Soeben wurde meine Seite gehacked!

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[Firat]

Gehacked kann man nicht unbedingt sagen aber meine Seite basiert auf vkpMx 2.1 und wurde durch Türken beschädigt. In der Datenbank ist der Tabelleninhalt von _authors gelöscht, somit gibt es keine Admins und alle Banner wurden durch das Logo der türkischen Lamerseite ersetzt! Mein Verdacht konzentriert sich auf das Bannermodul, weil nur dieses Modul geändert wurde und ansonsten die ganze Seite lauffähig war. Ich habe leider noch keine Logs, weil die erst nach Mitternacht bereitgestellt werden. Meine Seite habe ich auch offline gestellt. Ich könnte sie wieder online machen aber ich möchte erstmal die Ursache ausfindig machen.

Andere fremde Module sind Coppermine und paar unwichtige die ich seit Jahren benutze!

[jubilee]

Hallo !

Andere fremde Module sind Coppermine und paar unwichtige die ich seit Jahren benutze

WELCHE
Namen und Version angeben.
Auch von der Coppermine-Gallerie !
Sonst können wir uns das nachforschen gleich schenken !


MfG
jubilee

[Firat]

Coppermine ist die aktuelste Version also 1.3.5
gpoints
GUIstuff
LogoEditor
Spiel
User_Fotoalbum

also wie du siehst, haber wirklich sehr wenige Fremdmodule, ansonsten paar selbstgeschriebene nur mit htmlinhalt!

Ich habe bannermodul und blöcke deaktiviert, author-Tabelle aktualisiert und den türkischen Ip-Bereich aus Ankara komplett gesperrt!

[Andi]

gpoints
GUIstuff
LogoEditor
Spiel

Keine Ahnung was das für Module sind...

Ich denke ohne die Logfiles, und weitere Info, z.B. nen Link zur Seite kommen wir da nicht weiter.
Das Bannermodul schliesse ich mal aus dem Verdacht aus. Habe es gerade nochmal angesehen, da ist nichts drin, was die Admintabelle löschen könnte. Denke die haben die Bannertabelle nur verwendet um ihre Bildchen unterzubringen.
Hast du das Detection-System aktiviert?
Ist das noch ein vkpMx 2.1 oder ein 2.1.a oder 2.1.b?

mehr INFO!!!!

[Firat]

Ich habe 2.1.b!
 die oben aufgelisteten module sind inhaltlich html-dateien. sie haben keine datenbankspezifische schreibende Funktionen!
Es gibt nur 3 Admins und sie haben vor Kurzem ihre PWs geändert also daran kann es auch nicht liegen.
Ich weiss nur, dass es wirklich eine Gruppe war, die viele auf Nuke basierende Seite so gehacked haben!
Ich werde heute Nacht die Logfiles genauer anschauen und ggf. euch auch geben!

[jubilee]

Hallo !

die oben aufgelisteten module sind inhaltlich html-dateien. sie haben keine datenbankspezifische schreibende Funktionen!

Das gpoints - Modul mit Sicherheit nicht !
Das schreibt/liest reichlich in der Datenbank !
Welche version ist das bzw. von welchem Datum  ?

MfG
jubilee

[Andi]

und ggf. euch auch geben

Nicht ggf.!!
Wir bitten darum

[Firat]

ja stimmts, sorry habe gpoints übersehen und coppermine brauch ich garnicht zu erwähnen.
Detection ist aktiv,habe eben gerade mal geschaut und der letzte Eintrag ist am 30.09 und uraltes Bug in Downloads , das schon vor Jahren beseitigt ist!

Logfiles werdet ihr haben

gpoints von im-concepts.de 1.61

[jubilee]

BTW:
Wenn das freie unverschlüsselte gpoints-Modul version 1.61, dann gute Nacht.
Hab da beim schnellen draufschauen schon einiges gesehen .....
Allein im Admin-Modul gehts schon so los :

if (!eregi("admin.php", $PHP_SELF)) { die ("Access Denied"); }

$result = mysql_query("select name, radminsuper from ".$prefix."_authors where aid='$aid'");

MfG
jubilee

[Firat]

so hier ist die komplette Liste der Module!

