[Solved] arnhem-diamant.nl - Seite gehackt?

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[Pac-Man]

Hallo zusammen,


vor kurzem hatte ich auf einer mit der Version 0.1.10 betriebenen Seite folgendes Phänomen:

Beim Aufruf der Startseite wurden nur noch Teile des Scriptes der index.php angezeigt. Desweiteren wurde versucht, eine Verbindung zu der im Bertreff genannten Seite herzustellen.

Ich habe mir daraufhin die index.php heruntergeladen und angeschaut. Tatsächlich war der php-Teil weitestgehend gelöscht. Am Ende des Scriptes war stattdessen ein Javascript zu finden, bestehend aus fürchterlich vielen Hex-Code Zeichen. Beim Entschlüsseln dieses Codes stellte sich heraus, dass ein nicht sichtbares iframe eingebunden wurde, welches diese Diamanten-Seite beinhaltete.

Weder ich noch irgend jemand anders hat die index.php geändert, was für mich bedeutet, dass ein "Angriff" von ausserhalb stattgefunden haben muss.

Meine Frage nun: Hat jemand schon ähnliche Erfahrungen gemacht? Kann mir jemand sagen, wo eine Sicherheitslücke bestehen könnte, die so etwas zulässt?

Verständlicherweise möchte ich dieses Javascript nicht hier posten, es soll ja schließlich niemanden zum nachahmen animieren.

Ich hoffe, es weiss jemand Rat...

Liebe Grüße

Der Pac-Man, der Neue... 

[grafikmurkser]

hmmm was für schreibrechte hattest du auf der index ? so ein massiven "angriff" -> les ich hier das erstemal .
Ob es da eine Sicherheitslücke gibt können Dir nur die Entwickler sagen. Die das Ganze selbst testen müssten .
War die Site , mit dem Hochladen der orginal-index-seite wieder ok ?

[Pac-Man]

Hallo Grafikmurkser... hihi... cooler Nick btw...   

Ja, mit Hochladen der originalen index.php war alles wieder in Ordnung. Die Rechte stehen auf 644.


Also, der Schaden war gering... aber ich möchte mit meinem Post unter anderem natürlich auch verhindern, dass andere User davon betroffen werden.

[NDeezign]

Hy

hast du auch nochmals überprüft, ob noch andere Dateien überschrieben wurden? Insbesondere auch alle übrigen index.php bzw. index.html Dateien? ... Rufe im Adminbereich auch mal die Versionsüberwachung auf und schau, ob dort irgendwas verändert/ ausgetauscht wurde... Auch nochmal den ganzen Server nach fremden Dateien absuchen, die dort nicht hingehören.

Du kannst auch gleichzeitig die Logfiles analysieren, vielleicht findest du etwas darüber, "wie" das ganze auf den Server kommen konnte, am besten auch nochmal deinen Hoster kontaktieren und ihn um Rat bitten, wenn du selber nicht weiter kommst.

Hast du ausser pragmaMx noch andere Scripte auf dem Server laufen? Diese dann auch mal gründlich unter die Lupe nehmen ...

LG 

[grafikmurkser]

warst Du eigentlich mal auf der Website von den Holländern ?
Eigentlich ist es ja eine normale Website , einer Firma die Bohrarbeiten an verschiedenen Materialien durchführt.
Allerdings ist deren Website virenverseucht. Vieleicht hast Du Dir da unwissentlich, etwas eingefangen, was sich dann über Deine FTP-Verbindung auf Deine Website geschlichen hat.  Solche Würmer waren hier schon Thema ...

ich hab noch was gefunden :
http://www.funpic.de/forum/webhosting/vtopic,64914,previous.html
vorallem was shinja..  schreibt ist interessant

[Pac-Man]

warst Du eigentlich mal auf der Website von den Holländern ?
[...]
ich hab noch was gefunden :
http://www.funpic.de/forum/webhosting/vtopic,64914,previous.html
vorallem was shinja..  schreibt ist interessant

Hihi, das bei funpic ist von mir (PacMan1973)... da habe ich mir als erste Rat geholt, weil da meine eigene Homepage liegt und da echt auch sehr fähige Leute rumhoppeln... 

Ich war nicht auf der holländischen Seite. Vorher schon gar nicht und hinterher habe ich mich nicht getraut, weil ich mir schon gedacht habe, dass die verseucht sein könnte. Daher kann es also auch nicht kommen.

@NDeezign: Sehr gute Tips, das werde ich mal in Angriff nehmen...  Andere Dateien wurden nicht überschrieben, naja... öhm... zumindest habe ich bisher keine gefunden. Andere Scripte laufen dort auch nicht. Der Anbieter (soviel kann ich ja verraten) ist Manitu... den sollte ich dann vielleicht auch einmal darüber in Kenntnis setzen, eine sehr gute Idee!

Ich freue mich, dass hier so zahlreich geantwortet wird, vielen vielen Dank dafür!! 

Liebe Grüße

Der Pac-Man