die ich selber geschrieben hab ...

Könntest du mir vl. den genaueren Link zum Download von der letzten Version von Pragmamx geben damit ich es zuerst mal updaten kann ....

Und das mim Zugangsdaten schicke ich dir in kürze .. ich lasse meine ganzen zugangsdaten ändern .. und dann schicke ich es dir per PM zu ...

[Andi]

Hi

die Updates findest du hier:
http://www.pragmamx.org/Downloads-d_op-viewdownload-cid-61.html

Wobei die ältere pragmaMx Version nicht das Problem ist.

Das Problem ist mit Sicherheit ein Script, welches irgendwie hochgeladen wurde. Hier fällt mein erster Verdacht auf die 4n-Community Module, welche zumindest eins davon bei dir installiert ist.
Das würde ich gerne mal vorher ansehen, bevor etwas geändert oder gelöscht wird...


Diese beiden HTML-Module, wie hast du die erstellt?
Weil so wie es aussieht ist genau dort drin der meta-refresh

[Catlak]

Die HTML Module hab ich ganz einfach in dem ich Modul-Impressum bissl verändert habe erstellt.

und dann hab ich ein html code geschrieben halt mit bildern usw. zum anklicken und habe es im admin menü bei den blöcken als html eingefügt ...

[Andi]

habe es im admin menü bei den blöcken als html eingefügt

Also doch ein html-Block

Lösche die beiden, dann ist die Weiterleitung weg.

Dann warte ich auf die Zugangsdaten...  8)

[Catlak]

ich kannn sie nicht löschen weil ich nicht weiss wie
kaum bin ich auf index.php odedr admin.php ist gleich die weiterleitung da

[bigkaeferle]

Du müsstest doch einen FTP Zugan haben, über den kannst Du doch die betreffenden Dateien löschen.

[Catlak]

Du müsstest doch einen FTP Zugan haben, über den kannst Du doch die betreffenden Dateien löschen.

soweit ich es weiss werden die html blöcke die man im admin.php hergestellt nicht per ftp oder so erreichbar sind bzw. nicht in root/blocks/ gespeichert werden

[JoergK]

Hoi 

HTML-Blöcke werden komplett in der Datenbank in der Tabelle {prefix}_blocks gespeichert.
Dort einfach die beiden zutreffenden Zeilen löschen.

[bigkaeferle]

Ok, Griff ins Klo! Sorry!

[JoergK]

Ok, Griff ins Klo!

Hände waschen nicht vergessen !! :lol2:

[Catlak]

Hi Leute,
Problem Mit den blöcken und metarefresh gelöst habe in der datenbank prefix_blocks die blöcke gelöscht und die blöcke einfach aktiviert und schon ging die Seite wieder nur was mich interessiert ist wie sie andauernd hacken das versteh ich kaum ...

@t Andi : Die Zugangsdaten sind schon unterwegs

[Andi]

Hi

ich hatte jetzt die gesamte Homepage durchsucht, nach verdächtigen Dateien, ohne Ergebnis, ausser 2-3 fremd-Modulen, die potentielle Sicherheitslücken aufweisen. Die schreibe ich dir aber in einer PN.

Die logfiles habe ich durchforstet, von den oben erwähnten Modulen findet sich dort kein verdächtiger Eintrag, zumal diese Module zum Glück deaktiviert sind.
Auch sonst findet sich, ausser den üblichen nuke-Hacks auf my-Egallery und konsorten nichts verdächtiges.

Es lässt sich also mit nmeinen Mitteln nicht nachvollziehen, was da passiert ist.
Frage ist, wie konnten diese beiden HTML-Blöcke verändert werden....


äh, du musst deine index.php noch umbenennen

wie sie andauernd hacken

Andauernd?

[m-t]

catlak...

Was mir da so grad aufgefallen ist:

ich lasse meine ganzen zugangsdaten ändern ..

Machst du das nicht selber ?