Fork me on GitHub
"XOOPS ist ein dynamisches OO (Objekt Orientiertes) open source Portal Script geschrieben in PHP. XOOPS ist ein ideales CMS (Content Management System) für den Aufbau von kleineren und grösseren Communities, Firmen-, Intra- und Internet-Portale, Web-Logs und vieles mehr."
forum
Bitte schaut in die DOKUMENTATION oder benutzt die SUCHFUNKTION bevor Ihr Eure Fragen im Forum stellt. Viele Fragen wurden bereits gestellt.

Leser in diesem Thema:   1 Anonyme(r)


« 1 2 (3) 4 5 6 »


Re: Fremder Code in der index.php
#21
Benutzerinformationen
so wir kommen der Sache schon mal näher
Der Virus : Trojan.IFrame.BI

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#22
Benutzerinformationen
Schön, jetzt kennen wir ihn mit Namen

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#23
Benutzerinformationen
so und nun brauchst du nur mal nachzuschauen, wer als letzter was hochgeladen hat, bevor das auftrat, dann weisste auch woher der kommt
(nämlich von einem infizierten Rechner)

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#24
Benutzerinformationen
Verstehe ich das richtig, dass es ausreichend ist, wenn jemand z.B. ein Bild ins Forum einfügt und das über einen verseuchten PC macht?

Geschrieben: 17.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#25
Benutzerinformationen
Das kann/möchte ich mir nicht vorstellen.

Denn dann hätte es doch eigentlich auf dem Server beim Hoster Alarm geben müssen,oder?

Ausserdem hab ich in meinem Upload-Verzeichnis keine Daten, die dem Datum entsprechen.
Und die letzten Bilder dort sind von mir.
Hochgeladen wurden diese über die Upload-Funktion des CBB.

Fakt ist auch, das jemand Zugriff zu meinem FTP hatte.
Wie ich Anfangs schon schrieb wurde die Index.php in einem Verzeichnis geändert,
das mit .htaccess geschützt ist.

Das Logfile liegt auf meinem Server.
Ich habe es mal runter geladen.
Leider kann man da nicht vernünftig lesen.

Wie kann ich mir das vernünftig formatiert ausgeben lassen?

Hier mal ein Auszug davon.....
212.222.51.14 - - [15/Jul/2008:02:43:10 +0200"GET /modules/wfdownloads/ HTTP/1.1" 200 24190 "-" "eBay Relevance Ad Crawler powered by contentDetection (www.mindup.de)" www.personalbit.de
212.222.51.14 
- - [15/Jul/2008:02:43:10 +0200"GET /modules/wfdownloads/module.css HTTP/1.1" 200 969 "-" "eBay Relevance Ad Crawler powered by contentDetection (www.mindup.de)" www.personalbit.de
74.55.143.210 
- - [15/Jul/2008:02:43:10 +0200"GET /modules/news/article.php?storyid=335 HTTP/1.1" 200 23029 "-" "Opera Mini versions:" www.personalbit.de
212.222.51.16 
- - [15/Jul/2008:02:43:36 +0200"GET /modules/news/article.php?storyid=127 HTTP/1.1" 200 21833 "-" "eBay Relevance Ad Crawler powered by contentDetection (www.mindup.de)" www.personalbit.de
74.6.18.240 
- - [15/Jul/2008:02:43:48 +0200"GET /modules/news/print.php?storyid=66 HTTP/1.0" 200 7974 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" www.personalbit.de
74.55.143.210 
- - [15/Jul/2008:02:44:22 +0200"GET /modules/news/newcomment.php?item_id=154&order=1&mode=flat HTTP/1.1" 404 293 "-" "Mozilla/4.76 [en] (PalmOS; U; WebPro/3.0.1a; Palm-Arz1)" www.personalbit.de
74.55.143.210 
- - [15/Jul/2008:02:44:50 +0200"GET /modules/news/newcomment.php?item_id=579&order=1&mode=flat HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.50" www.personalbit.de
209.234.171.37 
- - [15/Jul/2008:02:45:00 +0200"GET /robots.txt HTTP/1.0" 404 278 "-" "ia_archiver" extra.personalbit.de
209.234.171.37 
- - [15/Jul/2008:02:45:00 +0200"GET / HTTP/1.0" 200 4663 "-" "ia_archiver" extra.personalbit.de
89.149.209.111 
- - [15/Jul/2008:02:45:05 +0200"GET /modules/newbb/newtopic.php?forum=41 HTTP/1.0" 200 24390 "http://www.personalbit.de/modules/newbb/newtopic.php?forum=41" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0" www.personalbit.de
89.149.209.111 
- - [15/Jul/2008:02:45:07 +0200"POST /modules/newbb/post.php HTTP/1.0" 200 "http://www.personalbit.de/modules/

Geschrieben: 18.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#26
Benutzerinformationen
Zitat:

chris47803 schrieb:

Fakt ist auch, das jemand Zugriff zu meinem FTP hatte.


... der dann mühevoll alle Dateien runtergeladen, abgeändert/erweitert und dann wieder hoch geladen hat? Das wiederum kann ich mir nicht vorstellen.

Geschrieben: 18.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#27
Benutzerinformationen
Hallo!

Meine Mail an den Hoster.........
Zitat:

Wie kann ich mir denn die access_log formatiert anzeigen lassen,
so das ich dort auch etwas lesen kann.
Sind dort überhaupt FTP-Zugriffe gelistet?


Seine Antwort...
Zitat:

hier müssen Sie ein Tool zur Weblog Auswertung verwenden.
Versuchen könnten Sie es mit der Liteversion von www.weblogexpert.com
(http://weblogexpert.com/download.htm)

Die FTP Zugriffe sind in Ihren Logfiles nicht mit aufgeführt. Zudem ist bei
Ihnem mit hoher Wahrscheinlichkeit keine Veränderung per FTP durchgeführt
worden.


Das Tool ist sehr schön für eine Statistik,
bringt mich aber nicht weiter.

Und die access_log nützt mir auch nichts,
weil dort nichts steht,
was mir helfen kann.

@ Der_Lord
Wie kann denn sonst Jemand eine Datei in einem Verzeichnis ändern,
das mit .htaccess geschützt ist?

Gruß, Chris

Geschrieben: 18.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#28
Benutzerinformationen
Mal laienhaft ausgedrückt: ein Skript, das den Dateien vorgaukelt es sein kein User, sondern ein Systemzugriff. Andernfalls würden ja auch solche Programme wie der Dumper nicht laufen

Geschrieben: 18.07.2008
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#29
Benutzerinformationen
Und wie kommt das Script in das mit .htaccess geschützte Verzeichnis?

Da fällt mir noch etwas ein.......

In meinem Forum habe ich einen User der meist mit der IP 127.255.255.255 kommt.


Und am 14.07.2008 habe ich folgende Mail über mein Kontaktformular erhalten.

Zitat:

Hast Du schon mal die IP´s von Name entfernt und Name entfernt verglichen??? Kleiner Tip, das ist der gleiche Typ! Name entfernt hat nämlich noch noch eine Mail entfernt Adresse!

Ich würd vorsichtig sein!


Absender war tip@fuer-personalbit.de

Geschrieben: 18.07.2008
_________________
PersonalBit | Formel 1
Erstelle PDF des Beitrags Drucke

Re: Fremder Code in der index.php
#30
Benutzerinformationen
Zitat:

Die FTP Zugriffe sind in Ihren Logfiles nicht mit aufgeführt.


ist korrekt, weil die in einem anderen File sind

Zitat:

Zudem ist bei
Ihnem mit hoher Wahrscheinlichkeit keine Veränderung per FTP durchgeführt
worden.


ist auch korrekt, denke der Hoster sollte mal seinen kompromittierten Server checken, zugeben wird er es sowieso nicht

Zitat:
Und wie kommt das Script in das mit .htaccess geschützte Verzeichnis?


der htaccess-Schutz ist nur aus dem Web, sozusagen, aber das ganze passiert physikalisch auf dem Server, so wie du daheim auf deiner Festplatte zugreifst

Mit der IP-Adresse ist normal, kommt, wenn die Adresse nicht korrekt ausgelesen werden kann, durch Proxy z.B. Ist ein Fehler im Forum

Geschrieben: 18.07.2008
Erstelle PDF des Beitrags Drucke







[Erweiterte Suche]