gehackt?
Re: gehackt?
Läuft nicht ein fremdes Script (nicht CMSimple_XH) auf der Seite?
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
Re: gehackt?
Dann besteht dringend Handlungs- und Klärungsbedarf.albert wrote: Nachtrag: Ups, die o.g. html-Datei war plötzlich ein zweites Mal da, stand aber ein etwas anders href drin, ist also neu
Keiner weiss, was noch dranhängt, du gefärdest vielleicht auch Besucher deiner Seite.
Und auch im Interesse der XH-Community.
Es besteht ja auch die Möglichkeit, dass es eine Schwachstelle im System oder in einem Plugin gibt.
Gruß Olaf, Plugins for CMSimple_XH
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Re: gehackt?
Unterwegs per PN.cmb wrote:Würde ich mir gerne mal anschauen.
Im Netz.albert wrote:wo? auf meiner Seite oder irgendwo im Netz?
Könnte sein, dass dein FTP-Account gehackt wurde oder es versteckt sich noch Schadcode in anderen Dateien, das könnte sein. Deswegen auch mein Rat auf Virenscan.albert wrote:Nachtrag: Ups, die o.g. html-Datei war plötzlich ein zweites Mal da, stand aber ein etwas anders href drin, ist also neu
„Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig!“ Ludwig's XH-Templates for MultiPage & OnePage
Re: gehackt?
Avast hat nichts gefunden
LG albert
Immer dankbar für Hilfe https://www.natur-und-handgemacht.de | http://www.albert-wilhelm.de
Immer dankbar für Hilfe https://www.natur-und-handgemacht.de | http://www.albert-wilhelm.de
Re: gehackt?
Falls Du am Host Backupszugriff hast, zieh die runter, zieh auch gesammte Webseite, delete gesammte Webseite vom Host, teste alles local und bis Du findest etwas verdächtiges, lass am Host nur die Backupkopie laufen.
Vor etwa 10 Jahre habe ich eine gehackte Webseite fast eine ganze Woche geheilt.
Vor etwa 10 Jahre habe ich eine gehackte Webseite fast eine ganze Woche geheilt.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
Re: gehackt?
Das sagt noch nichts aus, ein zweiter, dritter Virenscanner wäre gut. Es gibt auch portable, wie zum Beispiel den Microsoft Safety Scanner.albert wrote:Avast hat nichts gefunden
Manuelle Möglichkeit:
Den Ordner mit der heruntergeladenen Webseite mit Notepad++ nach $lb8GNaXS zu durchsuchen oder einen Teil des Codes von oben und nach base64 (Suchen > In Dateien suchen, Alle Suchen).
Ja, das beste wäre die Webseite löschen, alle Passwörter zu ändern (FTP, Login Hoster, CMS ...) und dann eine saubere lokale Kopie hochzuladen.olape wrote:Keiner weiss, was noch dranhängt, du gefärdest vielleicht auch Besucher deiner Seite.
Eventuell wurden auch vom Hacker zusätzliche FTP-Zugänge eingerichtet? Das müsste kontrolliert werden.
„Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig!“ Ludwig's XH-Templates for MultiPage & OnePage
Re: gehackt?
Auf meinem Host kann ich (und habe es auch) IP Sperre einstellen für bestimmte Länder.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
Re: gehackt?
Ich bezweifel auch ein wenig, dass ein "normaler" Virenscanner hier wirklich weiterhilft.lck wrote:Das sagt noch nichts aus, ein zweiter, dritter Virenscanner wäre gut. Es gibt auch portable, wie zum Beispiel den Microsoft Safety Scanner.albert wrote:Avast hat nichts gefunden
Wenn es sich "nur" um Scripte handelt (JS oder PHP), dann ist das auf einem Websever ja normal.
Wenn also nichts drin ist, das den Browser und das dahinterliegende System der Besucher angreift, wird es wahrscheinlich nicht funktionieren. Und selbst das würde bei PHP wohl nicht auffallen, wenn nur die Datei ohne Interpreter getestet würde.
Alles löschen und alle PW ändern wäre ein Rundumschlag der sicher wirkt.
Aber leider wird dabei die Ursache nicht gefunden. Gibt es im CMS oder einem Plugin eine Lücke wird es vielleicht wieder passieren. Oder es trifft jemand anderen mit gleichem System.
Ein Vergleich der lokalen Kopie, die es hoffentlich gibt, Ordnerweise in Anzahl und Grösse, event. noch Änderungsdatum ist sicher sehr mühsam, aber würde ein wenig zur Klärung beitragen.
Gibt es denn Infos vom Hoster?
Es kann ja auch sein, das eine andere Webseite gehackt wurde und somit die Lücke primär in einer anderen Webseite ist.
Sekundär dann allerdings auch beim Server selber, denn Accountübergreifend sollte das eigentlich nicht möglich sein.
Bei einem zusätzlichen FTP-Account gäbe es nur zwei Möglichkeiten.
- Jemand ist an die Zugangsdaten der Verwaltung gekommen
Oder
- Der Server selber wurde gehackt.
Per JS- oder PHP-Script lässt sich dieser so nicht anlegen.
Bzw.. wohl nur wenn man gleichzeitig auch SSH-Zugriff hat.
Dann müsste man es aber nicht auf dem Host selber ausführen, sonder viel einfacher irgendwo anders und dann wiederum könnte man auch gleich ein Tool wie Putty o.ä. verwenden.
Last edited by olape on Fri Nov 10, 2017 10:22 pm, edited 3 times in total.
Gruß Olaf, Plugins for CMSimple_XH
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Re: gehackt?
Einzelne IPs oder IP-Ranges zu sperren ist nicht sehr treffsicher.Tata wrote:Auf meinem Host kann ich (und habe es auch) IP Sperre einstellen für bestimmte Länder.
Dazu sollte man GEOIP bemühen, was du vermutlich meinst.
Allerdings, vermute ich, in solchen Fällen werden sicher Proxys zum Einsatz kommen, vielleicht sogar wechselnd.
Von daher ist das in diesem Zusammenhang wenig Schutz.
Gruß Olaf, Plugins for CMSimple_XH
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Re: gehackt?
Danke! Bei dem Code handelt es sich um eine Web Shell (anscheinend eine Variante von c99madshell). Ich habe das eigentliche (ungefähr 1500 Zeilen lange) Script nur überflogen, aber es scheint umfangreiche Möglichkeiten zu bieten, sich auf dem Server auszutoben.lck wrote:Unterwegs per PN.cmb wrote:Würde ich mir gerne mal anschauen.
Wie das Script auf den Server kam, weiß ich nicht, und auch nicht wie es dort wieder hin kam – es könnte aber durchaus sein, das weitere solcher Backdoors auf der Domain (vielleicht auch irgendwo sonst auf dem Server) existieren, und der Angreifer das Script nach Belieben wieder herstellen kann.
Christoph M. Becker – Plugins for CMSimple_XH