#53

Re: Fremder Code in der index.php

23.07.2008 18:20 Und was sagt uns whois über de-my.page.info?


Domain ID:D17554674-LRMS
Domain Name:DE-MY-PAGE.INFO
Created On:28-Apr-2007 20:16:19 UTC
Last Updated On:19-Jun-2008 14:02:50 UTC
Expiration Date:28-Apr-2009 20:16:19 UTC
Sponsoring Registrar:EstDomains, Inc. (R295-LRMS)
Status:OK
Registrant ID:DI_6260752
Registrant Name:brian brown
Registrant Organization:N/A
Registrant Street1:6869 Speckle Way
Registrant Street2:
Registrant Street3:
Registrant City:sacramento
Registrant State/Province:California
Registrant Postal Code:95842
Registrant Country:US
Registrant Phone:+916.9953722
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:mustangwabb@yahoo.com
Admin ID:DI_6260752
Admin Name:brian brown
Admin Organization:N/A
Admin Street1:6869 Speckle Way
Admin Street2:
Admin Street3:
Admin City:sacramento
Admin State/Province:California
Admin Postal Code:95842
Admin Country:US
Admin Phone:+916.9953722
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:mustangwabb@yahoo.com
Billing ID:DI_6260752
Billing Name:brian brown
Billing Organization:N/A
Billing Street1:6869 Speckle Way
Billing Street2:
Billing Street3:
Billing City:sacramento
Billing State/Province:California
Billing Postal Code:95842
Billing Country:US
Billing Phone:+916.9953722
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:mustangwabb@yahoo.com
Tech ID:DI_6260752
Tech Name:brian brown
Tech Organization:N/A
Tech Street1:6869 Speckle Way
Tech Street2:
Tech Street3:
Tech City:sacramento
Tech State/Province:California
Tech Postal Code:95842
Tech Country:US
Tech Phone:+916.9953722
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:mustangwabb@yahoo.com
Name Server:NS1.DE-MY-PAGE.INFO
Name Server:NS2.DE-MY-PAGE.INFO

#52

Re: Fremder Code in der index.php

23.07.2008 17:29 Zitat:

ich favorisiere diese beiden
bei Punkt 4 sind wir allerdings auf die Mitarbeit (und Ehrlichkeit) des Hosters angewiesen, tendiere aber eher zu Punkt 2.

Zitat:

Darf man sich getrost sparen.

#51

Re: Fremder Code in der index.php

23.07.2008 17:20 Hallo!

Mit Erschrecken musste ich nun feststellen,
das der Pansen mit dieser IP auf allen FTPs war zu denen ich Zugang habe,
auch welche die bei einem anderen Hoster liegen.

Mein Hoster hat herausgefunden, das die IP zu de-my-page.info gehört.

Ich scanne nun grad meine Rechner und stehe in Kontakt zu Trojaner-Board.

Ich hasse diese scheiß Hacker.

Chris

#50

Re: Fremder Code in der index.php

23.07.2008 16:02 Ich hab mal interessenhalber nachgeschaut zu welchem Hoster die IP 209.160.22.98 gehört, die in dem Logfile angegeben ist (http://tools.whois.net/whoisbyip/).

Da kam folgendes heraus:

OrgName: HopOne Internet Corporation
OrgID: HOPO
Address: 3311 South 120th Place
City: Tukwila
StateProv: WA
PostalCode: 98168-5125
Country: US

NetRange: 209.160.0.0 - 209.160.79.255
CIDR: 209.160.0.0/18, 209.160.64.0/20
NetName: HOPONE-MULTI-SITE-1
NetHandle: NET-209-160-0-0-1
Parent: NET-209-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.HOPONE.NET
NameServer: NS5.HOPONE.NET
NameServer: NS3.HOPONE.NET
NameServer: NS2.HOPONE.NET
NameServer: NS6.HOPONE.NET
NameServer: NS4.HOPONE.NET
Comment: HopOne Internet Corp.(R)
Comment: The Foundation of Internet Success.(R)
RegDate: 2004-02-04
Updated: 2007-05-08



Dazu kann ich persönlich nur folgendes sagen, unter der Voraussetzung, dass du definitiv keiner dritten Person deine Zugangsdaten mitgeteilt hast:

1. Wenn du Benutzernamen, Password und IP des FTP Server für deinen FTP Zugang auf deinem Rechner hast, dann könntest du einen Virus haben, der das ausgelesen hat.
2. Du könntest dir einen Keylogger eingetreten haben, der auf FTP Software geht.
3. Du verwendest einen FTP Client mit integrierter "Phone Home any Password" Technik.
4. Dein Hoster hat definitiv ein Problem.

Die Wahrscheinlichkeit der einzelnen Punkte musst du selbst bewerten. Ich hätte da schon gewisse Präferenzen.

Du könntest auch an abuse@hopone.net schreiben und den Sachverhalt mit inkludiertem FTP Protokoll und Verweis auf deinen Hoster klarlegen. Obs hilft ist wieder was anderes.

#49

Re: Fremder Code in der index.php

22.07.2008 20:47 Ca das 10fache

ARCOR DSL 6000

#48

Re: Fremder Code in der index.php

22.07.2008 20:37 Wie langsam ?
etwa so das 4-5 fache vom normalen ?
Was für einen Inet-Zugang hast du (kann auch per PM mitgeteilt werden) ?

Erklärung später

#47

Re: Fremder Code in der index.php

22.07.2008 20:32 Nur meine Startseite (index.php) war langsam.

Alle anderen Links auf meiner Seite liefen wie gewohnt schnell.

Könntest du mir das Ganze bitte etwas genauer erklären?

Momentan verstehe ich nur Bahnhof.

Chris

#46

Re: Fremder Code in der index.php

22.07.2008 20:15 Zitat:
ich sehe du verstehst mich schon besser


Zitat:

damit meinte ich eher, wenn du deine Seite aufgerufen hast, war das schon langsam oder erst nachdem du weitere Seiten aufgerufen hast ?

Zitat:[/quote]

Die IP-Adresse gehört zu der Website, wo die Malware herstammt.

#45

Re: Fremder Code in der index.php

22.07.2008 20:11 Zitat:

Länger als es im Logfile steht.


Zitat:

Die Änderung der Index.php erfolgte am 07.07.08.
Meine Seite wurde erst am 15.07.08 langsam.


Zitat:

Das verstehe ich nicht.

#44

Re: Fremder Code in der index.php

22.07.2008 19:40 Zitat:

ist zwar nicht so gut, aber hier im öffentlichen Forum ganz gut

Zitat:

damit ich sehe, wann du per FTP zugang hattest,
in dem Fall nicht

Kurze Frage, wie lange brauchst du um eine Datei zu ändern, also sprich runterladen, ändern, hochladen) ?

War die Seite beim ersten Aufruf schon langsam oder wurde sie langsamer ?

PS: Der FTP-Zugang wurde vom Virus benutzt

PPS: Bitte nicht die IP-Adresse mittels Browser aufrufen (vor allen Dingen IE) !!!