Unsichtbare Bilderspione! Wo kommen die her?`,-) |
SpahnRanche
Mitglied
Dabei seit: 20.05.09
Beiträge: 265
Fähigkeiten: WBB2 Anfänger Forenversion: 2.3
|
|
Ich bin gerade überfragt, laut Google Webmaster-Tools und laut Firefox Browser Grafik-Infoanzeige habe ich Bilder in meinem Style (bestimmt Hauptseite) die ich garnicht kenne, sehe oder geschweige denn in den Template oder Designereinstellungen finde.
Es sind alles Anime(hotlinks)seiten deren Bilder ich "angeblich" drin habe und zwar auf jedem Style sollen die drin sein.
Laut Google Webmaster-Tools sollen sie die Ladezeit der Seite stören, deswegen bin ich überhaupt drauf aufmerksam gewurden. Kann mir das mal jemand erklären?
Wie finde ich heraus, wo die denn eingebaut sind.
Ich hab die Grafik-Infoanzeige mal auf 5 anderen Seiten getestet (auch vom selben Hoster), dort kommen solche merkwürdigen Bilderlinks nicht vor.
Dateianhänge: |
bild-2.jpg (116,31 KB, 278 mal heruntergeladen) bild-1.jpg (118 KB, 263 mal heruntergeladen) bild-3.jpg (117 KB, 255 mal heruntergeladen)
|
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von SpahnRanche: 04.03.15 01:48.
|
|
04.03.15 01:46 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
Ein Oberflächlicher Blick in deinen Quelltext zeigt mir folgendes (ganz am Ende) an:
code: |
1:
2:
3:
|
</html><iframe src="http://myanimelist.net/animelist/-Luzifer-" style="display: none"></iframe>
<iframe src="http://www.gegenhund.org/board/index.php?action=forum" style="display: none"></iframe>
<iframe src="http://www.anipodium.com/threads/8725-Plauderthread" style="display: none"></iframe> |
|
Ist übrigens ziemlich verdächtig eingebunden nach </html> so...
Vielleicht garnicht beabsichtigt?
Da jedenfalls scheint ein Großteil oder auch alles herzukommen, über diese Iframes...
__________________ » Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
04.03.15 02:16 |
E-Mail
Finden
Als Freund hinzufügen
|
|
|
Da der Iframe anscheinend ausschließlich in der index auftaucht (Grob geschaut und nur im Standardstyle der für Gäste zu sehen ist) würde ich mal das Template index.tpl und die index.php durchschauen, ob Du da was siehst.
|
|
04.03.15 12:59 |
E-Mail
Finden
Als Freund hinzufügen
|
|
SpahnRanche
Mitglied
Dabei seit: 20.05.09
Beiträge: 265
Fähigkeiten: WBB2 Anfänger Forenversion: 2.3
Themenstarter
|
|
Es wurden 10 PHPs (addreply, board, editpost, index, newthread, pms, register, search, usercp und usergrous) bearbeitet und immer mit diesem Iframe Code zuletzt drin, mehr hab ich nicht gefunden und Bilder sind raus. Es sind PHPs vom 29.12.2014 und 18.02.2015 FTP Bearbeitung betroffen, die nicht meines Wissens zu der Zeit bearbeitet wurden. FTP Login ist aber nichts auffällig bzw. nicht vorhanden. Template hatte ich zuvor schon durchsucht und nichts gefunden, in den PHPs suchen lassen, weis ich nicht wie es geht. Also hat der Hacker schon ziemlich lange Zugriff gehabt, ich frag mich für was, es ist bis auf einen kurzen Hänger bis dato nichts aufgefallen.
Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von SpahnRanche: 04.03.15 14:36.
|
|
04.03.15 14:26 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
Zitat: |
Zugriff hatte damals noch ein Admin von uns der sich einzig noch mit der Technik überhaupt (gut!) auskennt, der hatte allerdings sonst keine E-Mail oder andere mir bekannte Konten und war wohl auch im Darknet aktiv. |
Zitat: |
Alleridngs hab ich ihn vertraut und nie Zoff mit ihm |
Ich möchte niemanden etwas untestellen, jedoch sind Leute aus der Darknet/Cyberkriminellen-Scene
meist nicht vertrauenswürdig. Selbst wenn du "scheinbar" ein gutes Verhältnis mit ihm hattest, schonmal was von Social Engineering gehört?
Folglich könnte man dir vorgespielt haben "gut Kumpel" zu sein und es in wahrheit auf deine Seite
abgesehen haben, eine leider gängige Praxis...
Die Links die ich auf deiner Seite gefunden habe sind soweit harmlos wie es scheint,
ich denke die wurden eingebunden um den Traffic der Seiten zu steigern, wieso auch immer...
Was allerdings nicht heißt das nicht mehr "Schindluder" getrieben wurde.
Der "Admin/Hacker" könnte sich auch ein Backup deiner Datenbank gemacht und somit Userdaten gestohlen haben.
(Privat Nachrichten, Ip Adressen, Email Adressen, Passwörter...)
Nochmal:
Ich kenne deinen "Admin" nicht persönlich und will nichts unterstellen,
dieser Beitrag soll nur aufzeigen was passieren kann wenn man den falschen Leuten sensible Daten anvertraut und warum.
__________________ » Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
04.03.15 15:51 |
E-Mail
Finden
Als Freund hinzufügen
|
|
|
Die Spam-Emails wurden über die register.php verschickt?
Oder warum wurde die gesperrt?
Was genau ist aktuell das Problem, das Spam E-Mails verschickt werden?
Falls das über die register.php geschieht sollte man da mal reinschauen ob da Schadcode eingefügt wurde...
