Homepage selbermachen 7.851 Themen, 35.615 Beiträge

CMS gehackt, fremde Links im Quellcode

uspc / 24 Antworten / Baumansicht Nickles

Hallo,es ist schwer zu beschreiben. Ich hab da per PHP-Fusion eine Seite am Laufen. Wenn ich zB. im IE per rechte Maustaste "Quelltext anzeigen" direkt auf der Startseite mache (news.php), werden mir zahllose fremde Links angezeigt. Wenn ich diese Datei per FTP downloade und öffne, ist alles sauber, habe auch schon etliche anderen Dateien durchsucht. Ich denke, da liegt so etwas wie ein "include" drin, find aber nichts (welche Befehle dieser Art gibt es noch?). Zugegeben, dass FTP Passwort war recht schwach, das Ligin-PW für den Admin ebenso. Selbst wenn ich das jetzt ändere - wie finde ich den Übeltäter? Vielleicht kann mir einer das Prinzip der Einbettung diese Schmuddel-Links erklären. Gern schick ich auch Quellcodes. Danke für jede Hilfe !

bei Antwort benachrichtigen
Aragorn75 uspc „CMS gehackt, fremde Links im Quellcode“
Optionen
wie finde ich den Übeltäter?
Überhaupt nicht.

Was mich jetzt wundert, das der Quelltext beim Liveabruf anderst aussieht, als der, den du downloadest.
Sicher, das es fremde Links sind? Und nich tnur interne Verweise?

Kannst du uns mal ein den Quelltext posten, natürlich ohne Passwörter&Co.
bei Antwort benachrichtigen
asterix5 Aragorn75 „ Überhaupt nicht. Was mich jetzt wundert, das der Quelltext beim Liveabruf...“
Optionen
Was mich jetzt wundert, das der Quelltext beim Liveabruf anderst aussieht, als der, den du downloadest.

Der Quelltext, den er mit FTP runterladet, ist der originale PHP-Code, der auf dem Server ausgeführt wird. Aus diesem PHP-Code (und Datenbank-Inhalten) wird auf dem Server HTML-Quelltext erzeugt. Dieser HTML-Quelltext wird beim Liveabruf vom Browser angezeigt.

Man müßte wissen, was in der Datenbank steht, und wie die include-Dateien aussehen.

\"Als ich nach Deutschland kam, sprach ich nur Englisch - aber weil die deutsche Sprache inzwischen so viele englische Wörter hat, spreche ich jetzt fließend Deutsch!\" (Rudi Carrell)
bei Antwort benachrichtigen
out-freyn uspc „CMS gehackt, fremde Links im Quellcode“
Optionen

Wenn Du auf der Startseite den Quelltext anzeigen lässt, zeigt der IE möglicherweise den Inhalt einer "index.*"-Datei an. Vielleicht ist ja ein Frameset definiert, von dem Du nichts bemerkt hast.

Schau mal, ob es eine Datei namens "index.*" gibt.

The conspiracy theory of society [...] comes from abandoning God and then asking: »Who is in his place?« (Sir Karl Popper, Conjectures and Refutations, 1963)
bei Antwort benachrichtigen
uspc Nachtrag zu: „CMS gehackt, fremde Links im Quellcode“
Optionen

In der index.php steht folgendes:

// require_once "maincore.php";
// redirect($settings['opening_page'];

(Schrägstriche für die Darstellung bnur hier)
In der maincore.php steht nur ein Link zur config.sys.

Dann wär da noch die news.php, die Startseite schlechthin.
Keine verdächtigen Links drin. Ich hab mal per FTP nachgesehen, ob bei den Dateien ein aktuelleres Datum steht, nichts.

Ich habe mal geguckt, keine Erklärung.
schule-wusterwitz.de/index_2009.php die index hab ich geändert.
Per Rechtsklick -> Quelltext sieht man die Links.

