Hallo,

wenn ich auf meine Seite zugreife und dann mich einlogge werde ich zum Url
http://phpnet.us/blog8/index.php weitergeleitet. Wurde meine Site gehackt. Ich kann mir das nicht erklären wie dies passieren konnte. Kann mir vielleicht jemand helfen?

Hier der Url meiner Seite: http://dksite.de


Besten Dank
Basar

Ich kann von einer Weiterleitung deine HP nichts feststellen.

Kann es sein, dass Du inzwischen auf deiner HP was verändert hast?

Muki

Auch bei mir ist jetzt um 0730 alles in Ordnung

Wenn ich es richtig verstanden habe, passiert die Weiterleitung erst nach dem einloggen.

Ups, ja jetzt hab ichs auch gesehen. Da scheint irgendein redirect drinnen zu sein.

Am besten mal das ganze Xoops vom Server holen und die Files nach dem Vorkommen von phpnet.us durchsuchen oder mit WinMerge mit einem Backup oder Standardinstallation vergleichen. Mach auch zur Sicherheit ein Datenbankbackup bevor du irgendwas an der Seite rumschraubst, aktivierst oder deaktivierst.

Wenn du beim Einloggen am Browser gleich auf \"Abbrechen\" gehst, dann bleibst du auf deiner Seite. Das Problem sollte in einem Bereich liegen, den nur eingeloggte Benutzer sehen.

Noch etwas: Bevor du was auf den Server raufladest, schau dir an welches Filedatum die Datei am Server hat. Falls du zu diesem Zeitpunkt niichts geändert hast, dann wird deine Seite angegriffen worden sein. In diesem Fall frage bei deinem Hoster nach ob zu diesem Zeitpunkt ein FTP Zugriff war. Lasse dir auch Sicherheitshalber ein neues Passwort geben. Der Hoster wird dir sicher nicht sagen, dass er ein Sicherheitsproblem hat/hatte, sondern wird mal sagen, dass du deine Zugangsdaten weitergegeben hast. Lass dich halt nicht abwimmeln.

Hallo,

danke für die Anworten!

Also ich habe alle Dateien vom Server runtergeladen und auf den Namen phpnet abgesucht, aber nichts gefunden. Habe auch die Datenbank abgesucht, auch dort nichts gefunden. Ich komme einfach nicht mehr weiter und die Weiterleitung ist immer noch drin. Habe auch auf meinem Server nichts anderes drauf, nur die Xoops Dateien.

Was könnte ich noch machen? Und auf eine Neuinstalltion möchte ich verzichten.

Bitte um eure Hilfe

MfG
Basar

Wirf mal alles raus was nach Banner, Werbung, Shockwave oder gleichen ausschaut. Wenn ich mich einlogge kommt gleich mal so eine Riesentapete in der Mitte des Bildschirms.

Das scheint der selbe Hack zu sein, der auf xoops.org gepostet und dann aus mir unerfindlichen gründen gelöscht wurde.

Um konkrete Aussagen zu machen müssen man sich das näher angucken.

Das einzige was ich hier empfehlen kann, alles runterschmeißen und letzte Sicherung wieder aufspielen. Das gilt für das Core wie auch für die DB.

Muki

Hallo,

also jetzt läuft wieder alles wieder normal
Nur ich verstehe nicht wieso die Umleitung jetzt wieder raus ist, ich habe definitiv den Umleitungsbefehl nicht gefunden und auch nicht beseitigt.

Also Xoops muss irgendwo eine offene Stelle haben.

MfG
Basar

Zitat:
Könnte sein, nur eines hat es nicht, nämlich Selbstheilungskräfte.

Wenn ein hacking vorhanden ist, dann löscht es sich nicht von selbst.
Irgendwas muss dazu beigetragen haben dass diese Domainumleitung nicht mehr vorhanden ist. Frag mal ev. deinen Hoster, denn über die Logdateien kann man dieses nachvollziehen.

Muki