#1

Aw:: Server gehackt

28.01.2010 18:38 Zitat:
Genau. Problem war zencart, genauer
modules/shop/admin/record_company.php/password_forgotten.php
, lief in einer Installation eines Kunden.
Eine veraltete, unsichere Modulversion.
alfred hatte völlig Recht.

http://www.zen-cart.com/forum/showthread.php?t=130161

#2

Aw:: Server gehackt

28.01.2010 06:25 Server läuft wieder.

"Nach einer erneuten Prüfung können wir ihren Webspace wieder freigeben. Es scheint ein Fehler auf unserer Seite gewesen sein, wofür wir uns entschuldigen
müssen. Ihre Webseite hätte nichtmehr gesperrt sein sollen. Bitte beachten Sie zu diesem Fall unsere letzte Analyse E-Mail."

Das betroffene Verzeichnis habe ich zunächst umbenannt und mir dann die Dateien angesehen.
Es wurden mehrere php-Mailer abgelegt, die dann fleißig Spam versendet haben. Und die sind richtig gut programmiert...

#3

Aw:: Server gehackt

26.01.2010 21:02 Zitat:

Wenigstens was zu lachen...
(Auf dem Server laufen mehrere Produktionsseiten ...)
Ob Hartz IV was bringt??

#4

Aw:: Server gehackt

26.01.2010 20:42 Der Server ist immernoch down.
Die 24 Stunden sind rum, ich hab eben mal an die abuse geschrieben. Wie war gleich die Mail von Marcel Davis?

Kein ftp-Zugang, keine Variante was zu tun.
@alfred: Danke für den Tipp... wenn (falls) ich irgendwann mal ftp-Zugriff bekomme werd ich sehen, was da noch so alles installiert wurde...

#5

Aw:: Server gehackt

26.01.2010 06:14 @alfred: Danke für den Hinweis.
Natürlich hast du da Recht.
Der Server ist derzeit immer noch gesperrt (da bin ich schon zeitig aufgestanden...)

Was mich allerdings stark wundert ist die Verseuchung anderer Verzeichnisse auf den Server.
Auf dem Server liegen mehrere Verzeichnisse, in vielen davon xoops-Installationen auf welche verschiedene URL zeigen.
Nicht nur die Installation, in der der Shop verwendet wird ist betroffen, auch andere.

.../search.php
.../modules/profile/register.php

zum Beispiel aus anderen Verzeichnissen.

modules/icontent/include/wysiwyg/spaw_control.class.php

icontent habe ich nie installiert.
Auch betroffen ist

modules/tag/view.tag.php/6/xoops_lib/modules/protector/oninstall.php
(wird jedenfalls so gemeldet) protector wurde auch nicht installiert.

Sieht also richtig toll aus....

Grüße
Torsten

#6

Server gehackt

25.01.2010 21:32 Zur Info:

Mail 1: "Zurzeit versendet Ihr 1&1 Webspace eine große Anzahl von E-Mails an ungültige
Adressen."

30 min später...
Mail 2: "seit unserer letzten E-Mail versendet Ihr 1&1 Webspace weiterhin eine eine große
Anzahl von E-Mails an ungültige Adressen.

Aufgrund der hohen Anzahl der E-Mails gehen wir zurzeit davon aus, dass Hacker
Ihren 1&1 Webspace angegriffen haben und zum Versand von Spam missbrauchen."

Analyse:
"Ihr 1&1 Webspace ist über eine Sicherheitslücke in Ihrer Software von außen
angegriffen worden...

Das folgende Skript hat den Angreifern als Einfallstor gedient:

../modules/shop/admin/record_company.php/password_forgotten.php


Die folgenden schädlichen Dateien wurden auf Ihren Webspace geladen:

../search.php
../modules/profile/register.php
../themes/.../images/index.php
./modules/shop/htmlarea/plugins/SpellChecker/img/*
../modules/shop/htmlarea/plugins/TableOperations/lang/sent.php
../modules/shop/images/samples/mailer.php
../modules/shop/images/haru.php
../modules/shop/images/shbd
../modules/shop/images/2823f.php
../modules/shop/images/c86a7.php
../modules/shop/images/m.php
../modules/wordbook/include/mailer.php

Anschließend erfolgte für 10 min die Freigabe.
Nach diesen (ich hab derweil fleißig gelöscht..) wurde erneut gesperrt.

Auf dem Server sind mehrere Domains mit xoops. Zwei weitere sind ebenfalls in der Risikoliste.

Ich bin mal gespannt...

Grüße
Torsten

#7

Re: News 1.55 RSS-Problem

02.12.2008 17:09 Zitat:
Genau hier lag das Problem.
Das Modul stammt aus einem Modulpack, in dem auch das Tag-Modul zu finden war. Außerdem eben dieses news 1.55. also gedacht, ... auch gleich updaten.

Jetzt das news-Modul ier von myxoops.org runtergeladen, installiert, funktioniert.

Vielen Dank!

Grüße
Torsten

#8

Re: News 1.55 RSS-Problem

02.12.2008 08:03 @Sebl: Danke für deine Antwort.

Diehttp://www.lehrerportal.info/backend.php funktioniert auch prima, nur die rss der Topics nicht.
Ruft manhttp://www.lehrerportal.info/modules/news/backendt.php?topicid=16 auf und lässt sich den Quelltext anzeigen erscheint vor <?xml ... eben dieses ?Leerzeichen? (kann ich hier nicht darstellen). Das scheint das Problem zu sein. Ich weiß aber nicht, wo das herkommt...
Im Quelltext des durchhttp://www.lehrerportal.info/backend.php angezeigten Feeds ists nicht, - deswegen funktioniert der wohl auch...

#9

News 1.55 RSS-Problem

30.11.2008 17:33 Hallo,

nach Update von news 1.4 auf news 1.55 funktionieren die Feeds nicht mehr:

IE:
Dieser Feed kann nicht angezeigt werden.

Dieser Feed enthält Fehler.
Wechseln Sie zur vorherigen Seite.

Weitere Informationen

Ungültige XML-Deklaration.
Zeile: 2 Zeichen: 3

<?xml version="1.0" encoding="UTF-8"?>



Im Feed siehts so aus, das vor <?xml.. ein Leerzeichen oder ähnlich (Whitespace)steht:

<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0">
<channel>

http://www.lehrerportal.info/news+backendt.topicid+16.htm

Hat jemand ne Idee?

Grüße
Torsten

#10

Formulaire - aktuelle Uhrzeit übermitteln

27.06.2008 21:34 Hallo,

das Einfügen des Datums in eine Textbox klappt ja mit {DATE} ganz prima.
Kann man auch die aktuelle Uhrzeit (Systemzeit des Users, besser noch Serverzeit) darstellen und mit der Mail senden?

Grüße
Torsten