Danke schon mal vorab. uspc

bei Antwort benachrichtigen
Aragorn75 uspc „CMS gehackt, fremde Links im Quellcode“
Optionen

Meinst du diese Links hier?
[a href="http://elearning.polytechnic.edu.na/moodle_data/7/cheap-phentermine-through-lighthouse.html"]cheap phentermine through lighthouse[/a]

Wenn du dir diese Zeile anschaust:
[div style="overflow:auto; visibility:hidden; height: 1px; "][ul][li][a href="meridia" target="_blank" rel="nofollow">http://elearning.polytechnic.edu.na/moodle_data/7/meridia-in-generic.html">meridia in generic[/a]

Mit visibility:hidden wird ein Block-Element, das diese Links enthält, versteckt. Es ist somit nicht auf der Seite sichtbar.
Bin aber nicht so tief drin um es dir genauer zu erklären.

Auf alle Fälle sollte das so nicht sein, es sein denn du hast irgendwas mit der "Polytechnic E-Learning" zutun. Dorthin gehen die ganzen Links
Schau mal ob du die Zeile mit dem "div style..." in deiner news.php findest. Wenn ja, lösch sie raus.
Oder poste mal den Quelltext deiner news.php hier. Vielleicht sehen wir da dann mehr.

bei Antwort benachrichtigen
Aragorn75 Nachtrag zu: „Meinst du diese Links hier? a href...“
Optionen

Falsche Stelle.

hab den Text unten angehängt...

bei Antwort benachrichtigen
uspc Nachtrag zu: „CMS gehackt, fremde Links im Quellcode“
Optionen

Ja genau, diese Links. Und die Funktion mit hidden ist mir auch klar. Nur woher die Links kommen, ist mir nicht klar.

Hier die reine news.php:
(Falls die zeichen jetzt hier komisch ersetzt wurden, mail auch gern die 3 verdächtigsten Datein zu)


Hier die reine news.php:

<?php
/*
/*---------------------------------------------------+
| PHP-Fusion 6 Content Management System
+----------------------------------------------------+
| Copyright © 2002 - 2006 Nick Jones
| http://www.php-fusion.co.uk/
+----------------------------------------------------+
| Released under the terms & conditions of v2 of the
| GNU General Public License. For details refer to
| the included gpl.txt file or visit http://gnu.org
+----------------------------------------------------*/
require_once "maincore.php";
require_once "subheader.php";
require_once "side_left.php";

if (isset($readmore) && !isNum($readmore)) fallback(FUSION_SELF);

// Predefined variables, do not edit these values
if ($settings['news_style'] == "1") { $i = 0; $rc = 0; $ncount = 1; $ncolumn = 1; $news_[0] = ""; $news_[1] = ""; $news_[2] = ""; } else { $i = 1; }

// This number should be an odd number to keep layout tidy
$items_per_page = 11;

