• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Injection Schadcode in HP! Sicherheitslücke im Script?

S

Suzzi

Neues Mitglied
Hi all,

auf der Startseite meiner Homepage und wo nur ich alleine Zugriff drauf habe, hatte es jemand geschafft Schadcode (in Form von Werbung) einzuschleusen.

Die gesamte Seite besteht aus nur einer Zeile mit dem Text "Willkommen bei Bla" in HTML-Code.

Ansonsten gab es nur noch ein einziges Script (scroll the text in the status bar) darin und das ich inzw. aber entfernt habe wegen des Verdachts das darüber wohl vermutlich der Schadcode in meine Seite gelangte.

Hier das Script:
Code: 
 <SCRIPT>
 <!-- Hide from old browsers
   message     = "www.dumdidum.de^" +
                 "Bla bla bla^" +
                 "^"
   scrollSpeed = 60
   lineDelay   = 2000

   // Do not change the text below //

   txt         = ""

   function scrollText(pos) {
     if (message.charAt(pos) != '^') {
       txt    = txt + message.charAt(pos)
       status = txt
       pauze  = scrollSpeed
     }
     else {
       pauze = lineDelay
       txt   = ""
       if (pos == message.length-1) pos = -1
     }
     pos++
     setTimeout("scrollText('"+pos+"')",pauze)
   }

   // Unhide -->
 scrollText(0)
 </script>

Meine Frage dazu an die Experten: ist es möglich das jemand fremdes wahrlich anhand dieses Scriptes Schadcode in meine Seite einfügen konnte? Und falls ja, welches ist dann konkret die Sicherheitslücke darin und kann man diese irgendwie schließen? (das Script hatte ich nicht selber geschrieben, ich fand es irgendwo im www)

Etwaige Antworten/Erklärungen bitte so formulieren, dass diese auch von absoluten Laien in Sachen Scripte etc. verstanden/nachvollzogen werden können ;) Danke.

LG Suzzi
 
Willkommen im Forum.

Eigentlich kann es daran nicht liegen, weil dieses JavaScript-Script keinerlei serverseitige Interaktionen auslöst.

Mehr lässt sich mit den gegebenen Angaben nicht sagen. Die Lücke dürfte aber anderswo liegen.
 
Hi,

Danke für das Willkommen und Danke für die Antwort :smile:

Hier ist mal der komplette Seitentext inkl. dem eingebundenen Script (ist nicht ganz perfekt, ich weiss, aber besser bekomme ich es nicht hin und es ist auch nur für rein private Zwecke gedacht):

Code: 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>XXXXXXX</title>
<meta name="google-site-verification" content="XXXXXXX" />
<META HTTP-EQUIV="content-type" content="text/html; iso-8859-1">
<META NAME="description" CONTENT="XXXXXXX">
<META NAME="keywords" CONTENT="XXXXXXX">
<META NAME="author" CONTENT="XXXXXXX">
<META NAME="DC.Rights" content="Alle Rechte liegen beim Autor">
<META NAME="page-topic" CONTENT="XXXXXXX">
<META NAME="page-type" CONTENT="XXXXXXX">
<META NAME="audience" CONTENT="all">
<META NAME="allow-search" CONTENT="yes">
<META NAME="searchtitle" CONTENT="XXXXXXX">
<META NAME="robots" CONTENT="index,follow">
<META NAME="revisit-after" CONTENT="1 week">
<META HTTP-EQUIV="content-language" CONTENT="de, deutsch">
<meta http-equiv="Page-Enter" content="blendTrans(Duration=0.5)">
<meta http-equiv="Page-Exit" content="blendTrans(Duration=0.5)">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="expires" content="0">
<META HTTP-EQUIV="imagetoolbar" CONTENT="no">
<META NAME="date" content="1998-07-12">
<base target="_top">
</head>

<body onselectstart="return false" ondragstart="return false"
      oncontextmenu="return false" oncontext="return false">

<link rel="shortcut icon" href="http://XXXXXXX.ico" type="image/x-icon" >

<STYLE type=text/css>@import url(http://XXXXXXX.de/2011.css);
</STYLE>

<SCRIPT>
<!-- Hide from old browsers
  message     = "www.dumdidum.de^" +
                "Bla bla bla^" +
                "^"
  scrollSpeed = 60
  lineDelay   = 2000

  // Do not change the text below //

  txt         = ""

  function scrollText(pos) {
    if (message.charAt(pos) != '^') {
      txt    = txt + message.charAt(pos)
      status = txt
      pauze  = scrollSpeed
    }
    else {
      pauze = lineDelay
      txt   = ""
      if (pos == message.length-1) pos = -1
    }
    pos++
    setTimeout("scrollText('"+pos+"')",pauze)
  }

  // Unhide -->
scrollText(0)
</script>

<center>
 <table style="border:1px solid #3a4b3b" cellpadding="0" cellspacing="2" width="709" height="1" bgcolor="#352727"><td>
 <img style="border:1px solid #313162" alt="XXXXXXX" src="http://XXXXXXX/p/1.jpg" height="88" width="166"></td><td><img style="border:1px solid #313162" alt="XXXXXXX" src="http://XXXXXXX.de/2.gif" height="88" width="500"></td><td><img style="border:1px solid #313521" alt="XXXXXXX" src="http://XXXXXXX.de/p/3.jpg" height="88" width="169"></td></table></center><p>

 <p align="center"><br><b><font face="Arial" color="#c6b71c" size="5"><center><h1>XXXXXXX</h1></font> 

 <b><font color="#c6b43e" face="Arial" size="6">XXXXXXX
</font></center></b></p>

<center>
<a href="http://XXXXXXX.de/XXXXXXX/XXXXXXX.html">
 <img alt="XXXXXXX" src="http://XXXXXXX.de/p/01.jpg" height="138" width="411" border="0"></a><p>


<TABLE CELLSPACING = 0 CELLPADDING = 0 BORDER = 0>
<TR><TD><IMG
 SRC = "http://XXXXXXX.de/u/00.gif" alt="XXXXXXX" WIDTH = 51 HEIGHT = 50></TD><TD><IMG
 SRC = "http://XXXXXXX.de/u/01.gif" alt="XXXXXXX" WIDTH = 19 HEIGHT = 50></TD></TR></TABLE>


<p><br><p align="center"><font color="#5b5b5b" size="1" face="Arial">XXXXXXX</font>

</body>
</html>

Ist da jetzt irgendwo eine Sicherheitslücke vorhanden?
 
Hallo,

das sieht mir nach einer normalen HTML Datei aus. Wenn du keine PHP-Datei auf deinem Sever hast, dann kann es auch sein dass jemand dein Passwort vom Webspace geknackt hat. Das Passwort sollte mindestens 10 Stellen lang sein und ein Mix aus Gross- und Kleinschreibung sowie Zahlen und Sonderzeichen bestehen.
Niemals sollte das Passwort aus Worten, wie Kosenamen oder Berühmtheiten(Poppeye, Micky Maus etc.) oder Geburtsdaten und Ähnlichem bestehen.

2. Möglichkeit: Jemand hat den Server auf einer unteren Ebene angegriffen und hatte damit auch Zugriff auf die Dateien. Da hast du keine Möglichkeit dagegen etwas zu machen, weil das ein Problem des Providers ist. Nicht jeder Server hat immer alle Updates die nötig sind aufgespielt.
 
Wustersoss schrieb:
Das Passwort sollte mindestens 10 Stellen lang sein und ein Mix aus Gross- und Kleinschreibung sowie Zahlen und Sonderzeichen bestehen. Niemals sollte das Passwort aus Worten, wie Kosenamen oder Berühmtheiten(Poppeye, Micky Maus etc.) oder Geburtsdaten und Ähnlichem bestehen.
Zum Vergrößern anklicken....
Mein Passwort ist so wie von dir geschildert.

Wustersoss schrieb:
2. Möglichkeit: Jemand hat den Server auf einer unteren Ebene angegriffen und hatte damit auch Zugriff auf die Dateien. Da hast du keine Möglichkeit dagegen etwas zu machen, weil das ein Problem des Providers ist. Nicht jeder Server hat immer alle Updates die nötig sind aufgespielt.
Zum Vergrößern anklicken....
Vor ca. 4-6 Wochen wurden DDos Attacken auf meinen Webspace Anbieter verübt. Meine Homepage war zu diesem Zeitpunkt dann 1-2 Tage nicht mehr aufrufbar. Dann könnte, deinen Schilderungen entnehmend, ja rein theoretisch dadurch dann vlt. der Schadcode in meine Seite gelangt sein. Hm....
 
Wustersoss schrieb:
Hallo, das sieht mir nach einer normalen HTML Datei aus. Wenn du keine PHP-Datei auf deinem Sever hast.....
Zum Vergrößern anklicken....
Ich habe schon auch PHP-Seiten, aber das sind eigentlich ja nur ursprüngliche und reine *.html Seiten, welche einzig in *.php umbenannt wurden, weil darin überall eine Blätterfunktion via PHP Befehl includiert werden soll.

Hier der Include Befehl:

<?php
include dirname(__FILE__).'/inc/nav.2011.foo.inc.php';
?>
Zum Vergrößern anklicken....
Nach einfügen diese Befehls habe ich einfach aus Seite1.html - Seite1.php gemacht usw..
Ist das schlimm?
 
Nach einfügen diese Befehls habe ich einfach aus Seite1.html - Seite1.php gemacht usw..
Ist das schlimm?
Zum Vergrößern anklicken....
Nein, das stellt kein Problem dar.
Problematisch sind bei PHP solche Dateien, die Benutzereingaben entgegennehmen, von Formularen zum Beispiel, oder Ajax.

Wenn du nichts dergleichen hast, mach dir keine Sorgen, dann liegt es wahrscheinlich nicht an dir. 100% Sicherheit gibt es bei einem Server nicht.
Bin auch schon gehackt worden und hatte nicht eine PHP Seite auf dem server liegen, nur statische HTML-Dateien. Aber wenn man sich Webspace auf einem Server teilt ist man ja nur einer unter vielen auf dem Server.
Was die anderen für Scripte am laufen haben weisst du ja nicht.
 
Hallo,

schuldige ich musste gerade schmunzeln.

Ich pack mal die glaskugel raus:
*wuschiewusch*
Windows sein wird das Betriebssystem
*wuschiewusch*
Antivier und co wird sein der wächter des systems
*wuschiewusch*
filezilla wird sein der knecht der dir die bits und byts ins internet bring
*wuschiewusch*
filezilla wirst haben dein ganz geheimes password anvertraut und speichern lassen

So, was sagst zu meiner glaskugel?
Wenn die recht hat, wurde deine rechner gehackt und standard mässig die speicherorten solche programme gecheckt.

Cheffchen
 
Wenn die Erklärung stimmt, ist das Schalten von Werbung auf der Homepage wohl das kleinste Problem.

Ich halte das Szenario als Ursache aber für ziemlich unwahrscheinlich.

Ein Bot, der die Serverkonfiguration attackiert, ist meines Erachtens die wesentlich einfachere Erklärung.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben