CONTENIDO Forum

Ich habe gestern den Formular-Assistenten benützt und ein Kontakformular in die Kontaktseite eingebaut und siehe da, es tut sich in zeitlichem Zusammenhang was: http://chameleon-media(dot)de/YX7N9QF3.php (Dem Link bitte nicht unbedarft folgen)
Dank meines Requestblockers ging da nichts raus, aber ich frage mich, wie ich zu diesem Link komme?
Im HTML-Seitenquelltext findet sich nämlich nichts, aber sowohl im Backend im Editmodus als auch im Frontend erscheint dieser Request, als ob er vom PHP-Programm aus gestartet wird.
Das war vor dem Einbau eines Kontakformulars über den Form Assistant nicht gewesen, daher besteht ein zumindest zeitlicher Zusammenhang.

Was aber nichts bedeuten muss, denn diese Seite war schon einmal gehackt und alle Javascript Dateien waren befallen.
Nun auch diesesmal das Gleiche in nahezu jeder .js Datei: Da ich das System und die Datenbank das letzte Mal sauber gemacht hatte und außer dem Kontakformular nichts neues dazu kam, könnte es auch über den Hoster gekommen sein, bzw. dem Kunden-Account.
Ich möchte hier nur ausschließen, dass über Contenido irgendwas hereingekommen sein könnte.
Denn dann kann es fast nur noch am Kunden-PC oder eben am Hoster (Account) liegen.

...dank dem lieben Datenschutz habe ich keinen Zugriff aufs Serverlogfile, kann also nicht sagen, wer wann und von wo aus auf den Account zugegriffen hat.

Wurden beim letzten Mal auch sämtliche Zugänge neu gesichert/geändert. Hatte so einen Fall schon mal durch einen Trojaner auf nem Kundenrechner der die benutzen Passwörter weiter gab.

Gruß aus Franken

Ortwin

Hallo Ortwin,

nein, habe ich nicht, weil ich davon ausging, dass der Hacker über das damals installierte und unsichere System herein kam.
Das alte System ist gelöscht und nun kam der Hacker trotzdem wieder rein.
Ich glaube nun auch nicht, dass es über ein Script im Formularassistenten kam, das war wohl nur ein zeitlicher Zufall.
Damit schließe ich Contenido zu 99,9% aus Ursache aus (aber sicher gehen wollte ich trotzdem).

Unsere Rechner sind abgesichert, alle anderen Installationen sind sauber, es betrifft also immer nur diese eine Kundeninstallation.
Den Domainhaber habe ich informiert, dass sich bei ihm was seltsames auf dem Server befinden muss und mit dem Hoster hatte ich auch telefoniert.
Zugangsdaten sind nun geändert worden, auch Datenbank und Kunden-Account beim Hoster.
Es kann natürlich sein, dass sich ein Keylogger auf dem Kunden-PC befindet, aber dieser meinte schon letztesmal, dass er es geprüft hätte und der PC sei sauber gewesen.
Ich vermute, es war ein weiterer FTP-Zugang, der frühe einmal von meinem Vorgänger benutzt wurde.
Aber da ich die Logfiles nicht sehen kann, weiß ich nichts.
Allerdings konnte man beim Hoster das Loggen alle Schreibzugriffe auf den Server einstellen, jetzt bekomme ich jeden Tag Email ...auch natürlich über Caching vom CMS.