Seite gehackt?
Eingetragen von teddy (329)am 27.05.2011 - 07:29 Uhr in
Hallo,
heute ist mit beim durchsehen der Log files aufgefallen, dass es dort oft einträge gibt dass die Seite "GWHzXFHwOuk" nicht gefunden werden konnte.
In der Detailansicht stand auch die Seite auf der der Fehler aufgetreten ist.
Nach durchsicht des Quelltext ist mir folgender Teil aufgefallen:
<script type="text/javascript" src="/GWHzXFHwOuk"></script><p><noscript><br /> Danach kommen 5 Links zu fremden (deutschen) Webseiten.
Kann es sein dass einer meiner Useraccounts gehackt wurde? Es gibt drei Benutzer: Admin, User und testuser...
Ich habe die Benutzerkennwörter natürlich direkt geändert.
Wenn sich jmd zugang zu der Seite verschafft hat, was kann ich in zukunft noch dagegen tun?
Drupal und die Module halte ich immer auf dem neusten Stand.
Danke schon mal im vorraus.
- Anmelden oder Registrieren um Kommentare zu schreiben
Das kann man so pauschal
am 27.05.2011 - 10:29 Uhr
Das kann man so pauschal nicht sagen - kannst du mal den Link der Seite posten ?
Vlt. wird der Code auch durch ein Addon im Firefox oder ein externes Javascript ( jQuery Plugin o.ä. ) in die Seite eingefügt ..
SteffenR
Für mich sieht das stark nach
am 27.05.2011 - 11:12 Uhr
Für mich sieht das stark nach "gehackt" aus.
Da hat jemand Links im noscript-Bereich untergebracht. Jetzt ist die Frage wo dieser Code eingebunden wurde? Direkt in der page.tpl.php oder in der Node.tpl.php? Könnte dann nämlich sein, dass der Server (über eine Schwachstelle) direkt gehackt wurde und der Angreifer root-Rechte hat. Mit den Login-Daten für Deine Drupal-Installation hat man ja nicht automatisch auch FTP- oder SSh-Zugang zum Hochladen der Dateien.
Danke schonmal für die
am 27.05.2011 - 21:38 Uhr
Danke schonmal für die antworten
Das hier ist der genaue codeteil:
<script type="text/javascript" src="/GWHzXFHwOuk"></script><p><noscript><br /><p style="margin-top:50px;text-align:center;"><a href='http://www.hvid.de'>Hvid</a> - <a href='http://www.business-resources.de'>Business resources</a> - <a href='http://www.satteldachgarage.de'>Satteldachgarage</a> - <a href='http://www.xn--stdtetour-w2a.eu'>Städtetour</a> - <a href='http://www.gewaltdarstellung.de'>Gewaltdarstellung</a></p>
<p></p></noscript></p>
Der Code war nur auf einer einzigen Seite, habe sämtliche anderen Nodes durchsucht aber nichts vergleichbares gefunden.
Die page.tpl und die node.tpl sind nicht betroffen.
Denke wenn jmd in den Server gekommen wäre, dann wären mehr seiten betroffen. oder?
Was mir aufgefallen ist. Alle Domains gehören zu der gleichen Firma
"DomainProfi GmbH"
und alle domains stehen zum verkauf.
Könnte somit sein, dass die links eingeschleust wurden, um den Pagerank bei Google zu erhöhen und somit die Domains wertvoller zu machen...
Muss dazu sagen, dass ich die letzten zwei Wochen extreme Spams triotz reCaptcha im Gästebuch hatte, habe es deshalb bis auf weiteres deaktiviert.