if (!isset($readmore)) {
$rows = dbcount("(news_id)", "news", groupaccess('news_visibility')." AND (news_start='0'||news_start<=".time().") AND (news_end='0'||news_end>=".time().")");
if (!isset($rowstart) || !isNum($rowstart)) $rowstart = 0;
if ($rows != 0) {
$result = dbquery(
"SELECT tn.*, tc.*, user_id, user_name FROM ".$db_prefix."news tn
LEFT JOIN ".$db_prefix."users tu ON tn.news_name=tu.user_id
LEFT JOIN ".$db_prefix."news_cats tc ON tn.news_cat=tc.news_cat_id
WHERE ".groupaccess('news_visibility')." AND (news_start='0'||news_start<=".time().") AND (news_end='0'||news_end>=".time().")
ORDER BY news_sticky DESC, news_datestamp DESC LIMIT $rowstart,$items_per_page"
);
$numrows = dbrows($result);
if ($settings['news_style'] == "1") $nrows = round((dbrows($result) - 1) / 2);
while ($data = dbarray($result)) {
$news_cat_image = "";
$news_subject = "<a name='news_".$data['news_id']."' id='news_".$data['news_id']."'></a>".stripslashes($data['news_subject']);
if ($data['news_cat_image']) {
$news_cat_image = "<a href='news_cats.php?cat_id=".$data['news_cat_id']."'><img src='".IMAGES_NC.$data['news_cat_image']."' alt='".$data['news_cat_name']."' align='left' style='border:0px;margin-top:3px;margin-right:5px'></a>";
} else {
$news_cat_image = "";
}
$news_news = $data['news_breaks'] == "y" ? nl2br(stripslashes($data['news_news'])) : stripslashes($data['news_news']);
if ($news_cat_image != "") $news_news = $news_cat_image.$news_news;
$news_info = array(
"news_id" => $data['news_id'],
"user_id" => $data['user_id'],
"user_name" => $data['user_name'],
"news_date" => $data['news_datestamp'],
"news_ext" => $data['news_extended'] ? "y" : "n",
"news_reads" => $data['news_reads'],
"news_comments" => dbcount("(comment_id)", "comments", "comment_type='N' AND comment_item_id='".$data['news_id']."'"),
"news_allow_comments" => $data['news_allow_comments']
);
if ($settings['news_style'] == "1") {
if ($rows <= 2 || $ncount == 1) {
$news_[0] .= "<table width='100%' cellpadding='0' cellspacing='0'>\n";
$news_[0] .= "<tr>\n<td class='tbl2'><b>$news_subject</b></td>\n</tr>\n";
$news_[0] .= "<tr>\n<td class='tbl1' style='text-align:justify'>$news_news</td>\n</tr>\n";
$news_[0] .= "<tr>\n<td align='center' class='tbl2'>\n";
if (iSUPERADMIN && checkrights("N")) $news_[0] .= "<form name='editnews".$news_info['news_id']."' method='post' action='".ADMIN."news.php".$aidlink."&amp;news_id=".$news_info['news_id']."'>\n";
$news_[0] .= "<span class='small2'><img src='".THEME."images/bullet.gif' alt=''> <a href='profile.php?lookup=".$news_info['user_id']."'>".$news_info['user_name']."</a> ".$locale['041'].showdate("longdate", $news_info['news_date'])." &middot;\n";
if ($news_info['news_ext'] == "y" || $news_info['news_allow_comments']) {
$news_[0] .= $news_info['news_ext'] == "y" ? "<a href='".FUSION_SELF."?readmore=".$news_info['news_id']."'>".$locale['042']."</a> &middot;\n" : "";
$news_[0] .= $news_info['news_allow_comments'] ? "<a href='".FUSION_SELF."?readmore=".$news_info['news_id']."'>".$news_info['news_comments'].$locale['043']."</a> &middot;\n" : "";
$news_[0] .= $news_info['news_reads'].$locale['044']." &middot;\n";
}
$news_[0] .= "<a href='print.php?type=N&amp;item_id=".$news_info['news_id']."'><img src='".THEME."images/printer.gif' alt='".$locale['045']."' style='border:0px;vertical-align:middle;'></a>";
if (iSUPERADMIN && checkrights("N")) { $news_[0] .= " &middot; <input type='hidden' name='edit' value='edit'><a href='javascript:document.editnews".$news_info['news_id'].".submit();'><img src='".IMAGES."edit.gif' alt='".$locale['048']."' title='".$locale['048']."' style='vertical-align:middle;border:0px;'></a></span>\n</form>\n"; } else { $news_[0] .= "</span>\n"; }
$news_[0] .= "</td>\n</tr>\n</table>\n";
if ($ncount != $rows) $news_[0] .= "<div><img src='".THEME."images/blank.gif' alt='' width='1' height='8'></div>\n";
} else {
if ($i == $nrows && $ncolumn != 2) { $ncolumn = 2; $i = 0; }
$row_color = ($rc % 2 == 0 ? "tbl2" : "tbl1");
$news_[$ncolumn] .= "<table width='100%' cellpadding='0' cellspacing='0'>\n";
$news_[$ncolumn] .= "<tr>\n<td class='tbl2'><b>$news_subject</b></td>\n</tr>\n";
$news_[$ncolumn] .= "<tr>\n<td class='tbl1' style='text-align:justify'>$news_news</td>\n</tr>\n";
$news_[$ncolumn] .= "<tr>\n<td align='center' class='tbl2'>\n";
if (iSUPERADMIN && checkrights("N")) $news_[$ncolumn] .= "<form name='editnews".$news_info['news_id']."' method='post' action='".ADMIN."news.php".$aidlink."&amp;news_id=".$news_info['news_id']."'>\n";
$news_[$ncolumn] .= "<span class='small2'><img src='".THEME."images/bullet.gif' alt=''> <a href='profile.php?lookup=".$news_info['user_id']."'>".$news_info['user_name']."</a> ".$locale['041'].showdate("longdate", $news_info['news_date']);
if ($news_info['news_ext'] == "y" || $news_info['news_allow_comments']) {
$news_[$ncolumn] .= "<br>\n";
$news_[$ncolumn] .= $news_info['news_ext'] == "y" ? "<a href='".FUSION_SELF."?readmore=".$news_info['news_id']."'>".$locale['042']."</a> &middot;\n" : "";
$news_[$ncolumn] .= $news_info['news_allow_comments'] ? "<a href='".FUSION_SELF."?readmore=".$news_info['news_id']."'>".$news_info['news_comments'].$locale['043']."</a> &middot;\n" : "";
$news_[$ncolumn] .= $news_info['news_reads'].$locale['044']." &middot;\n";
} else {
$news_[$ncolumn] .= " &middot;\n";
}
$news_[$ncolumn] .= "<a href='print.php?type=N&amp;item_id=".$news_info['news_id']."'><img src='".THEME."images/printer.gif' alt='".$locale['045']."' style='border:0px;vertical-align:middle;'></a>\n";
if (iSUPERADMIN && checkrights("N")) { $news_[$ncolumn] .= " &middot; <input type='hidden' name='edit' value='edit'><a href='javascript:document.editnews".$news_info['news_id'].".submit();'><img src='".IMAGES."edit.gif' alt='".$locale['048']."' title='".$locale['048']."' style='vertical-align:middle;border:0px;'></a></span>\n</form>\n"; } else { $news_[$ncolumn] .= "</span>\n"; }
$news_[$ncolumn] .= "</td>\n</tr>\n</table>\n";
if ($ncolumn == 1 && $i < ($nrows - 1)) $news_[$ncolumn] .= "<div><img src='".THEME."images/blank.gif' alt='' width='1' height='8'></div>\n";
if ($ncolumn == 2 && $i < (dbrows($result) - $nrows - 2)) $news_[$ncolumn] .= "<div><img src='".THEME."images/blank.gif' alt='' width='1' height='8'></div>\n";
$i++; $rc++;
}
$ncount++;
} else {
render_news($news_subject, $news_news, $news_info);
if ($i != $numrows) { tablebreak(); } $i++;
}
}
if ($settings['news_style'] == "1") {
opentable($locale['046']);
echo "<table cellpadding='0' cellspacing='0' style='width:100%'>\n<tr>\n<td colspan='3' style='width:100%'>\n";
echo $news_[0];
echo "</td>\n</tr>\n<tr>\n<td style='width:50%;vertical-align:top;'>\n";
echo $news_[1];
echo "</td>\n<td style='width:10px'><img src='".THEME."images/blank.gif' alt='' width='10' height='1'></td>\n<td style='width:50%;vertical-align:top;'>\n";
echo $news_[2];
echo "</td>\n</tr>\n</table>\n";
closetable();
}
if ($rows > $items_per_page) echo "<div align='center' style='margin-top:5px;'>\n".makePageNav($rowstart,$items_per_page,$rows,3)."\n</div>\n";
} else {
opentable($locale['046']);
echo "<center><br>\n".$locale['047']."<br><br>\n</center>\n";
closetable();
}
} else {
include INCLUDES."comments_include.php";
include INCLUDES."ratings_include.php";
$result = dbquery(
"SELECT tn.*, user_id, user_name FROM ".$db_prefix."news tn
LEFT JOIN ".$db_prefix."users tu ON tn.news_name=tu.user_id
WHERE news_id='$readmore'"
);
if (dbrows($result)!=0) {
$data = dbarray($result);
if (checkgroup($data['news_visibility'])) {
$news_cat_image = "";
if (!isset($_POST['post_comment']) && !isset($_POST['post_rating'])) {
$result2 = dbquery("UPDATE ".$db_prefix."news SET news_reads=news_reads+1 WHERE news_id='$readmore'");
$data['news_reads']++;
}
$news_subject = $data['news_subject'];
if ($data['news_cat'] != 0) {
$result2 = dbquery("SELECT * FROM ".$db_prefix."news_cats WHERE news_cat_id='".$data['news_cat']."'");
if (dbrows($result2)) {
$data2 = dbarray($result2);
$news_cat_image = "<a href='news_cats.php?cat_id=".$data2['news_cat_id']."'><img src='".IMAGES_NC.$data2['news_cat_image']."' alt='".$data2['news_cat_name']."' align='left' style='border:0px;margin-top:3px;margin-right:5px'></a>";
}
}
$news_news = stripslashes($data['news_extended'] ? $data['news_extended'] : $data['news_news']);
if ($data['news_breaks'] == "y") { $news_news = nl2br($news_news); }
if ($news_cat_image != "") $news_news = $news_cat_image.$news_news;
$news_info = array(
"news_id" => $data['news_id'],
"user_id" => $data['user_id'],
"user_name" => $data['user_name'],
"news_date" => $data['news_datestamp'],
"news_ext" => "n",
"news_reads" => $data['news_reads'],
"news_comments" => dbcount("(comment_id)", "comments", "comment_type='N' AND comment_item_id='".$data['news_id']."'"),
"news_allow_comments" => $data['news_allow_comments']
);
render_news($news_subject, $news_news, $news_info);
if ($data['news_allow_comments']) showcomments("N","news","news_id",$readmore,FUSION_SELF."?readmore=$readmore");
if ($data['news_allow_ratings']) showratings("N",$readmore,FUSION_SELF."?readmore=$readmore");
} else {
redirect(FUSION_SELF);
}
} else {
redirect(FUSION_SELF);
}
}

