Forum Partner+Friends LinkUs Downloads KNW Suche TS³ Viewer Twitter Facebook

Angriff auf versch. Webseiten (via FTP)

Jetzt kostenlos Anmelden!


Muetze Männlich

Ein Pazifist mit der Waffe in der Hand

Beiträge: 681

Geschlecht: Männlich

Wohnort: zu Hause

PHPKIT Version: 1.6.5

1

Dienstag, 15. Juni 2010, 09:19

Angriff auf versch. Webseiten (via FTP)

Viele PHPKIT-Seiten gehen seid gestern oder heute nicht, im Quelltext & in der pkinc/func/default.php findet man bei den betroffenen, die mein ICQ zum dauer glühen bringen ein JS von chubby**ondebabes. Das PHPKIT Wiki auch betroffen.
Auffallen tut es auch auf Seiten wie BurnerFM, da die Startseite durch dem Script nicht mehr valid ist.

Also, weiß einer einen guten Rat?

Betroffene Dateien:
pkinc/func/default.php
index.php
jquery.jqDock.js <-- Gibt es eigentlich nicht
dock.css <-- gibt es eigentlich nicht
Es geht nicht darum zu haben was man will, sondern zu schätzen was man hat!
Blutrausch HP
Mauern sind auch nur Steine & Wassertropen können auch mal Wassermengen werden!

Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von »Muetze« (15. Juni 2010, 09:44)

  • Zum Seitenanfang
  • Zum Seitenende

maXus Männlich

Grafik Künstler

Beiträge: 1 084

Geschlecht: Männlich

Wohnort: Berlin

PHPKIT Version: 1.6.03

2

Dienstag, 15. Juni 2010, 09:44

Da brauchen wir mehr Infos. Logs auswerten. Kann mir nur vorstellen, dass eine Stelle übersehen wurde abzusichern. Welche Versionen betrifft es im allgemeinen?
  • Zum Seitenanfang
  • Zum Seitenende

Knuddi Männlich

kennen Einige hier

Beiträge: 330

Geschlecht: Männlich

PHPKIT Version: 1.6.1

3

Dienstag, 15. Juni 2010, 09:50

Ich bin auch mal auf burnerfm gegangen. der ladet da tatsächlich irgendwas von inc.chubbyblondebabes. Mein Firefox hat sogar eine Pluginabfrage gehabt und Java war auch kurz da. edit dafür geht auf burnerfm das script unten nicht mit der art diashow.
  • Zum Seitenanfang
  • Zum Seitenende

Muetze Männlich

Ein Pazifist mit der Waffe in der Hand

Beiträge: 681

Geschlecht: Männlich

Wohnort: zu Hause

PHPKIT Version: 1.6.5

4

Dienstag, 15. Juni 2010, 09:54

Habe bis jetzt 7 betroffene Seiten gezähl, die ich an der Strippe haben, haben alle die aktuelle Build von PHPKIT & aktuelle Version von PKSM, ich habe auch ein Kit Lokal bekommen & konnte den Schädling bis jetzt in folgenden Dateien fest stellen (jede index ist quasi dabei):

Hier klicken für weitere Informationen
Es geht nicht darum zu haben was man will, sondern zu schätzen was man hat!
Blutrausch HP
Mauern sind auch nur Steine & Wassertropen können auch mal Wassermengen werden!

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Muetze« (15. Juni 2010, 10:08)

  • Zum Seitenanfang
  • Zum Seitenende

Knuddi Männlich

kennen Einige hier

Beiträge: 330

Geschlecht: Männlich

PHPKIT Version: 1.6.1

5

Dienstag, 15. Juni 2010, 09:56

dies hier ist der schädling: http://inc.chubbyblondebabes.com/HDTV.js
aber was der genau macht ist ne gute frage

edit: hab grad mal in die js geschaut, die ist komplett leer ?( 8|
  • Zum Seitenanfang
  • Zum Seitenende

Muetze Männlich

Ein Pazifist mit der Waffe in der Hand

Beiträge: 681

Geschlecht: Männlich

Wohnort: zu Hause

PHPKIT Version: 1.6.5

6

Dienstag, 15. Juni 2010, 09:57

Ja, kann auch ein anderes JS sein, einfach nach chubbyblondebabes suchen.

Ich jage es gerade es gerade durch base64, strrev, urldecode usw & suche weiter, obwohl ich glaube da nix mehr finden werde so.


Wir sind wie folgt vorgegangen jetzt:
- ALLE Dateien runter vom FTP (er hatte sich auch in Anwendungen wie MySQL Dumper eingeschrieben)
- Mit Notepadd++ (kostenlos) -> Suchen -> In Dateien suchen -> Suchen nach: <script type="text/javascript" src="http://inc.chubbyblondebabes.com/xyz.js"></script> - Ersetzen druch '{nix}' - Ersetzen in Dateien
- Danach nochmal nach chubbyblondebabes suchen in Dateien (Alle suchen)
- Darauf achten das keine Dateien mehr da sind, die eigentlich nicht auf dem FTP gehören (wie jquery.jqDock.js oder dock.css)
Neben der Suche nach dem Script ist meistens noch eine auskommentierte Kombination aus Ziffern & Buchstaben darunter <!--xyxsrferdhju->>

Bei der Suche darauf achten das im Feld Filter *.* steht, damit alle Dateien durchsucht werden, bei schwächeren Rechner am besten nicht Alles auf einmal durchsuchen & nicht wundern: Notepad++ reagiert während der Suche nicht, einfach abwarten am Besten.

Datenbank wurde noch nicht überprüft!
Es geht nicht darum zu haben was man will, sondern zu schätzen was man hat!
Blutrausch HP
Mauern sind auch nur Steine & Wassertropen können auch mal Wassermengen werden!

Dieser Beitrag wurde bereits 7 mal editiert, zuletzt von »Muetze« (22. Juni 2010, 14:37)

  • Zum Seitenanfang
  • Zum Seitenende

Sharlyscript Weiblich

lernt alles kennen

Beiträge: 92

Geschlecht: Weiblich

PHPKIT Version: 1.6.5

7

Dienstag, 15. Juni 2010, 10:25

Zitat von »Knuddi«

dies hier ist der schädling: http://inc.chubbyblondebabes.com/HDTV.js
aber was der genau macht ist ne gute frage

edit: hab grad mal in die js geschaut, die ist komplett leer ?( 8|
Die war aber voher nicht leer. Ich denke das die Jungs auch nicht schlafen!
  • Zum Seitenanfang
  • Zum Seitenende

Muetze Männlich

Ein Pazifist mit der Waffe in der Hand

Beiträge: 681

Geschlecht: Männlich

Wohnort: zu Hause

PHPKIT Version: 1.6.5

8

Dienstag, 15. Juni 2010, 10:27

Zitat von »Sharlyscript«

Zitat von »Knuddi«

dies hier ist der schädling: http://inc.chubbyblondebabes.com/HDTV.js
aber was der genau macht ist ne gute frage

edit: hab grad mal in die js geschaut, die ist komplett leer ?( 8|
Die war aber voher nicht leer. Ich denke das die Jungs auch nicht schlafen!


Richtig, die nennen sich auch oft anders, die Seite die ich gerade gesucht hatte, hieß es GUI.js

Was auffällt ist, dass das Script auf jeder Seite mal sich mehr & auf anderen wieder weniger eingeschrieben hat.

Anderes Script: Suchbegriff: owensomebody
Es geht nicht darum zu haben was man will, sondern zu schätzen was man hat!
Blutrausch HP
Mauern sind auch nur Steine & Wassertropen können auch mal Wassermengen werden!

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Muetze« (15. Juni 2010, 11:01)

  • Zum Seitenanfang
  • Zum Seitenende

Headless Männlich

... nur noch zur deko

Beiträge: 2 374

Geschlecht: Männlich

Wohnort: Nürnberg

PHPKIT Version: keine

9

Dienstag, 15. Juni 2010, 12:00

Hallo zusammen,

um überhaupt etwas dazu sagen zu können brauche ich die Logs der betroffenen Seiten aus dem betroffenen Zeitraum.

@ Muetze:
Du sagtest das Wiki war auch betroffen - aber das System ist doch gar nicht PHPKIT - oder war es ein Testkit?

Grüße
So einfach wie möglich - aber nicht einfacher!
Albert Einstein (1879-1955)
  • Zum Seitenanfang
  • Zum Seitenende

reddevil82 Männlich

BFM Stream Cheffe

Beiträge: 1 672

Geschlecht: Männlich

PHPKIT Version: 1.6.5

10

Dienstag, 15. Juni 2010, 12:16

Boar ey !!!

Net nur jede index.php sondern bei mir isses sogar jede js Datei in dem mit document_write reingeschrieben wird.

Bin grad am säubern.

@Headless wenn du willst schicke ich dir Account Daten für den PKSM LOG dann kannste bei mir schauen.
Seit 02.07.2010 Papa einer süssen Tocher !!!!

http://www.burnerfm.de

Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
  • Zum Seitenanfang
  • Zum Seitenende

Ähnliche Themen