php Dateien gehackt

[nukia]

Hallo,

all meine php-Dateien sind scheinbar gehackt worden:

Code: Select all

<?php eval(gzinflate(base64_decode('HJ3HcqRas0Yf554I........

- Wie bekomm ich das wieder weg?

Verwende zur Zeit die Version 1.4.1, würde ein Update auf die aktuelle Version 1.4.7 den Fehler bereinigen?

- Gibts wo eine Updateanleitung für Dummys von 1.4.1 -> 1.4.7? (finde leider nur ältere Anleitungen)

[nameless1]

hallo nukia,

1. pc von viren befreien
2. ftp passwort ändern
3. phpwcms aktualisieren - und zwar nich einfach nur rüber bügeln sondern mindestens jede in der letzten zeit manipulierte datei austauschen. wenn nich sogar gleich richtig.
4. hier sind anleitungen: http://www.phpwcms-howto.de/wiki/doku.p ... ion/update
fang mit nem dump an, wenns fragen gibt steht dir das forum hier offen und rede und antwort.

gruß

nml1

[flip-flop]

4. Wie nameless1 schon schreibt, auf jeden Fall neu installieren mit den vorhandenen Bildern, Templates und der vorhandenen DB. Das einfache Überschreiben ist nicht anzuraten, da wahrscheinlich infizierte Dateileichen zurückbleiben.

In der DB nachsehen ob es unbekannte User gibt.

Knut

[nukia]

Ich werde die Homepage auf einem anderen (hoffentlich sicheren) Server übersiedeln.

Ersuche daher um kurze Hilfestellung wie ich dazu am besten vorgehe:

1) aktuelle Version am neuen Server installieren
2) DB export...?
....

Danke

[flip-flop]

1) aktuelle Version am neuen Server installieren
2) DB export/import
3) Sind in der DB User eingetragen die du nicht kennst, bzw. vergebe neue Passwörter an die vorhandenen User
4) Sind in der DB Tabellen vorhanden, die nicht zu phpwcms gehören?

Sonst wie Update

Knut

[nameless1]

Ich hoffe Du bist dir bewußt das nicht zwangsläufig der Server das Sicherheitsproblem hat?
Laut Microsoft sind bspw. 75% der WinXP Installationen mit einem Root-Kit befallen...

[nukia]

Glaub ich brauch nochmal eure Hilfe.

Hab jetzt die aktuelle Version von phpwcms am neuen Server installiert.

Am "alten" Server die DB exportiert...diese wollte ich nun am neuen wieder importieren.

Leider erhalte ich aber folgende Fehler:

#1044 - Access denied for user 'Benutzername'@'localhost' to database 'DBname"

Was mache ich hier falsch bzw. funktioniert die Übersiedelung überhaupt so?

[nameless1]

wie versuchst du den die db zu ex- und importieren?

[nukia]

Alter Server
Export: phpMyAdmin -> Exportieren: SQL, keine Kompression usw...eigentlich ändere ich hier nichts

Neuer Server
Import: phpMyAdmin -> Importieren

[juergen]

Da steht in deinem Backup der Name der alten Datenbank ... den musst du mal eben wegeditieren

[nukia]

Blöde Frage, aber wo bzw. wie editier ich den schnell weg?

[Cipolla]

Warum hälst du dich denn nicht einfach an die relativ simple Anleitung aus dem Wiki? Siehe Link von Knut bzw. Nameless.

03. Die vorhandene conf.inc.php in die neue Installation kopieren

Die vorhandene conf.inc.php in die neue Installation kopieren und mit der dort vorhandenen dist.conf.inc.php abgleichen. Hier wird natürlich auch die neue DB eingetragen mit collation und charset und das Unterverzeichnis in dem das neue System gerade läuft.

[novallis]

Tipp:
Die Datenbank lässt sich sehr einfach mit MySQLDumper umziehen - gerade bei sehr großen Datenbanken, da das Programm das Einspielen der Datenbank "häppchenweise" vornimmt.
Über die grafische Oberfläche Backup anstoßen, runterladen, auf den neuen Server laden, einspielen.
Auf dem neuen Server muss dann natürlich zuvor auch MySQLDumper installiert sein.

SQL-Dumper im Internet:
http://www.mysqldumper.de/

Grüße
- Ralf (novallis)

[flip-flop]

#1044 - Access denied for user 'Benutzername'@'localhost' to database 'DBname"

Ist das eine Fehlermeldung im phpMyAdmin?

Dann musst du, wie Jürgen schon sagte, aus der SQL-Datei im Kopf den DB Eintrag herausnehmen.
So etwas wird mit einem einfachen AscII-Editor veranstaltet, z.B. PsPad.

(Wenn du den MySQLDumper installieren solltest, denke auf jeden Fall an den Schutz).

Knut

[top]

...
(Wenn du den MySQLDumper installieren solltest, denke auf jeden Fall an den Schutz).
...

.oO(Kann ich auch nur immer wieder zu raten. Wir hatten schon mal den Fall, dass dies bei einem Domainumzug vergesseb wurde und die Seite darüber gehackt wurde! Aber sonst ein super Tool.)