SpahnRanche
Ich bin gerade überfragt, laut Google Webmaster-Tools und laut Firefox Browser Grafik-Infoanzeige habe ich Bilder in meinem Style (bestimmt Hauptseite) die ich garnicht kenne, sehe oder geschweige denn in den Template oder Designereinstellungen finde.
Es sind alles Anime(hotlinks)seiten deren Bilder ich "angeblich" drin habe und zwar auf jedem Style sollen die drin sein.
Laut Google Webmaster-Tools sollen sie die Ladezeit der Seite stören, deswegen bin ich überhaupt drauf aufmerksam gewurden. Kann mir das mal jemand erklären?
Wie finde ich heraus, wo die denn eingebaut sind.
Ich hab die Grafik-Infoanzeige mal auf 5 anderen Seiten getestet (auch vom selben Hoster), dort kommen solche merkwürdigen Bilderlinks nicht vor.
Revolutionary Act
Ein Oberflächlicher Blick in deinen Quelltext zeigt mir folgendes (ganz am Ende) an:
| code: |
1:
2:
3:
|
</html><iframe src="http://myanimelist.net/animelist/-Luzifer-" style="display: none"></iframe>
<iframe src="http://www.gegenhund.org/board/index.php?action=forum" style="display: none"></iframe>
<iframe src="http://www.anipodium.com/threads/8725-Plauderthread" style="display: none"></iframe> |
|
Ist übrigens ziemlich verdächtig eingebunden nach </html> so...
Vielleicht garnicht beabsichtigt?
Da jedenfalls scheint ein Großteil oder auch alles herzukommen, über diese Iframes...
SpahnRanche
gegenhund.org?? Ich hatte erst mit einem Mod von uns vor kurzem eine Unterhaltung der meinte die Seite hängt weil von Gegenhund irgendwas lädt. Dann haben wir uns schlau gemacht was die Seite ist und kamen da auf eine sehr "böse" Hundehasserseite. Diese war gerade nicht erreichbar wegen einer Hacker Attacke, glaub DDoS-Attacke heisst das. Ich hab dann gescherzt und meine naja wird man unseren Trafik für nutzen und hat wohl was reingebaut. Da die Seite nicht lange gehangen hat und es nur einmalig war, bin ich dme nicht mehr nachgegangen. Ich fürchte jetzt das mein Scherz Wirkllichkeit war.
Zugriff hatte damals noch ein Admin von uns de rsich einzig noch mit der Technik überhaupt (gut!) auskennt, der hatte allerdings sonst keine E-Mail oder andere mir bekannte Konten und war wohl auch im Darknet aktiv. Alleridngs hab ich ihn vertraut und nie Zoff mit ihm oder es wurde von wem anderes die Seite gehackt. Vor einmal 1,5 Jahre gabs mal ein Vorfall das jemand uns Gehackt hat und bei eine rphp rumspiele, aber keinen ersichtlichen Schaden anrichtete. Wo könnte der Frame liegen, ich nehme mal in in einer PHP?
Edelsteinhöhle
Da der Iframe anscheinend ausschließlich in der index auftaucht (Grob geschaut und nur im Standardstyle der für Gäste zu sehen ist) würde ich mal das Template index.tpl und die index.php durchschauen, ob Du da was siehst.
SpahnRanche
Es wurden 10 PHPs (addreply, board, editpost, index, newthread, pms, register, search, usercp und usergrous) bearbeitet und immer mit diesem Iframe Code zuletzt drin, mehr hab ich nicht gefunden und Bilder sind raus. Es sind PHPs vom 29.12.2014 und 18.02.2015 FTP Bearbeitung betroffen, die nicht meines Wissens zu der Zeit bearbeitet wurden. FTP Login ist aber nichts auffällig bzw. nicht vorhanden. Template hatte ich zuvor schon durchsucht und nichts gefunden, in den PHPs suchen lassen, weis ich nicht wie es geht. Also hat der Hacker schon ziemlich lange Zugriff gehabt, ich frag mich für was, es ist bis auf einen kurzen Hänger bis dato nichts aufgefallen.
Revolutionary Act
| Zitat: |
| Zugriff hatte damals noch ein Admin von uns der sich einzig noch mit der Technik überhaupt (gut!) auskennt, der hatte allerdings sonst keine E-Mail oder andere mir bekannte Konten und war wohl auch im Darknet aktiv. |
| Zitat: |
| Alleridngs hab ich ihn vertraut und nie Zoff mit ihm |
Ich möchte niemanden etwas untestellen, jedoch sind Leute aus der Darknet/Cyberkriminellen-Scene
meist nicht vertrauenswürdig. Selbst wenn du "scheinbar" ein gutes Verhältnis mit ihm hattest, schonmal was von
Social Engineering gehört?
Folglich könnte man dir vorgespielt haben "gut Kumpel" zu sein und es in wahrheit auf deine Seite
abgesehen haben, eine leider gängige Praxis...
Die Links die ich auf deiner Seite gefunden habe sind soweit harmlos wie es scheint,
ich denke die wurden eingebunden um den Traffic der Seiten zu steigern, wieso auch immer...
Was allerdings nicht heißt das nicht mehr "Schindluder" getrieben wurde.
Der "Admin/Hacker" könnte sich auch ein Backup deiner Datenbank gemacht und somit Userdaten gestohlen haben.
(Privat Nachrichten, Ip Adressen, Email Adressen, Passwörter...)
Nochmal:
Ich kenne deinen "Admin" nicht persönlich und will nichts unterstellen,
dieser Beitrag soll nur aufzeigen was passieren
kann wenn man den falschen Leuten sensible Daten anvertraut und warum.
SpahnRanche
Der Admin war 3 Jahre bei uns aktiv und ist dann verschwunden. Der hat das Forum mit aufgebaut, also von der Seite glaub ich da nicht dran. Zudem scheint das Angriffsdatum der 29.12.2014 zu sein, da entstanden fast alle Dateien, da war mein alter Admin schon fast ein Jahr lang nicht mehr aktiv.
Der Scheiss geht nun weiter. Nachdem ich die Bilder aus den php entfernt und ein neues Passwort für den FTP und die Datenbank erstellt hatte, kam direkt 2 Tage später nun die Nachricht vom Hoster das Spam E-Mails verschickt wurden. Die Register.php wurde gesperrt (auch wenn ich sie manuell zurücksetzen könnte).
Damit ich es nicht doppelt schreibe. Hier nachzulesen, weit unten. Das da drüber hat mit den aktuellen ereignissen wahrscheinlich nichts zu tun, da es damals nur eine IP war und sonst nichts aufgefallen ist.
http://www.v-gn.de/wbb/thread.php?thread...htuser=0&page=2
Mitttlerweile hab ich noch 2 txt im Image Ordner gefunden die dort auch nicht hin gehören und die mit den php Dateien am 29.12.2014 im Image Ordner erzeugt wurden. Die php Dateien kann ich noch nicht öffnen oder runter laden, irgendwie geht das vom Hoster aus gerade nicht. in der Textdatei "Log" steht dann:
| code: |
1:
|
myanimelist.net|--||--|f|--||--|f|--||--|1419851495 |
|
die Textdatei "kot" ist hingegen vollkommen leer.
Revolutionary Act
Die Spam-Emails wurden über die register.php verschickt?
Oder warum wurde die gesperrt?
Was genau ist aktuell das Problem, das Spam E-Mails verschickt werden?
Falls das über die register.php geschieht sollte man da mal reinschauen ob da Schadcode eingefügt wurde...
Mit welchen php Datein wurden diese .txt Files erzeugt?
Mit der register.php oder anderen?
SpahnRanche
Es hat irgendjemand Zugriff bei mir, hatte ja vorgestern den FTP und das Datenbank Paswort geändert.
Eben wurden aber wieder phps bearbeitet und wieder auf die selbe Art ganz am Ende der PHPs board, editpost, pms, index und search. Das war mir vor 3 Tagen aufgefallen, die wurde zuletzt (oder zuerst?) am 29.12.14 bearbeitet und Bidlerlinks im Hintergrund gesetzt wie folgt unter anderem:
| code: |
1:
|
<iframe src="http://myanimelist.net/animelist/-Luzifer-" style="display: none"></iframe><iframe src="http://www.gegenhund.org/board/index.php?action=forum" style="display: none"></iframe><iframe src="http://www.gegenhund.org/content/index.php" style="display: none"></iframe><iframe src="http://www.anipodium.com/threads/8725-Plauderthread" style="display: none"></iframe><iframe src="http://myanimelist.net/animelist/-Luzifer-" style="display: none"></iframe><iframe src="http://www.gegenhund.org/board/index.php?action=forum" style="display: none"></iframe><iframe src="http://www.gegenhund.org/content/index.php" style="display: none"></iframe><iframe src="http://www.anipodium.com/threads/8725-Plauderthread" style="display: none"></iframe><iframe src="http://myanimelist.net/animelist/-Luzifer-" style="display: none"></iframe><iframe src="http://www.gegenhund.org/board/index.php?action=forum" style="display: none"></iframe><iframe src="http://www.gegenhund.org/content/index.php" style="display: none"></iframe><iframe src="http://www.anipodium.com/threads/8725-Plauderthread" style="display: none"></iframe> |
|
Die ich eben wieder in die normale Form begracht habe. Sobald ich das raus nehme, muss das irgendwie also auffallen, weil da ist nun jemand munter gewurden und hat sogar Spam Mails geschickt, meint zumindest der Hoster der sich meldete. Ich habe dann eben das Passwort vom FTP auf schwierig wieder geändert mal sehen ob das hilft. Wodurch das passiert, muss ich noch rausfinden. Ich warte mal morgen den Log ab, da ja gegen 22Uhr wieder an den PHP Dateien gefuscht wurde und wieder 2 wxo.php erzeugt wurden. Muss der nicht eine IP hinterlassen? Vielleicht kann ich den so sperren. Das log.txt und kot.txt im image Ordner wurde zudem fremd erstellt und auch am 29.12.14 die ich heute gefundne habe. Habs gesichert und vom Webspace gelöscht. Die Register.php ist hingegen identisch mit meinem alten Backup, die wurde bisher nicht verändert. Der Hoster meinte aber, es wurden spammails über die Register.php verschickt. Hmmm
Im Anhang mal die 2 fremd erstellten Phps, die wxo ist immer gleich.
Nach Googeln des Inhaltes der php komme ich immer wieder nur auf diese eine Seite. Selbst kenne ich mich mit Codes ja überhaupt nicht aus.
http://www.exploit-db.com/papers/12898/
Revolutionary Act
Wenn im Server/FTP Log keine fremden IP Adressen stehen könnte es auch sein das
in irgendeine PHP Datei Schadecode eingefügt wurde der diese Datein automatisch erstellt.
Ein Exploit ist übrigens was böses,
das ist ein Script das es ermöglicht deine Seite "anzugreifen".
Ich würde dir empfehlen dein ganzes Forum, jede einzelne Datei mal genauer zu überprüfen.
Irgendwo muss dieser Schadcode, diese Datein ja herkommen. Das die per Hand erstellt werden ist ziemlich unwarscheinlich...
SpahnRanche
Ich habe was in verdacht, äußere mich dazu später.
Revolutionary Act
Alles klar, mach das.
SpahnRanche
Ich hatte einen smilieupload in Verdacht, guter letzt weis ich es aber nicht genau. Seit einigen Tagen hab ich keine fremden Zugriffe mehr, seitdem ich dem Upload runter geschmissen habe. Zuvor war innerhalb von Minuten oder wenigen Stunden wieder was fremdes drauf, was sich dann immer weiter entwickelt hatte. Der Hoster hatte eine index.php in dme Upload gesperrt, so bin ich drauf gekommen, dass dort die Sicherheitslücke ist. Guter letzt weis ich es aber nicht 100% eine Ip wurde nicht hinterlassen.
Revolutionary Act
Wenn nach dem entfernen die Datein nun nicht mehr erstellt werden klingt es zumindest nicht abwegig.
Ich würds einfach mal im Auge behalten. Falls doch wieder was passiert meld dich einfach.
pcsupport admins
nu da hat dir wohl jemand uber einen Image upload eine php backdor eingeschummelt.
die kann anschließend wenn man herausbekommt, wie der speicherpfad ist, ganz normal aufrufen. und alles mögliche anstellen, z.b. ist dabei ein ftp Password und db Password auch völlig uninteressant weil es nicht gebraucht wird, dein wbb hat die Daten ja gespeichert, in der config.php.
du musst bei dir auf jedenfall die upload Berechtigungen gegenprüfen und auch für gäste unterbinden.
also z.b. Datei typ, dateigröße usw...
evtl. auch noch die shelexec für php abstellen, geht aber nur wenn du zugriff auf die php.ini hats.
sonst schiebt derjenige dir die immer wieder unter.
und wenn noch nicht getan mach noch ein update vom wbb. beim wbb2 sind manuelle updates möglich wenn du einiges an addons installiert hast. diese findest auch im Support Brett beim woltlab.
SpahnRanche
Einen Image Uploade von MatPo hab ich noch, dort können auch Gäste hochladen. Der Ordner dazu war aber nicht betroffen (bisher!). Ich habe seit dem löschen des Smilieupload für User immer noch Ruhe. Danke für deine Tipps.