[Solved] arnhem-diamant.nl - Seite gehackt?

Begonnen von Pac-Man, 28 Juni 2009, 22:04:43

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten1
Benutzer-Aktionen

Pac-Man

28 Juni 2009, 22:04:43
Hallo zusammen,


vor kurzem hatte ich auf einer mit der Version 0.1.10 betriebenen Seite folgendes Phänomen:

Beim Aufruf der Startseite wurden nur noch Teile des Scriptes der index.php angezeigt. Desweiteren wurde versucht, eine Verbindung zu der im Bertreff genannten Seite herzustellen.

Ich habe mir daraufhin die index.php heruntergeladen und angeschaut. Tatsächlich war der php-Teil weitestgehend gelöscht. Am Ende des Scriptes war stattdessen ein Javascript zu finden, bestehend aus fürchterlich vielen Hex-Code Zeichen. Beim Entschlüsseln dieses Codes stellte sich heraus, dass ein nicht sichtbares iframe eingebunden wurde, welches diese Diamanten-Seite beinhaltete.

Weder ich noch irgend jemand anders hat die index.php geändert, was für mich bedeutet, dass ein "Angriff" von ausserhalb stattgefunden haben muss.

Meine Frage nun: Hat jemand schon ähnliche Erfahrungen gemacht? Kann mir jemand sagen, wo eine Sicherheitslücke bestehen könnte, die so etwas zulässt?

Verständlicherweise möchte ich dieses Javascript nicht hier posten, es soll ja schließlich niemanden zum nachahmen animieren. ;)

Ich hoffe, es weiss jemand Rat...

Liebe Grüße

Der Pac-Man, der Neue...  :red:

Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)

grafikmurkser

#1
28 Juni 2009, 22:46:26
hmmm was für schreibrechte hattest du auf der index ? so ein massiven "angriff" -> les ich hier das erstemal .
Ob es da eine Sicherheitslücke gibt können Dir nur die Entwickler sagen. Die das Ganze selbst testen müssten .
War die Site , mit dem Hochladen der orginal-index-seite wieder ok ?
meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Pac-Man

#2
28 Juni 2009, 22:51:20
Hallo Grafikmurkser... hihi... cooler Nick btw...   ;)

Ja, mit Hochladen der originalen index.php war alles wieder in Ordnung. Die Rechte stehen auf 644.


Also, der Schaden war gering... aber ich möchte mit meinem Post unter anderem natürlich auch verhindern, dass andere User davon betroffen werden.
Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)

NDeezign

#3
29 Juni 2009, 02:39:29
Hy :)

hast du auch nochmals überprüft, ob noch andere Dateien überschrieben wurden? Insbesondere auch alle übrigen index.php bzw. index.html Dateien? ... Rufe im Adminbereich auch mal die Versionsüberwachung auf und schau, ob dort irgendwas verändert/ ausgetauscht wurde... Auch nochmal den ganzen Server nach fremden Dateien absuchen, die dort nicht hingehören.

Du kannst auch gleichzeitig die Logfiles analysieren, vielleicht findest du etwas darüber, "wie" das ganze auf den Server kommen konnte, am besten auch nochmal deinen Hoster kontaktieren und ihn um Rat bitten, wenn du selber nicht weiter kommst.

Hast du ausser pragmaMx noch andere Scripte auf dem Server laufen? Diese dann auch mal gründlich unter die Lupe nehmen ...

LG  :bye:
Liebe Grüsse & Gü Güş


Kein Support via Mail, PN & Messenger!
Nutze vorher bitte auch die Optionen: Suche | DokuWiki

grafikmurkser

#4
29 Juni 2009, 07:04:17 Letzte Bearbeitung: 29 Juni 2009, 07:10:59 von grafikmurkser
warst Du eigentlich mal auf der Website von den Holländern ?
Eigentlich ist es ja eine normale Website , einer Firma die Bohrarbeiten an verschiedenen Materialien durchführt.
Allerdings ist deren Website virenverseucht. Vieleicht hast Du Dir da unwissentlich, etwas eingefangen, was sich dann über Deine FTP-Verbindung auf Deine Website geschlichen hat.  Solche Würmer waren hier schon Thema ...

ich hab noch was gefunden :
http://www.funpic.de/forum/webhosting/vtopic,64914,previous.html
vorallem was shinja..  schreibt ist interessant


meine pmx-Seite : die erste und einzige, freie, deutschsprachige Community rund um fraktale Bilder apophysis-schmiede   reg.User mehr als 1000

Pac-Man

#5
29 Juni 2009, 12:44:55
Zitat von: grafikmurkser am 29 Juni 2009, 07:04:17
warst Du eigentlich mal auf der Website von den Holländern ?
[...]
ich hab noch was gefunden :
http://www.funpic.de/forum/webhosting/vtopic,64914,previous.html
vorallem was shinja..  schreibt ist interessant

Hihi, das bei funpic ist von mir (PacMan1973)... da habe ich mir als erste Rat geholt, weil da meine eigene Homepage liegt und da echt auch sehr fähige Leute rumhoppeln...  :smile:

Ich war nicht auf der holländischen Seite. Vorher schon gar nicht und hinterher habe ich mich nicht getraut, weil ich mir schon gedacht habe, dass die verseucht sein könnte. Daher kann es also auch nicht kommen.

@NDeezign: Sehr gute Tips, das werde ich mal in Angriff nehmen...  :smile: Andere Dateien wurden nicht überschrieben, naja... öhm... zumindest habe ich bisher keine gefunden. Andere Scripte laufen dort auch nicht. Der Anbieter (soviel kann ich ja verraten) ist Manitu... den sollte ich dann vielleicht auch einmal darüber in Kenntnis setzen, eine sehr gute Idee!

Ich freue mich, dass hier so zahlreich geantwortet wird, vielen vielen Dank dafür!!  :thumbup:

Liebe Grüße

Der Pac-Man
Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)
Drucken
Nach oben Seiten1
Benutzer-Aktionen