Schon wieder :-( Irgendwer schiebt der SAN-Site Spam-Links unter.
Im Moment kann ich das nur patchen, so dass nicht ständig die Optik der Site zerschossen wird. Ich frag mich, wie die da rein kommen, kann fast nur über direkten einen Zugang zum Server gehen, da läuft ein Script über alle PHP-Files und schiebt Code ein, der beim Ausgeben der Seiten unsichtbare Spam-Links unterbringt. Zudem wird den ausgegebenen HTML-Seiten als erstes Zeichen ein EOF (End-of-File) vorgesetzt. Das stört keinen Browser, aber der W3C-Validator beschwert sich, dass die zu prüfende Seite in Zeile 1, Spalte 1 zuende ist.
Der Zugang zum CMS selber scheint nicht kompromittiert worden zu sein, der Kram muss fast über den FTP-Zugang oder gar über den Server selber eingespielt worden (eher letzteres, fürchte ich). Google spuckt zu dem Problem keinerlei Informationen aus und auch meine ExpressionEngine-Spezialisten haben noch von keinem Problem in der Art gehört. Ich sag jetzt mal vorsichtig, dass es wohl auch kein Loch im CMS selber sein kann. Der EngelChronik ist sowas noch nie passiert. Ich führ das jetzt mal darauf zurück, dass mein kleiner feiner Provider seine Server besser im Griff hat als der Provider-Gigant, bei dem die SAN-Site liegt.
Ich kann immerhin auf die Minute genau sagen, seit wann der Fremd-Patch in den Files ist: Seit ziemlich genau 2 Tagen.
Na super :-/
Wie viele ftp-Zugänge wurden denn verteilt? Ein gehackter PC reicht dann ja schon ...
Inzwischen gibt es nur noch 2, meinen und den vom anderen Admin, ich kann mir nicht so recht vorstellen, dass das Loch da ist. Andererseits kann ich mir eh nicht vorstellen, wie der Patch eingespielt wurde.
Jedenfalls ist es überaus lästig und so lang wir nicht wissen, wo es her kam, können wir es wohl auch nicht verhindern.
Liegt da noch was Fremdes auf dem Server rum vielleicht?
Schwer zu beurteilen, da liegt so viel rum ;-) Ich glaub nicht.