Hackerangriff?

Begonnen von bigwitti, 06 März 2002, 11:43:47

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 2 Gäste betrachten dieses Thema.

bigwitti

Hallo zusammen, ich bräuchte mal Euren fachlichen Rat. Eine meiner Nuke-Sites (Nuke Vers. 5.0) meldete heute früh eine Connectierungsfehler zur betreffenden Datenbank. Nach Durchsicht aller Verzeichnisse auf dem Server habe ich im Verzeichnis "images/admin" eine Datei "Thumbs.db" entdeckt, die dort eigentlich nichts zu suchen hat. Handelt es sich hierbei womöglich um eine Hackerattacke, und was wäre in einem solchen Fall zu tun?

cu
bigwitti

DarkBoy

Hi Bigwitti,
 das Thumbs ist normal im Standard  in deiner Nuke Version mit drinne!
Also  hat es dir da keiner hingelegt :)
 Sollte jemand  versucht haben dein Nuke zu knacken dann findest du im images ordner oder einem Unterordner eine MYGOD.TXT oder HACKME.TXT . Das sind die häufigst verwendeten Dateien um die config.php auszulesen.
Sollte einer der beiden dateien vorhanden sein ist dine config.php als TXT  direkt im IE aufrufbar.
In einem solchen Fall musste alles löschen und neue Passwörter vergeben und  am besten nimmste den chmod von der config.php !

Als Alternative gibt es zwei Möglichkeiten:
Erstens  bauste den kompletten Filemanager aus auch den falls vorhandenen USERfilemanager.

Alternative kannst du den auch auskommentieren
Also such in der admin.php folgendes so ca Zeile 220ff
 
Zitatif($upload) {
    copy($userfile,$basedir.$wdir.$userfile_name);
    $lastaction = ""._UPLOADED." $userfile_name --> $wdir";
    // This need a rewrite
    //include("header.php");
    //GraphicAdmin($hlpfile);
    //html_header();
    //displaydir();
    $wdir2="/";
    chdir($basedir . $wdir2);
    //CloseTable();
    //include("footer.php");
    Header("Location: admin.php?op=FileManager");
    exit;
}  
und  ersetze oder kommentiere sie wie hier aus :) gegen folgendes
Zitatif($upload)
 {
 include("dududu.php");
erstelle eine dududu.php und  füge z.B folgendes ein
Zitat<?php

if (!isset($mainfile)) { include("mainfile.php"); }
$index = 0;

include("header.php");
   OpenTable();
   CloseTable();
  echo "WAT,WER BIST DU DENN? Denke das ist nicht erlaubt was du machst und auch nicht die feine Art.Also FINGER WEG.Wir sind hier nicht bei AOL:))
";




include("footer.php");

?>
dann lade die dududu.php in dein root und  dann ist erstmal schluss:)  den Text  kannste austauschen wie du willst und es gibt  von uns eine ausführlichere Methode aber die werden wir  nicht hier reinstellen !
Das sicherste ist aber generell den Filemanager in allen Arten zu entfernen! Deswegen ist er in 5.5 auch nicht mehr drinne , er ist -war-und-bleibt ein Risiko.

bigwitti

Hallo DarkBoy, vielen Dank für deine ausführlichen Erläuterungen. Ich war halt ein wenig irritiert, weil der Datenbankzugriff ganz plötzlich einfach so weg war. Hat sich inzwischen aber wieder geregelt. Den Filemanager habe ich bereits ganz am Anfang komplett "erntsorgt". Jetzt würde mich nur noch interessieren, wofür die Thumbs.db eigentlich gut ist.

cu bigwitti

FrankySZ

Hi bigwitti,

HAttest du eventuell mal ein zusatzliches Modul installiert, das etwas mit Redaktion zu tun hatte?

Dieses Modul soll Bilder speichern fuer die Verwendung bei news, Testberichten etc und hat eine thumbs.db.
Zumindest is das Modul das einzige das ich kenne, wo so ein File dabei war.
greets Franky