komisches meldung bei homepage
 

hallo und frohes osterfest.... mehr oder weniger ^^

als ich heute meine internetseite aufrufen wollte (liegt bei strato) kam follgende weiterleitung, nachdem meine seite vollständig aufgebaut wurde

ht*p://yafid.cn/mm/

leere seite mit diesem text "Sorry! You IP is blocked."

[schnipp]

weiss einer was das is ? webspace gehackt ? pc gehackt ?
der webspace zeigt keine änderung... an der homepage wurde nur ein banner getauscht...

antivir sagte mir grad "nur" 1 fund "java.classloader.a"... is mittlerweile gelöscht

wäre für schnelle hilfe sehr dankbar
mfg funky chicke(n bei der anmeldung vergessen:rolleyes: )

Hallo,

habe genau das selbe Problem mit
ht*p://yafid.cn/mm/
Einige Seiten auf meinem Homepage werden direkt auf diese Adresse weitergeleitet (nicht alle).

Weiss jemand wie die das anstellen? Und wo wir die Sicherheitslücke haben?
Hat jemand Tips für mich wie ich mein Homepage retten kann???

Ich habe alle Dateien mit einem FTP Programm downgeloaded um nach Viren zu Scannen = kein Virus.

Ich finde auch keine Weiterleitungsdateien,...

Danke im Voraus,

Gruß
Ertu

Hallo ich bins nochmal, funky ich habe was gefunden,
unszwar lade mal per FTP die HTML Datei runter, von der du weißt, dass es weitergeleitet wird. Und schau dir dann mal den Quelltext an.


Du wirst so ungefähr diesen Ausdruck finden, der muss da weg.

Nur meine Frage an die Vollprofis: wie kann da jemand einfach ein link in meine index.html setzen? Wurden eventuell meine FTP Daten gecrackt? Wie kann ich das verhindern. Ich habe die Schreibrechte kontrolliert die waren in Ordnung.

Was mir jetzt so spontan einfällt ist ein Keylogger.
Oder aber auch einfach über Brute Force, dauert
zwar eine Zeitlang aber man bekommt schon
das Passwort mit ner guten und großen Wörterliste.
Gegen Brutforce muss der Webspace wenn nicht schon
vorhanden einen Schutz einbauen, wenn z.B. 10 versuche
in 5 Sek. erfolglos statt finden das die IP nen Ban von 12h
oder so bekommt.

Hallo zusammen
ich bin auch bei Strato und bin genau mit dem gleichem Problem konfrontiert.
Bei Aufruf der Webseite Index.xxx wird die Webadresse mit ht*p://yafid.cn/mm/ ersetzt. Wenn man aber nur ht*p://yafid.cn angibt, wird es zu eine Pornosite gelinkt. Das ist nicht irgendwie zufällig passiert und meine Meinung nach jemand hat der Strato-Server wieder geknackt.
Auf jeden Fahl den Tipp von ertu20 richtig ist und inzwischen habe ich meine Index-Datei bereinigt.
Die Frage, die mich beschäftigt ist: wie könnte der oder die, diese iframe (mindestens bei mir war so) hinter dem </HTML> Tag in der Index-Datei und zwar nur beim StratoServer platzieren. Meine lokale Datei ist sauber.
Virenscanner erkennen dabei nichts.
Wäre nicht schlecht wenn wir, die betroffene diese Sauerei beim Strato melden.
Grüße

Hallo an alle!

Arbeitet ihr mit selbsterstellten Webseiten oder nutzt ihr ein CMS?

Ändert ihr regelmäsig eure Zugangsdaten für FTP, Adminbereich bei Strato?

ich fände es super, wenn alle betroffenen Ihre Webserver für die sie veranwortlich sind sauber halten würden oder zumindest jetzt offline nehmen, um die Verbreitung des Befalls dann doch was einzudämmen.
Ich hatte nach Besuch diesen Gast.
Prüft bitte Eure Rechner!