require_once "side_right.php";
require_once "footer.php";
*/
?>

bei Antwort benachrichtigen
Aragorn75 uspc „Ja genau, diese Links. Und die Funktion mit hidden ist mir auch klar. Nur woher...“
Optionen

Ups, sollte eigentlich hier rein...

Uuuu, das ist ne Menge.
So auf anhieb kann ich dort erstmal nix verdächtiges sehen, hab´s aber auch nicht bis ins Detail analysiert.
Könnte auch sein, das was in der footer.php, side_right.php, maincore.php, subheader.php, side_left.php, index.php oder sonst wo steht.

Dazu müsste man jetzt Stück für Stück die Dateien/Code vergleichen.

Sorry, aber das geht nicht auf die schnelle.
Schau dir deinen Webspace sehr genau an und schau nach Dateien die da nicht hingehören.
Oder schau mal im Bekanntenkreis ob du jemanden kennst, der sich dem Thema mal "live" an deinem PC annimmt.

bei Antwort benachrichtigen
uspc Aragorn75 „Ups, sollte eigentlich hier rein... Uuuu, das ist ne Menge. So auf anhieb kann...“
Optionen

Trotzdem danke für deine Bemühungen. Ja so sitze ich auch da. Der kürzeste Weg wäre wahrscheinlich, einen Befehl zu finden, der die Codes "reinsaugt". Mir ist aber nur "include" bekannt. Andersrum gibt es auch Befehle, die etwas umleiten, wie "require". Kennt ihr noch weitere Befehle ? Das kann HTML, PHP, Java Script sein. Das,was ich bis jetzt gefunden hatte, waren sauberen Verweise. Vielleicht ist da auch was, womit sich der Code (also diese Links) sozusagen "live" einspielt, also gar nicht bei mir liegt. Besten Dank für weitere Tipps. SG uspc

bei Antwort benachrichtigen
asterix5 uspc „Trotzdem danke für deine Bemühungen. Ja so sitze ich auch da. Der kürzeste...“
Optionen

Ja, die mit require_once angeforderten Dateien mußt Du auch untersuchen.

