1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

fremde sachen auf page?

Dieses Thema im Forum "Allgemeines" wurde erstellt von derblog, 27. März 2012.

  1. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
    hallo leute!
    als ich vorhin meine page besucht hatte, bemerkte ich plötzlich unter meinem footer ein ca. 2x3 pixel kleines, weißes kästchen. ich hab dann mal rechte maus klick und "grafik anzeigen" gemacht.
    dann kam ein kleines bild mit einer satelitenschüssel drauf zum vorschein.
    oben in der adresszeile steht was von merketing change ip com.

    kann mir eines sagen was das ist und was das macht!? und wie kommt das auf meine page!!!??
    ist das was schlechtes?

    gruß
    derblog
     
  2. tobi32

    tobi32 Gast

    Ich glaube nicht

    Servus erstmal an alle.

    Ich glaube nicht, dass es was schlimmes ist, glaube eher es handelt sich um eine Werbung auf deiner Seite. Hast du ein leichtes Passwort?
    Mir ist es nämlich auf einer anderen Seite passiert, dass sich jemand fremd eingeloggt hatte, weil ich ein leichtes Passwort hatte. Mach dir aber kein Kopf, in deinem Fall sieht es nach Werbung aus, es steht ja auch der Begriff Marketing da.
    Grüße
     
  3. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
    mh...meinste!?
    ich vergaß zu sagen, dass ich auch eine meldung vom microsoft sercurty essentials bekam. irgendwas mit java. wurde aber angeblich geblockt/gelöscht.

    also ich bin mir da nicht so sicher, dass das werbung sein soll. zudem: 2x3 pixel groß?
    mein passwort? keine ahnung. das wurde doch generiert oder wie heißt das?
    ist aber irgendwas wildes.
    wenn einer auf die page schauen will: hier
     
  4. infected

    infected Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.816
    Zustimmungen:
    1
    Das sollte man nie auf die leichte Schulter nehmen und ist an dieser Stelle definitiv eine falsche Vermutung!

    @derblog:
    Deine Seite wurde gehacked (siehe Quelltext am Ende). Dort wird ein fremdes Script eingebunden, welches mein Windoof Virenscanner (NOD32) blockt.

    Siehe auch: http://sitecheck.sucuri.net/results/http://www.zirkon777.de/

    Du solltest Deine Seite säubern lassen, wenn Du es selbst nicht hinbekommst. Zu dem Thema solltest Du über die Forensuche einige Threads finden. In letzter Zeit häufen sich hier solche Meldungen...
     
    #4 infected, 28. März 2012
    Zuletzt bearbeitet: 28. März 2012
  5. Marcus[IS]

    Marcus[IS] Well-Known Member

    Registriert seit:
    23. August 2009
    Beiträge:
    5.560
    Zustimmungen:
    88
    Mojn,

    Ich bin da anderer Ansicht und meine das ist keinesfalls "harmlos".

    Vermutlich hast du da eine Sicherheitslücke die so genannte Cross Site Scripting Attacken zulässt und diese musst du nun finden und ausmerzen.

    http://stackoverflow.com/questions/9898026/code-being-inserted

    Es ist Dritten ohne entsprechende Anmeldung und Benutzerrecht, oder anderweitigen Zugriff auf die Dateien normalerweise "absolut" nicht möglich in einem WordPress Blog mal eben einen Code zu hinterlegen.

    Leider gab es in letzter Zeit wieder ein paar Anfragen, dass sich jemand etwas eingefangen hat, doch man müsste rausfinden, ob alle etwas gemeinsam haben, wie zum Beispiel ein unsicheres Plugin.

    Edit;
    Mojn infected, warst schneller. ;)
     
  6. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
    oh mann, leute... ich bin echt froh, dass es euch gibt!
    ok, dann werde ich mal wieder die suchfunktion überlasten gehen...

    kann ich das denn jetzt erstmal so lassen? also: ist das schlimm? passiert da jetzt was?
    oder kann ich das problem auch erstmal bis zum WE stehen lassen?

    schonmal tausend dank!
     
  7. infected

    infected Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.816
    Zustimmungen:
    1
    Meiner Meinung nach solltest Du die Seite umgehend offline setzen, auch wenn es erstmal wie ein "harmloser" Link aussieht. Wer weiß, welche Möglichkeiten der Angreifer noch hat...

    EDIT: Moin Marcus[IS] ;)
     
  8. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
    oh mann... wie stell ich das an? wohl nicht mit dem maintenance plug?
    wenn ich das habe - morgen scanne ich dann erstmal meinen rechner, oder?
     
  9. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
  10. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.628
    Zustimmungen:
    71
    Deaktiviere dein Wordpress Blog.