Alle die hier Probleme haben/hatten, haben in ihrem Browser Java aktiviert, Frames in ihren Seiten. 2 Dinge, die man nicht braucht.

Also raus mit den Frames, ordentlich gecodet, neue Passwörter/Zugangsdaten allgemein setzen und/ CMS aktualisieren, wenn ihr damit arbeitet.

Register Globals auf Off setzen.

Danke zunächst für eure Tips,
- den iframe habe ich rausgenommen,
- mein Rechner habe ich einpaar mal über den Virusscanner mit integriertem Spywarescanner gezogen (Der Rechner war schon ein bisschen befallen)

KleinerMarce: - Ich arbeite mit selbstertstellten Webseiten
- Zugangsdaten habe ich seit Mitte Februar nicht geändert. Das aber dürfte nicht das Problem sein.

BataAlexander: - Ich habe solange meinen Homepage gesperrt. Jetzt, also nachdem ich das Problem gelöst habe, ist es wieder online.

Ich nehme an, dass irgendwelche Hacker entweder Dateien in Form von CHMOD 777 vorfinden und die Dateien so manipulieren, oder aber den FTP-Code knacken und so die Dateien manipulieren.

Haben wir denn hier überhaupt kein Hacker, der sich da auskennt ???

Ein bisschen befallen gibt es nicht!
Entweder: Dein Rechner und die der anderen war so befallen, dass Dritte alle Daten mitlesen konnten und so deine Webpräsenz korrumpierten
Oder: Ihr verwendet Software Lösungen die mittels Exploits gehackt wurden und denn weiter gestreut haben.

Du solltest imho Deinen Rechner, vleiiehct hier, prüfen lassen, angefangen bei einem HJt Log.

Also ein Hacker würde deine Page schonmal nicht mit schädlichem Code versetzen. Vielleicht ein Skriptkiddie, welche schnell als Hacker bezeichnet werden, oder aber einem Grey-Hat-Hacker könnte man das eher zutrauen.

Bei dir ist es einfach eine Schwachstelle im Code bzw. hat jemand dein Passwort für den FTP-Zugang abgegriffen. Solange man keinen Code vor der Nase hat, kann man wenig sagen.

Das beste ist für den Fall der Manipulation der Webseite: Vom Netz nehmen, auf Schachstellen untersuchen, diese fixen, Zugangsdaten komplett ändern (inkl. Benutzername beim FTP), sauberes Backup einspielen und regelmäßig pflegen.

Dies ist mein HJT LOG, und ich habe noch nichts bereinigt Bataalexander. Und irgendwas auffällig ???

KleinerMarce: Wenn ich wüsste wie ich nach schwachstellen suche, würd ich es tuen, aber ich habe echt kein Schimmer, wo und wie sowas aufzufinden ist.

Das ist ein Zbot Eintrag, bei Interesse googlen.
Der klaut alle Passwörter die er bekommen kann, insbesondere Online Banking, Online Spiele.
->>> NEUAUFSETZEN! Anleitung im FAQ Bereich, dann alle Passwörter ändern!

Ich habe gegoogelt, und tatsächlich, es ist ein Wurm,
aber ich habe auch nach anderen Dateien gegoogelt, auch diese sind nach google Würmer wie z.Bsp:
- browsel.dll
- iesearch.dll
- HPZipm12.exe

Ich habe deine Empfehlung Wahrgenommen und mir die Sachen durchgelesen,
es führt also kein Weg dran vorbei, muss also mein System neu aufsetzen und die ganzen Passwörter ändern. Was ist mit den Dateien, die ich o.g. habe. Sind das wirklich Würmer???

Nach dem Fund des ZBots, ist das irrelevant, was die anderen Dateien sind.
Natürlich nicht ganz, aber sie führen zu keinen anderen Handlungen als die, die die Infektion mit der ntos mit sich bringt.
Und nein, mir ist noch kein Thread begegnet, wo man diese ohne Neuaufsetzen bereinigen konnte und ich habe es selbst ein paar mal versuchen lassen.