Und hast Du schon mal in Deine Datenbank geschaut?

\"Als ich nach Deutschland kam, sprach ich nur Englisch - aber weil die deutsche Sprache inzwischen so viele englische Wörter hat, spreche ich jetzt fließend Deutsch!\" (Rudi Carrell)
bei Antwort benachrichtigen
uspc asterix5 „Ja, die mit require_once angeforderten Dateien mußt Du auch untersuchen. Und...“
Optionen

Habe gerade die Datenbank durchsucht, nichts gefunden. Selbst im SQL-Dump per Suchbefehl, spätestens dort müßte ein required angezeigt werden. Keine verdächtigen Tabellen. Was mich verwundert, dass die Links in der SQL per Editor sichtbar werden: (Auszug)

href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/hydrocodone-xodol-vicodin-germany.html\\">hydrocodone xodol vicodin germany</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/xanax-and-mdma.html\\">xanax and mdma</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/tramadol-for-pe.html\\">tramadol for pe</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/health-articles-nursing-jobs-valium.html\\">health articles nursing jobs valium</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/soma-balber.html\\">soma balber</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/restaurant-soma.html\\">restaurant soma</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/physical-changes-of-vicodin.html\\">physical changes of vicodin</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/cheapest-generic-viagra-and-cialis.html\\">cheapest generic viagra and cialis</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/fluconazole-valium.html\\">fluconazole valium</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/vicodin-medication.html\\">vicodin medication</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/vicodin-and-sunlight.html\\">vicodin and sunlight</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/ambien-side-effects-in-elderly.html\\">ambien side effects in elderly</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/xanax-and-acne.html\\">xanax and acne</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/phentermine-consultation-no-prescription-required.html\\">phentermine consultation no prescription required</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/soma-hair-care.html\\">soma hair care</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/buy-cialis-cheap-prices-fast-delivery.html\\">buy cialis cheap prices fast delivery</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/phentermine-from-ams-group.html\\">phentermine from ams group</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/soma-cash-on-delivery.html\\">soma cash on delivery</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/triple-x-ultram.html\\">triple x ultram</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/buy-vicodin-online-pharmacy-online.html\\">buy vicodin online pharmacy online</a></li>\r\n<li><a href=\\"http://elearning.polytechnic.edu.na/moodle_data/7/discount-no-prescription-required-phentermine.html\\">discount no prescription required phentermine</a></li>\r\n<li><a




Beachte die Zeilen mit require:
consultation-no-prescription-required.html\\">phentermine consultation no prescription required</a></li>\r\n<li><a ...

Kann das was bedeuten ?


bei Antwort benachrichtigen
asterix5 uspc „Habe gerade die Datenbank durchsucht, nichts gefunden. Selbst im SQL-Dump per...“
Optionen

Du hast von mir eine PN erhalten.

\"Als ich nach Deutschland kam, sprach ich nur Englisch - aber weil die deutsche Sprache inzwischen so viele englische Wörter hat, spreche ich jetzt fließend Deutsch!\" (Rudi Carrell)
bei Antwort benachrichtigen
asterix5 uspc „Trotzdem danke für deine Bemühungen. Ja so sitze ich auch da. Der kürzeste...“
Optionen
... womit sich der Code ... "live" einspielt

Hallo,

Problem inzwischen gelöst?

Wenn nicht, lies Dir mal das hier durch:
http://blog.unmaskparasites.com/2009/07/23/goscanpark-13-facts-about-malicious-server-wide-meta-redirects/

Kann auch nichts schaden, im Google-Webmasterforum Dein Problem zu schildern und um Hilfe zu bitten. Da lesen immer auch Googler mit (und manchmal schreiben sie sogar):
http://www.google.com/support/forum/p/webmasters/label?lid=54000de981231698&hl=de

\"Als ich nach Deutschland kam, sprach ich nur Englisch - aber weil die deutsche Sprache inzwischen so viele englische Wörter hat, spreche ich jetzt fließend Deutsch!\" (Rudi Carrell)
bei Antwort benachrichtigen
Aragorn75 Nachtrag zu: „Ups, sollte eigentlich hier rein... Uuuu, das ist ne Menge. So auf anhieb kann...“
Optionen

So wie ich das sehe, ist diese Linkliste [li] an ein kleines unsichtbares Pixel gebunden.

