Site gehackt

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[DeepThought]

Moin,

bin nicht sicher, ob's ab vkpMX 2.1 liegt. Heute wurden auf meinem Server alle Dateien im root und in /modules, die irgendwie "*config*.*" in ihrem Namen tragen gegen eine htnl-Datei ausgetauscht.

Dazu der dezente Hinweis:

This site is defaced!!!
NeverEverNoSanity WebWorm generation 11.

Muss ich dem Provider auf die Füße steigen ?

Gruß

DeepThought

[jubilee]

Hallo !
Verwendest du irgendwelche Fremdmodule, die nicht beim MX-Addonpack dabei sind ?
Kannst du uns die log-Dateien zukommen lassen ?
MfG
jubilee

[DeepThought]

Moin jubilee,

yep, Fremdmodule sind dabei, für diesen Fall aber unerheblich. Ich vermute eher einen Fehler am Server, weil der einfach das Überschreiben der Dateien zugelassen hat. Oder irgendeine Pottsau hat meine Zugangsdaten. *vermutunghegt*

Das Log bekomme ich heute nacht und kann es dir morgen früh gerne mailen.

DeepThought

[jubilee]

Hallo !

Das Log bekomme ich heute nacht und kann es dir morgen früh gerne mailen.

Ja, das wäre schon. Wenn möglich schreib noch den ungefähren Zeitpunk dabei, wann das System
gehackt worden sein könnte.

MfG
jubilee

[Andi]

Moin

denke das dürfte der sein:

http://www.heise.de/newsticker/meldung/54504
http://www.nukeboards.de/index.php?showtopic=26511

[kekule]

Hallo tora

Besteht dieses Problem beim MX auch und wenn ja wie kann man sich schützen?

mfg

[Andi]

Moin

Im mX direkt besteht das Problem nicht. Es sei denn, du hast den phpBB-Port zum laufen gebracht.

Allerdings kann durch diesen Bug auch Dateien oder Datenbankeinträge des mX beeinflusst werden, wenn auf dem gleichen Server (nicht nur Domain) ein ungefixtes phpBB-Board läuft. Zu den "ungefixten phpBB-Boards" zähle ich hier auch php-Nuke ab Version 6.5.

Einen Schutz für dich gibt es nicht, wenn die Hacker über einen anderen virtuellen Host (o.Ä.) kommen, der auf dem selben Server läuft.
Über die PHP Einstellungen müsste etwas zu machen sein:
- allow_url_fopen >> OFF
- safe_mode >> ON ??

Das Ganze ist in der Gefährlichkeit vergleichbar mit dem bekannten Bug in älteren Versionen der myEgallery oder Coppermine (nuke).

[jubilee]

Hmmm ....
Aber der DeepThought hat auch kein
phpBB am laufen ?!
Das muss noch etwas anderes sein ....
MfG
jubilee

[NeMeSiSX2LC]

Vielleicht doch das sicherheits loch in PHP selbst?

[jubilee]

Hallo !

Vielleicht doch das sicherheits loch in PHP selbst?

Ähh, was meinst du damit ??
Mfg
jubilee

[NeMeSiSX2LC]

Da gibts doch eins in der PHP 4.3.9er oder nicht?? Muss ja en Grund haben das die einen 4.3.10 rausbringen

[NeMeSiSX2LC]

Moin

denke das dürfte der sein:

http://www.heise.de/newsticker/meldung/54504
http://www.nukeboards.de/index.php?showtopic=26511

Tora haste dir mal dei kommentare bei heise angesehen?? DER UNTERGANG VON PHP. He das die Leute gleich so übertreiben müssen.

[Andi]

Moin

da ist noch einer, der von vatersein.de verlinkt ist: http://www.papa-board.de/
Und da läuft ein phpBB-Board.
Weiss ja nicht, ob die Seiten zusammenhängen, aber die Meldungen sind identisch.

This site is defaced!!!
NeverEverNoSanity WebWorm generation 22.

Hmm, wenn ich mir die Bugbeschreibung der PHP-Versionen so durchlese, könnte das auch daher kommen....

Mal abwarten, ob DeepThought  nähere Info's geben kann...

[jubilee]

Hallo !

da ist noch einer, der von vatersein.de verlinkt ist: http://www.papa-board.de/
Und da läuft ein phpBB-Board.

Ah, ich hab nur die Seite aus dem Profil angeschaut.
Doch sinnvoll, wenn die Fragesteller auch gleich den link dazu posten.
Denn wird es wohl auf der seite mit dem phpBB sein, wo's gehackt hat

Hmm, wenn ich mir die Bugbeschreibung der PHP-Versionen so durchlese, könnte das auch daher kommen....

Die hier haben gewisses potential :

CAN-2004-1063 - safe_mode execution directory bypass.
CAN-2004-1064 - arbitrary file access through path truncation.
bug #30990 (allow popen() on *NIX to accept 'b' flag).

(ohne das jetzt weiter genauer durchgelesen zu haben)
MfG
jubilee
 

[NeMeSiSX2LC]

Sacht bloss könnte irgendwie recht gehabt haben??

[Andi]

Update:

http://www.heise.de/newsticker/meldung/54504

[NeMeSiSX2LC]

Oh Mann da bin ich ja mal gespannt wanbn das teil bei mir ankommt.

[DeepThought]

'n Abend,

es ist definitv meine Site gehackt (www.vatersein.de) worden und phpBB setze ich nicht ein. Ich habe im root und in /modules alle Dateien ersetzen müssen, die denortschnipsel "config" in sich haben. Die Originadateien sind durch 270 Byte Dateien ersetz worden. Wer eine zur Ansicht haben möchte, einfach melden - ist aber einfachstes html, also nicht wirklich spannend.

Die Site papa-Board.com ist im Rahmen des WebRings und hat technisch nix mit meiner zu tun.

Interessant in diesem Zusammenhang vielleicht noch die Info, dass exakt 24h vorher eine enorme Last auf meinem Server war, die ich allerdings im Log nicht sehe. Zumindest hing die Site wie nix gutes durch (Ladezeit 4 Minuten). Provider ist all-inkl.com; vom Tarif 100 Kunden auf einem Server (sagen die jedenfalls *gg*).

Gruß

DeepThought

[jubilee]

Hmmm ...

Wer eine zur Ansicht haben möchte, einfach melden - ist aber einfachstes html, also nicht wirklich spannend

Auf jeden Fall die Logs schicken.
Da müssen wir dann mal reinschauen, was da genau vorgefallen ist ....
Mfg
jubilee

[JermaineBelgardio]

Mal abgesehen davon, dass die Config Dateien ersetzt wurden - gab es sonst irgendwelche Verluste (etwa Datenbankeinträge oder so?)