FAQ
Members_List
Feedback   
Downloads 
Web_Links
Stories_Archive
Sections   
Content   
Top
Topics
Your_Account
News       
Submit_News
 Recommend_Us     
 Private_Messages   
Surveys       
Search Suchen     
Guestbook   
Kalender   
Newsletter   
Web_News 
eBoard
Impressum
LinkMe       
LogoEditor       
Spiel       
Members_Photo_Upload
TVRadio       
Avatar
gpoints
Gallery
Sponsors
User_Registration
Userinfo
My_eGallery
Banners
Themetest   
Addon_Sample
maaXStat     
Reviews   
UserGuest     
Encyclopedia   
Siteupdate   
User_Fotoalbum 
blank_Home   
Buddy   
albums

[jubilee]

Hmmmm ....
My_eGallery mit dem Fix, den Fixen  ausgestattet die hier in den Themen unter Bugs gepostet sind ?
TVRadio ? ? Was das ?
albums ? ?

MfG
jubilee

[Firat]

Egallery benutze ich garnicht.Also es ist deaktiviert. Es ist ein Bestandteil von VkpMx, deshalb hatte ich auch Probleme beim Deinstallieren.

TVRadio ist ein Modul in dem die Tv- und Radiosender der Seite http://tvradionetwork.com/ in einem Frame geladen und gezeigt werden. Also nur reines html!

[RiotheRat]

Schick bitte Dein Log-File gezippt an team@pragmamx.org oder leg es als ZIP auf Deinen Server und schick eine eMail mit der Download-URL an die eben genannte Adresse.

Dann kann man dazu auch was sagen - alles andere ist sinnloses stochern im Nebel. Bei einer eMail ans Team können (und werden) wir weiter sehen ...

RtR

[jubilee]

H mm mmm ....
Welche Shoutbox ist das denn, die dauernd in den Logs auftaucht, aber nicht
in deiner Modulliste steht ? ? ? ?

Sagt Dir das etwas ?

85.96.135.79 - - [06/Oct/2005:15:14:46 +0200] "GET /cool/modules.php?name=Biyografi

??

[Firat]

es ist extra script,das mit nuke nichts zutun hat!
Biographie modul basiert auf reviews-modul. das modul war ebenfalls davon betroffen aber was mich interessiert warum man nicht weitergeleitet wird , wenn man banners.php direkt aufruft!

[Firat]

So es wurde wieder gehacked, obwohl ich alle module die verdächtig waren komplett gelöscht und alle pws geändert habe. weiteres folgt noch!

[RiotheRat]

Welche Gallery ist das die bei Dir läuft? Denn der Modulname ist "Gallery" und nicht "My_eGallery"! Nur umbenannt oder ein "anderes" Modul?

RtR

[Firat]

wie ich schon oben erwähnt hatte, benutze ich coppermine aber die Ursache habe ich rausgefunden!
Es wurde irgendwie durch das Bildupload modul im Adminbereich ein Php-Script in das iupload-verzeichnis hochgeladen. so hat der Typ sozu sagen vollen Zugriff auf alle Dateien und auf die Datenbank gehabt und so hat er auch alle Einstellungen ändern können. Deshalb jeder sollte schnell wie möglich das Bild-Hochladen-Modul für Adminbereich löschen oder umbenennen!

[Energy-drink]

wenn er kein Admin ist wie soll er dann das Bildhochladen Modul im ADMINBEREICH bedienen können??

[Firat]

er hat sich über die datenbank ein admin-account erstellt und sich so eingeloggt! alles weitere war dann Kinderspiel für die Person!
Während ich noch in der Datenbank nach Spuren gesucht habe, war diese Person drin um die Spuren zu löschen und dabei löschte er auch seinen eigenen account! Er wollte wahrscheinlich damit erreich dass ich auf das Script nicht aufmerksam werde damit er es weiterhin benutzen kann!