Soll wohl zur Suchmaschinenoptimierung der seltsamen Seite dienen, wobei sowas die meisten Suchmaschinen mittlerweile ignorieren.

Von daher ist es erstmal ungefährlich, was deine Besucher betrifft.

Allerdings muss das natürlich irgendwie weg bzw. irgendwie muss es da rein kommen. In irgendeiner Datei wird ein Verweis zum Einbau der Links enthalten sein. Die Frage ist eben nur wo.

Die Seite liegt bei keinem Freespace-Anbieter oder sonst einem Billigheimer, der sich irgendwie durch Werbun gfinanziert?
Weil wenn ja, könnte es auch sein, das der Anbieter selber das einbaut.
Kenn das damals von Puretec (heute 1&1). Da gab es Webspace mit und ohne Werbung. Bei ohne Werbung war es günstiger, dafür wurde aber auf der index.html etwas Code automatisch eingebaut, um die Werbung darzustellen. Löschen war nicht möglich.

bei Antwort benachrichtigen
uspc Aragorn75 „So wie ich das sehe, ist diese Linkliste li an ein kleines unsichtbares Pixel...“
Optionen

Zitat:
So wie ich das sehe, ist diese Linkliste [li] an ein kleines unsichtbares Pixel gebunden.
Soll wohl zur Suchmaschinenoptimierung der seltsamen Seite dienen, wobei sowas die meisten Suchmaschinen mittlerweile ignorieren.

Danke, genau das vermute ich auch - gerade der 2. Satz.
Nun, der Provider ist evanzo, kostenpflichtiger Webspace ohne Werbung.
Problem ist, dass es eine weitere Domain gibt, bei der absolut das gleiche Problem auftritt. Beide websites habe ich mit dem gleichen CMS gemacht. Leider ist es dort nicht möglich, das Login-Passwort per Sonderzeichen o.ä. einzugeben. Denke, das CMS-System war nicht ausreichend abzusichern.

Bemerkenswert ist vielleicht auch, dass ich noch andere Domains dort habe, welche "handprogrammiert" sind. Auch dort verwendete ich recht einfache Login-Passwörter für den admin-Bereich - diese Domains sind allsamt sauber. Ok - per htaccess geschützt. Ansonsten gleicher Provider, gleiche "alte" Pakete. Zum Beispiel sind dort die register_globals=ON gesetzt.

Welche Befehle können das nun noch verursachen, also solche wie "include" - kann mir jemand noch weitere nennen ? Vielen Dank ! SG uspc


bei Antwort benachrichtigen
Aragorn75 uspc „Zitat: So wie ich das sehe, ist diese Linkliste li an ein kleines unsichtbares...“
Optionen

Was mir noch einfällt.

Wen du ein CMS benutzt, dann gibt´s da doch sicherlich auch Templates für die Optik/Anordnung usw.?
Hast du dir die mal angeschaut?

Evtl. mit einem kleinen Tool, das Dateien durchsuchen kann.
Machts etwas einfacher...

bei Antwort benachrichtigen
uspc Aragorn75 „Was mir noch einfällt. Wen du ein CMS benutzt, dann gibt s da doch sicherlich...“
Optionen

Hm, ich werd mal stöbern. Aber wie gesagt, in der SQL-Dump-Datei sind die Links zu sehen. So wie im Rechtsklick -> Quelltext. Hört sich einfach an, die Quelle zu finden. Ich werd noch blöde... Hab schon eine website neu gemacht - ohne CMS.

bei Antwort benachrichtigen
81Onkelz uspc „CMS gehackt, fremde Links im Quellcode“
Optionen

Klingt bekannt!
Ich hatte neulich ein Template für ein CMS aufgespielt, und plötzlich traten Deine Probleme auf. Die Lösung lag in einem GIF. Da waren alle Links mit 8Bit-Verschlüsselung versteckt.
Kann das sein?

