Quellcode wird verändert - Gegenmittel
Eingetragen von t.sebesta (72)am 03.11.2008 - 12:32 Uhr in
Immer wieder wird in den Quellcode der page.tpl.php ein Code eingeschleust, der dann bei den Nutzern eine Virusmeldung auslöst.
Ich mein' der Code ist leicht zu finden und zu entfernen, aber es ist ja kein Dauerzustand und mir fallen schon die Benutzer ab.
Ich hab jetzt die Datei selbst schon nur auf lesen gesetzt, aber es passiert immer noch.
Ich weiß mir nicht zu helfen.
Aufgesetzt ist Drupal 5.2
Gruß
Thomas
- Anmelden oder Registrieren um Kommentare zu schreiben
Das klingt nach gehacktem
am 03.11.2008 - 13:56 Uhr
Das klingt nach gehacktem Server. Lass mich raten. Ein VPS?
Gegenmittel: Lücke suchen und schließen. Und die Ursache finden. WAS verändert deinen code?
Infomationen und wissenswerte rund um eines der leckersten Hobbys?
www.cocktail4all.info
Hallo Thomas, zunächst
am 03.11.2008 - 13:58 Uhr
Hallo Thomas,
zunächst einmal würde ich den Drupal Core auf 5.12 updaten, als nächstes alle Module. Welche Rechte haben denn Deine User? Dürfen diese PHP ausführen? Welche Attribute hat die Datei page.tpl.php ? Etwa 777 ??? Es kann natürlich auch am OS bzw. PHP (Settins) bzw. dem Webserver liegen...
*************************************************************************************************
Drupalcon Germany - Go Go Go - Mehr Infos zur Drupalcon & zum Drupalcamp in
Deutschland gibst unter http://groups.drupal.org/drupalcamp-drupalcon-germany
5.12? laut Statusbericht
am 03.11.2008 - 14:27 Uhr
5.12? laut Statusbericht läuft ja schon 5.2.
Das Ding läuft auf einem Hostserver (www.world4you.com) und ich habe direkt keine Möglichkeit dort am Schräubchen zu drehen. Die betreffende Datei läuft unter 644 und meine User dürfen kein PHP-benutzen, nur der Admin.
Ich versuche da einem Verein zu helfen dessen Page angegriffen wird.
Ich sehe halt das PRoblem auf mich zukommen, dass wenn ich den Hoster anrufe das erste sein wird, dass es mal auf Drupal geschoben wird?!
Gruß
Thomas
Wie oft?
am 03.11.2008 - 14:40 Uhr
Wie oft wird der code denn geändert?
Täglich ? Stundlich ? Sofort? Bei jeden Cron lauf?
Wie kompliziert ist denn euer FTP Passwort? Würd ich zur Sicherheit einfach mal ändern, und schauen ob der Fehler weiterhin auftritt.
Infomationen und wissenswerte rund um eines der leckersten Hobbys?
www.cocktail4all.info
Was ich jetzt mitbekommen
am 03.11.2008 - 14:47 Uhr
Was ich jetzt mitbekommen habe so in etwa alle zwei drei Wochen - allerdings mit steigender Tendenz.
Hmm, FTP-Passwort - mal ne' Idee. Danke. Einen Versuch kann ja nicht schaden.
Gruß
Thomas
t.sebesta schrieb5.12?
am 03.11.2008 - 15:27 Uhr
5.12? laut Statusbericht läuft ja schon 5.2.
Eben! die aktuelle Version ist 5.12 (Fünf Zwölf) nicht 5.1.2 (Fünf Eins Zwei) also gabs seit 5.2 schon 10 Updates. ;-)
Roger
Rabbit69 schrieb t.sebesta
am 03.11.2008 - 17:27 Uhr
5.12? laut Statusbericht läuft ja schon 5.2.
Eben! die aktuelle Version ist 5.12 (Fünf Zwölf) nicht 5.1.2 (Fünf Eins Zwei) also gabs seit 5.2 schon 10 Updates. ;-)
Roger
tja, da war wohl ein fiktiver Punkt in meine Gedanken :)
Gruß
Thomas
Installier bitte mal das
am 03.11.2008 - 18:44 Uhr
Installier bitte mal das Modul, Update-Status. Ich will nicht wissen, wieviele Updates erscheinen, wenn du die Suche startest. :D
----------------------------------------
Alle Angaben ohne Gewähr!!:D
http://www.tobiasbaehr.de/
Was genau wird denn geändert?
am 03.11.2008 - 18:57 Uhr
Hallo,
poste doch mal den geänderten Code hier (aber bitte in code - /code Tags!). Vielleicht sehen wir dann klarer.
Gruß,
Boris
Danke für den Tipp
am 03.11.2008 - 19:23 Uhr
Danke für den Tipp
MAch' ich, wenn das nächste
am 03.11.2008 - 19:24 Uhr
MAch' ich, wenn das nächste Mal passiert