Mit welchen php Datein wurden diese .txt Files erzeugt?
Mit der register.php oder anderen?
__________________ » Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
09.03.15 20:02 |
E-Mail
Finden
Als Freund hinzufügen
|
|
SpahnRanche
Mitglied
Dabei seit: 20.05.09
Beiträge: 265
Fähigkeiten: WBB2 Anfänger Forenversion: 2.3
Themenstarter
|
|
Es hat irgendjemand Zugriff bei mir, hatte ja vorgestern den FTP und das Datenbank Paswort geändert.
Eben wurden aber wieder phps bearbeitet und wieder auf die selbe Art ganz am Ende der PHPs board, editpost, pms, index und search. Das war mir vor 3 Tagen aufgefallen, die wurde zuletzt (oder zuerst?) am 29.12.14 bearbeitet und Bidlerlinks im Hintergrund gesetzt wie folgt unter anderem:
code: |
1:
|
<iframe src="http://myanimelist.net/animelist/-Luzifer-" style="display: none"></iframe><iframe src="http://www.gegenhund.org/board/index.php?action=forum" style="display: none"></iframe><iframe src="http://www.gegenhund.org/content/index.php" style="display: none"></iframe><iframe src="http://www.anipodium.com/threads/8725-Plauderthread" style="display: none"></iframe><iframe src="http://myanimelist.net/animelist/-Luzifer-" style="display: none"></iframe><iframe src="http://www.gegenhund.org/board/index.php?action=forum" style="display: none"></iframe><iframe src="http://www.gegenhund.org/content/index.php" style="display: none"></iframe><iframe src="http://www.anipodium.com/threads/8725-Plauderthread" style="display: none"></iframe><iframe src="http://myanimelist.net/animelist/-Luzifer-" style="display: none"></iframe><iframe src="http://www.gegenhund.org/board/index.php?action=forum" style="display: none"></iframe><iframe src="http://www.gegenhund.org/content/index.php" style="display: none"></iframe><iframe src="http://www.anipodium.com/threads/8725-Plauderthread" style="display: none"></iframe> |
|
Die ich eben wieder in die normale Form begracht habe. Sobald ich das raus nehme, muss das irgendwie also auffallen, weil da ist nun jemand munter gewurden und hat sogar Spam Mails geschickt, meint zumindest der Hoster der sich meldete. Ich habe dann eben das Passwort vom FTP auf schwierig wieder geändert mal sehen ob das hilft. Wodurch das passiert, muss ich noch rausfinden. Ich warte mal morgen den Log ab, da ja gegen 22Uhr wieder an den PHP Dateien gefuscht wurde und wieder 2 wxo.php erzeugt wurden. Muss der nicht eine IP hinterlassen? Vielleicht kann ich den so sperren. Das log.txt und kot.txt im image Ordner wurde zudem fremd erstellt und auch am 29.12.14 die ich heute gefundne habe. Habs gesichert und vom Webspace gelöscht. Die Register.php ist hingegen identisch mit meinem alten Backup, die wurde bisher nicht verändert. Der Hoster meinte aber, es wurden spammails über die Register.php verschickt. Hmmm
Im Anhang mal die 2 fremd erstellten Phps, die wxo ist immer gleich.
Nach Googeln des Inhaltes der php komme ich immer wieder nur auf diese eine Seite. Selbst kenne ich mich mit Codes ja überhaupt nicht aus.
http://www.exploit-db.com/papers/12898/
Dateianhänge: |
wxo.php (24,18 KB, 1 mal heruntergeladen) image.php (5,35 KB, 2 mal heruntergeladen)
|
Dieser Beitrag wurde 5 mal editiert, zum letzten Mal von SpahnRanche: 09.03.15 22:39.
|
|
09.03.15 22:34 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
Wenn im Server/FTP Log keine fremden IP Adressen stehen könnte es auch sein das
in irgendeine PHP Datei Schadecode eingefügt wurde der diese Datein automatisch erstellt.
Ein Exploit ist übrigens was böses,
das ist ein Script das es ermöglicht deine Seite "anzugreifen".
Ich würde dir empfehlen dein ganzes Forum, jede einzelne Datei mal genauer zu überprüfen.
Irgendwo muss dieser Schadcode, diese Datein ja herkommen. Das die per Hand erstellt werden ist ziemlich unwarscheinlich...
__________________ » Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
10.03.15 03:48 |
E-Mail
Finden
Als Freund hinzufügen
|
|
|
Alles klar, mach das.
__________________ » Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
10.03.15 18:54 |
E-Mail
Finden
Als Freund hinzufügen
|
|
|
Wenn nach dem entfernen die Datein nun nicht mehr erstellt werden klingt es zumindest nicht abwegig.
Ich würds einfach mal im Auge behalten. Falls doch wieder was passiert meld dich einfach.
__________________ » Meine Erweiterungen
Lite 1
» Sitemanager Lite (Download)
» Infobox für den Index (Frei definierbar) (Download)
» Gefällt mir (Für Beiträge, Facebook Like) (Download)
» BBCode Youporn und Pornhub (Download)
» User Anstupsen (Facebook Like) (Download)
» your-WBB.de Invitesystem Pro (Download)
» Pflichtthread (Download)
» Sicherheitsfrage beim registrieren (Download)
» your-WBB.de Mobile Erkennung (Download)
» Geburtstag und Geschlecht Pflicht beim registrieren (Download)
WBB 2.3.x
» BBCode Youporn und Pornhub PRO (Download)
» your-WBB.de Mobile Erkennung (Download)
lg
Revolutionary Act
|
|
16.03.15 18:04 |
E-Mail
Finden
Als Freund hinzufügen
|
|
|