I never want to hear the screams, Of the teenage girls in other people's dreams
bei Antwort benachrichtigen
uspc 81Onkelz „Klingt bekannt! Ich hatte neulich ein Template für ein CMS aufgespielt, und...“
Optionen

Hm, möglich ist alles... Aber: Die website läuft seit einem Jahr unverändert. Keine "fremden" Bilder (.gif) drin. Was ich habe, sind .zig Registrierungen von irgendwelchen Benutzern. Achso: Eine Zeit hatte man Kommentare bei den Fotoalben erlaubt, das hatte ich dann später untersagt. Hier nochmal der Link: www.schule-wusterwitz.de/index_2009.php Index ist jetzt geändert. Wie gesagt, einfach mal im Quelltext des Browsers schauen. Wie funktioniert das eigentlich mit Links in einer GIF ? Danke schon mal ! SG uspc

bei Antwort benachrichtigen
hansapark uspc „CMS gehackt, fremde Links im Quellcode“
Optionen

mit welchem cms haste die denn gebaut?

wenn beide mit dem cms erstellten das gleiche problem aufweisen, könnte es ja daran liegen..

der php code ist mir bei weitem zu irre. da blick ich garnicht durch..

mfg

bei Antwort benachrichtigen
uspc hansapark „mit welchem cms haste die denn gebaut? wenn beide mit dem cms erstellten das...“
Optionen

Hallo, beide mit PHP-Fusion. Dort war bekannt, dass zB. Sonderzeichen als admin-Benutzer nicht funktionieren. MfG uspc

bei Antwort benachrichtigen
innu uspc „Hallo, beide mit PHP-Fusion. Dort war bekannt, dass zB. Sonderzeichen als...“
Optionen

hallo,

habe hier mal die beiträge überflogen.... kurze frage dazu:

wo hostest du die seite? "kostenlose" anbieter machen ja gerne mal werbung (in sämtlichen formen), bzw. binden auch versteckten code ein. vielleicht liegt es daran? war jetzt das, was mir als erstes spontan einfiel, als ich deinen beitrag gelesen habe. hatte mal ne kostenlose domain und die hat auf meinen kostenloses webspace weitergeleitet; das ganze aber nur als frame-weiterleitung... versteckt war dort auch "suchmaschinenfreundlicher quellcode" ;-)

naja ... schau mal nach. vielleicht hilft dir oder anderen dieser gedankenansatz weiter.
gruss, innu

bei Antwort benachrichtigen
uspc innu „hallo, habe hier mal die beiträge überflogen.... kurze frage dazu: wo hostest...“
Optionen

Hallo, danke für den Tipp, aber ich hatte ein "echte" Domain gegen Kohle gehostet. Provider ist Evanzo, CMS ist PHP-Fusion, Software-Version Stand: vor etwa einem Jahr. Hier nochmal der Link zur betroffenen Seite: http://www.schule-wusterwitz.de Besten Dank, uspc

bei Antwort benachrichtigen
innu uspc „CMS gehackt, fremde Links im Quellcode“
Optionen

hi,

hab mir gerade den quelltext angeschaut... uff, ist ja erschreckend :-( weiß jetzt was du meinst :-(
mit php-fusion habe ich bislang keine erfahrung, aber auf 'deiner' homepage steht (c) 2006. aktuell ist aber 2009 (auch bei php-f). mal 'nen update gemacht?? vielleicht ne (bekannte) sicherheitslücke im system?!

in deinem fall würde ich auf jedenfall 2 schritte machen:
1. provider anrufen/anmailen
2. php-f forum/support benachrichtigen, unterstützung suchen

halte mich auf jedenfall auf dem laufenden - interessiert mich sehr woran das liegt. wenn ich dich irgendwie unterstützen kann, dann lass es mich bitte wissen!

lg, innu

bei Antwort benachrichtigen