    Hier eine Anleitung von Google
    http://support.google.com/webmasters/bin/answer.py?hl=de&answer=163634

    Wende Dich auch deinen Provider.

    Deine Seite verteilt zurzeit bösartige Software und greift deine Besucher an. Wenn du pech hast - können Schadenersatz Sachen auf dich zu kommen.
     
  11. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
    danke für den link.

    hatte gestern noch die seite offline gesetzt, zumindest hoffe ich, dass ich das richtig gemacht habe. (s. post oben)
     
  12. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
    also falls ich es richtig gemacht habe, habe ich meine page offline gesetzt und das MySQL und FTP passwort geändert.
    auch habe ich mit zwei programmen (microsoft security und avira antivir) meinen rechner gescannt, wobei antivir 2 funde ergab.

    war das schonmal ok?
    was muss ich jetzt noch machen?
     
  13. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.628
    Zustimmungen:
    71
    Sicherheitslücke finden - wie ist der Schadecode in die Scripte pp Datenbank gekommen?

    Dabei helfen Log-Files, besondere Datenbank http://www.exploit-db.com/ und gute PHP Kentnisse weiter... oder das Jobforum hier
     
  14. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
    spiele auch mit dem gedanken meine page zu löschen. hab da zwar als laie viel arbeit, zeit und nerven investiert aber es ist mir einfach zu blöd, mir da alle paar jahre irgedein mist einzufangen, den ich dann nur für teuer geld wieder los werde, da sowas mein fähigkeiten übersteigt...
    immerhin gibt es ja noch andere möglichkeiten im web present zu sein.

    wenn ich:
    meinen webspace total leerlösche und kündige
    meinen rechner säuberer und
    ALLE passwörter ändere.

    hab ich dann das problem gelöst?
     
  15. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
    wie? werde ich so das zeug nicht los?:-x
     
  16. infected

    infected Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.816
    Zustimmungen:
    1
    Interessante Taktik...

    Warum willst Du den Webspace kündigen? Und was wenn der Schädling immer noch auf Deinem Rechner verweilt? Du kannst Dir sicher sein, dass dieser sich dann auch dem neuen Webspace ausbreiten wird.

    Dann solltest Du als Nutzer misstrauischer werden und nicht jedem Link bedingungslos folgen. Somit vermeidest Du schonmal Dir ständig sowas einzufangen...

    Wenn Dir das Ganze zu kostspielig wird, da Du mangels Wissen nichts selbst bereinigen kannst, dann solltest Du Dir überlegen, ob es nicht besser wäre sich
    a) mit der Sache mal intensiver auseinander zu setzen (sprich mal ein bisschen Zeit zu investieren die Vorgehensweisen einer solchen Bereinigung zu erlernen - dazu gehört leider auch das Lesen im Internet und nicht nur das Arbeiten nach Anweisung)

    oder

    b) sich einen Account bei wordpress.com anzuschaffen, wo man sich dann um technische Dinge nicht mehr kümmern muss.

    Sorry, dass ich das jetzt so hart sagen muss, aber ich sehe da leider nur die beiden Möglichkeiten. Eine Seite zu desinfizieren und die Sicherheitslücken zu finden, erfordert nicht nur das nötige Wissen, sondern auch einiges an Zeit. Das dies kaum jemand kostenlos macht, kann ich nur all zu gut nachvollziehen.

    Ich hoffe Du nimmst mir meine Worte nicht übel. Sollte auch nur mal ein kleiner Denkanstoß sein...

    EDIT: Noch was zum Thema "sich ständig sowas einfangen"...

    Wenn meine Recherchen richtig sind, dann verwendest Du eine alte WordPress Version. Tja, da darf man sich dann auch nicht wundern. Updates sind Pflicht! Es werden mit fast jedem Update potentielle Sicherheitslücken geschlossen. Wer da nicht mitzieht darf sich im Nachhinein nicht beschweren ;)
     
    #16 infected, 30. März 2012
    Zuletzt bearbeitet: 30. März 2012
  17. derblog

    derblog Well-Known Member

    Registriert seit:
    15. Dezember 2008
    Beiträge:
    188
    Zustimmungen:
    0
    ich nehm nix übel.

    mit dem update hast du recht. jetzt ist es aber nunmal so...

    also würde mein plan so nicht funktionieren?
     
  18. infected

    infected Well-Known Member

    Registriert seit:
    9. Juli 2006
    Beiträge:
    9.816
    Zustimmungen:
    1
    Das kann ich nicht sagen. Entweder ist Dein PC infiziert, oder Dein Webspace... Das muss Du selbst rausfinden, oder jemanden damit beauftragen...
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden