Suche

[Kraftel]

hi

meine seite die erst seit einer woche steht wurde gehackt

cyberlords - irc.brasnet.org / #cyberlords
Greetz: YC The_danz r3d_nos3 terror_br DeepSecurity / Special: Cr4shyng SyS0

dies erscheint wenn man auf das News Modul klickt

So nun stellt sich mir die Frage wie bekomme ich den mist wieder weg ?
in der DB ist nichts zu finden dort stehen die News noch unverändert drinne also wo kann das versteckt sein

Grüße
Kraftel

[Editiert am 15/8/2004 von Kraftel]

[L1nuX3r]

hmm... hast du schonmal in die dateien des newsmodul geguggt? Aber wie können sich die hacker ins mx eingeschlichen haben... Hast du irgendein besonderes modul das nicht von maaX design kommt?

[jubilee]

Hallo !
 

meine seite die erst seit einer woche steht wurde gehackt

Hast Du denn mal die Artikel hier nach Sicherheitspatches/Bugfixes durchgelesen, bzw. mal im Forum gesucht ??
Du hast sicher die Version aus den Downloads ?
Wenn ja, diese Artikel lesen und darin vorgeschlagene
Vorgehensweisen durchführen:
 http://www.pragmamx.org/modules.php?name=News&file=article&sid=473&mode=&order=0&thold=0
 http://www.pragmamx.org/modules.php?name=News&file=article&sid=476&mode=&order=0&thold=0
 http://www.pragmamx.org/modules.php?name=News&file=article&sid=480&mode=&order=0&thold=0
 http://www.pragmamx.org/modules.php?name=News&file=article&sid=495&mode=&order=0&thold=0
 http://www.pragmamx.org/modules.php?name=News&file=article&sid=519&mode=&order=0&thold=0
 http://www.pragmamx.org/modules.php?name=News&file=article&sid=534&mode=&order=0&thold=0
MfG
jubilee

[jubilee]

Ähhh nochwas :
Wäre schön, wenn Du uns evt. Logfiles aus der betreffenden Zeit zur Verfügung stellen könntest.
Damit man mal schauen kann, wie die Hacker in das System gekommen sind.
MfG
jubilee

[_Gerry_]

Hallo Ronny!

Hättest du eventuell auch mal nen Link für uns?    
Ich find nämlich nur dein phpNuke 6.0 Seite!    

l.g.
Gerry

[Kraftel]

Also wie gesagt ich habe diese Version hier erst vor kurzen bei Euch
gedownloadet und installiert und nichts verändert

Ich habe das komplette News Modul ausgetauscht und es ändert sich nicht ebenfalls ist kein Eintrag in der DB zu finden daher ist es mir
schleierhaft wo ich der Eintrag stehen sollten

Wenn ich alle News aus der DB lösche funktioniert das News Modul auch fehlerfrei sobald aber ein Artikel erstellt wird erscheint dieser Text

Ja ich hab im Forum gesucht allerdings kein Ähnliches Problem gefunden
und da ich den Download erst vor ein paar Tagen gemacht habe gehe ich davon aus das in dieser Version schon alle Bugfixes enthalten sind  

Grüße
Kraftel

[Kraftel]

hier der Link zur Seite  

 http://www.coala.159177.vserver.de/

wie gesagt erst vor ein paar Tagen installiert und der Fehler tritt nur im News Modul auf

Grüße

[Kraftel]

@jubilee

wat für Logfiles ^^ Sorry war lang net mehr Aktiv in Sache vkpmx  

[jubilee]

Hallo !
 

Ich habe das komplette News Modul ausgetauscht und es ändert sich nicht ebenfalls ist kein Eintrag in der DB zu finden daher ist es mir
schleierhaft wo ich der Eintrag stehen sollten
 

Evt. haben die das irgendwo fest reingecodet ?!
 

wat für Logfiles

Logfiles vom Webserver (access_log)
Mfg
jubilee

[Andi]

Hi Kraftel

hab gerade gegoogelt, aber kein vergleichbares Problem gefunden. Alle Fundstellen, die irgendeinen Bezug zu dieser Meldung haben, beziehen sich auf Löcher, die im vkpMx eigentlich nicht vorhanden sind...

Ohne logfiles wird da wirklich nicht viel zu finden sein.

[Kraftel]

jop  

Also die logs vom vkpmx hab ich jubilee schon geschickt da dürfte
aber nicht viel zu sehen sein
auf die anderen muss ich leider noch warten da es nicht mein Server ist
ich das vkpmx nur für jemand installiert habe.

Was mich allerdings verwundert ist das ich in den Daten einfach nichts finde. Es muss doch irgendwo stehen

in der DB steht nix alles durchgeschaut und suchen lassen
auch alle config und setup datein sind in ordnung

Kann es vielleicht an einen unsicheren Server liegen ?

Ich hatte vor langer Zeit von denen auch schon einmal besuch
da war das vkpmx 2.0 grad drausen da wurden mir alle index seiten umgeschrieben ^^

Nach rechereche beim Provider stellte sich raus das 90 % seine Websits so gehäckt worden ^^

Grüße

[Kraftel]

hmmm

ich habe es gefunden

die story_home.html von dem theme wurde geändert  

[L1nuX3r]

trotzdem werden die logs gebraucht, damit man rausfinden kann wo das mX unsicher ist! Das sollte schnellstens behoben werden...

[Andi]

Hi Kraftel
 

Also die logs vom vkpmx hab ich jubilee schon geschickt da dürfte
aber nicht viel zu sehen sein

Suppi    

Mir schwant da etwas. Du schreibst, wenn du einen Artikel schreibst, funktioniert alles. Also ist jetzt i.M. kein Artikel bei dir in der DB?
Eigentlich sollte dann an dieser Stelle, wo jetzt die Hackermeldung steht, folgendes stehen:  Sorry, keine Informationen in diesem Themenbereich. .
Vielleicht haben die da was am Theme verändert.

edit:
ahhh, schon gefunden
hier nochwas:
http://www.coala.159177.vserver.de/themes/Hitech/

Ja, die Serverlogfiles werden gebraucht um zu sehen, wie die das gemacht haben.
Aber wenn der Provider schonmal das Problem hatte, kann es auch eine ungefixte my-Egallery auf einer anderen Domain gewesen sein.
In die eigene eGallery hast du den letzten Fix eingespielt?

[Editiert am 15.8.2004 von Tora]

[Kraftel]

joah hatte ich auch grad gesehen  

nach dem ich mir den Quelltext mal durchsucht hatte is mir das aufgefallen ^^

hab das Theme repariert ^^ wie das da reingekommen is
keine Ahnung  

[jubilee]

Jo, hab ich doch geschrieben:
 

Evt. haben die das irgendwo fest reingecodet ?!
 

Also, unbdingt mal die access_log aus dem besagten Zeitraum besorgen.
Das muss überprüft werden, wo das Einfallstor liegt.
BTW. braucht nicht im VKPMX liegen, gibt auch andere Möglichkeiten...
MfG
jubilee