phpwcms Support Forum

Alles herunterladen und alles prüfen. Es gibt üblicherweise noch mehr JS in template/lib.

@claus Einfach in

Ist OK. Ihr könnt ja mal Eure Seite checken lassen mit:
http://app.webinspector.com/
Das bringt zumindest das Ursprungsfile des Problems. Falls da was gefunden wird auch alle js dateien drumrum checken.

LG

@Oliver: hab's gewrappt
Danke für den Hinweis!

"Es gibt üblicherweise noch mehr JS in template/lib.".....

Ja, da waren alle js files in allen Ordnern modifiziert..... Habe sie grad alle durcheditiert.

LG

PS:
Und es kommt noch schlimmer. Kurz - ALLE js files in allen Ordnern wurden modifiziert

Machs Dir doch nicht so schwer.

Sichere Dir die Verzeichnisse: /config/phpwcms; /template/inc_css; eventuell eigene Scripte (Js/ PHP)

Bügle die neuste Version von GitHub drüber. Danach bleiben noch einige JS/PHP-Scripte aus älteren Versionen übrig, soweit Du diese nutzt, erkennbar an dem entsprechenden Datum der Vefälschung 21.032014 (?), ansonsten rausschmeißen (bei mir war es Motools )- habe ich komplett entfernt, da ich damit nicht mehr arbeite. Die restliche kannst per Hand -bei 8-12 Stück kein Problem- korrigieren, da nur am Ende dieser Schadcode eingefügt wurde.

Für Deine Seite hast Du in einer Stunde oder weniger alles wieder im Griff Wenn Du gut mit dem Confixx etc umgehen kannst, solltest Du vielleicht das Verzeichnis für das CMS wechseln in einen ganz anderen Namen

Melde Dich bei Google an und benutze die Webmastertools, damit diese Deine Website abprüfen können, dass Du alles abgeändert hast. (ich habe dafür den MEGA-Tag von Google eingesetzt). Nach 12 Stunden war alles vergessen und wieder normal.

Du kannst natürlich auch nach dem Vorbild auf meiner Spielwiese vorgehen, bleibt gehuppt wie gesprungen

Seite läuft wieder, auch Guckel sagt OK. Trotzdem fragt man sich wie sowas passieren konnte.

LG
Klaus

Hast du da auch wordpress laufen ?

Bin mal gespannt auf deine Antwort

Nein, nix Wordpress oder sonstige Zusatzmodule, keine Individualprogrammierung etc. Einmal Standard phpwcms 1.5.4
Wie werden da ca 100 Dateien modifiziert? FTP geknackt?

LG

Deswegen fragte claus nach der Anzahl der aktiven Seiten auf dem Server. Wenn man sich Zugang zum Server verschafft und hat superUser Rechte dann ist alles möglich. Dem Namen nach könnten die Dateien mal für wordpress gedacht sein.

Ohne den gesamten Server zu sehen muss man sich (leider) auf das verlassen was der Hoster sagt

andalucia wrote:Nein, nix Wordpress oder sonstige Zusatzmodule, keine Individualprogrammierung etc. Einmal Standard phpwcms 1.5.4
Wie werden da ca 100 Dateien modifiziert? FTP geknackt?

LG

Ich hatte ein vergleichbares problem letzten Sommer! Hatte mir einen Keylogger eingefangen, der alle FTP Passworter ausgelesen hat...

ich kann nur empfehlen den / die Rechner die im System sind platt zu machen und neu aufzusetzen, sonst kommt der Besuch bald wieder

Bei mir waren es übrigens ca. 35 Kundeninstallationen die betroffen waren und bei mir waren nicht nur .js-Dateien betroffen sondern auch .txt, .html, .htm, und .php und das alles bis in die dritte Ordnerebene unterhalb vom Installationsverzeichniss. Nach diesem vorfall bin ich deutlich vorsichtiger geworden. Hat mich über eine Woche gekostet alles wieder ans laufen zu bekommen.

Mein Chrome meckert die erste Seite dieses Foren Beitrags an es würde Malware verbreiten ... ich denke ich nehme die Bilderlinks raus !

Keine Ahnung ob das an der Seite als solches liegt oder was auch immer ..

ja ist der Seitenname...

Kann sowas auch auf Webseiten passieren, die nicht mit phpwcms gebaut sind? Der Internetauftritt meiner kleinen Firma läuft über 1&1. Sind da irgendwelche Fälle bekannt?

Hab mal den Link zu Heinz und Heinz entfernt.
Nein, das Problem hat nichts mit phpwcms zu tun. Aber wenn der Rest kompromittiert ist, dann kann natürlich auch phpwcms davon betroffen sein...

zudem.. wenn so ein Kasper nach ausführbaren Dateien sucht, wird er immer php und js - files als erste Wahl haben