Site gehackt

DeepThought · 21 Dezember 2004, 13:08:23

Moin,

bin nicht sicher, ob's ab vkpMX 2.1 liegt. Heute wurden auf meinem Server alle Dateien im root und in /modules, die irgendwie "*config*.*" in ihrem Namen tragen gegen eine htnl-Datei ausgetauscht.

Dazu der dezente Hinweis:

This site is defaced!!!
NeverEverNoSanity WebWorm generation 11.

Muss ich dem Provider auf die Füße steigen ?

Gruß

DeepThought

jubilee · 21 Dezember 2004, 15:35:48

Hallo !
Verwendest du irgendwelche Fremdmodule, die nicht beim MX-Addonpack dabei sind ?
Kannst du uns die log-Dateien zukommen lassen ?
MfG
jubilee

DeepThought · 21 Dezember 2004, 15:42:56

Moin jubilee,

yep, Fremdmodule sind dabei, für diesen Fall aber unerheblich. Ich vermute eher einen Fehler am Server, weil der einfach das Überschreiben der Dateien zugelassen hat. Oder irgendeine Pottsau hat meine Zugangsdaten. *vermutunghegt*

Das Log bekomme ich heute nacht und kann es dir morgen früh gerne mailen.

DeepThought

jubilee · 21 Dezember 2004, 15:44:54

Hallo !

ZitatDas Log bekomme ich heute nacht und kann es dir morgen früh gerne mailen.

Ja, das wäre schon. Wenn möglich schreib noch den ungefähren Zeitpunk dabei, wann das System
gehackt worden sein könnte.

MfG
jubilee

Andi · 21 Dezember 2004, 16:58:00

Moin

denke das dürfte der sein:

http://www.heise.de/newsticker/meldung/54504
http://www.nukeboards.de/index.php?showtopic=26511

kekule · 21 Dezember 2004, 18:27:24

Hallo tora

Besteht dieses Problem beim MX auch und wenn ja wie kann man sich schützen?

mfg

Andi · 21 Dezember 2004, 18:46:28

Moin

Im mX direkt besteht das Problem nicht. Es sei denn, du hast den phpBB-Port zum laufen gebracht.

Allerdings kann durch diesen Bug auch Dateien oder Datenbankeinträge des mX beeinflusst werden, wenn auf dem gleichen Server (nicht nur Domain) ein ungefixtes phpBB-Board läuft. Zu den "ungefixten phpBB-Boards" zähle ich hier auch php-Nuke ab Version 6.5.

Einen Schutz für dich gibt es nicht, wenn die Hacker über einen anderen virtuellen Host (o.Ä.) kommen, der auf dem selben Server läuft.
Über die PHP Einstellungen müsste etwas zu machen sein:
- allow_url_fopen >> OFF
- safe_mode >> ON ??

Das Ganze ist in der Gefährlichkeit vergleichbar mit dem bekannten Bug in älteren Versionen der myEgallery oder Coppermine (nuke).

jubilee · 21 Dezember 2004, 19:15:27

Hmmm ....
Aber der DeepThought hat auch kein
phpBB am laufen ?!
Das muss noch etwas anderes sein ....
MfG
jubilee

NeMeSiSX2LC · 21 Dezember 2004, 19:32:38

Vielleicht doch das sicherheits loch in PHP selbst?

jubilee · 21 Dezember 2004, 19:52:30

Hallo !

ZitatVielleicht doch das sicherheits loch in PHP selbst?

Ähh, was meinst du damit ??
Mfg
jubilee

NeMeSiSX2LC · 21 Dezember 2004, 19:56:40

Da gibts doch eins in der PHP 4.3.9er oder nicht?? Muss ja en Grund haben das die einen 4.3.10 rausbringen

NeMeSiSX2LC · 21 Dezember 2004, 19:58:44

Zitat von: Tora am 21 Dezember 2004, 16:58:00
Moin

denke das dürfte der sein:

http://www.heise.de/newsticker/meldung/54504
http://www.nukeboards.de/index.php?showtopic=26511

Tora haste dir mal dei kommentare bei heise angesehen?? DER UNTERGANG VON PHP. He das die Leute gleich so übertreiben müssen.

Andi · 21 Dezember 2004, 20:17:42

Moin

da ist noch einer, der von vatersein.de verlinkt ist: http://www.papa-board.de/
Und da läuft ein phpBB-Board.
Weiss ja nicht, ob die Seiten zusammenhängen, aber die Meldungen sind identisch.

ZitatThis site is defaced!!!
NeverEverNoSanity WebWorm generation 22.

Hmm, wenn ich mir die Bugbeschreibung der PHP-Versionen so durchlese, könnte das auch daher kommen....

Mal abwarten, ob DeepThought nähere Info's geben kann...

jubilee · 21 Dezember 2004, 20:26:38

Hallo !

Zitatda ist noch einer, der von vatersein.de verlinkt ist: http://www.papa-board.de/
Und da läuft ein phpBB-Board.

Ah, ich hab nur die Seite aus dem Profil angeschaut.
Doch sinnvoll, wenn die Fragesteller auch gleich den link dazu posten.
Denn wird es wohl auf der seite mit dem phpBB sein, wo's gehackt hat

ZitatHmm, wenn ich mir die Bugbeschreibung der PHP-Versionen so durchlese, könnte das auch daher kommen....

Die hier haben gewisses potential :

Zitat
CAN-2004-1063 - safe_mode execution directory bypass.
CAN-2004-1064 - arbitrary file access through path truncation.
bug #30990 (allow popen() on *NIX to accept 'b' flag).

(ohne das jetzt weiter genauer durchgelesen zu haben)
MfG
jubilee

NeMeSiSX2LC · 21 Dezember 2004, 20:37:25

Sacht bloss könnte irgendwie recht gehabt haben??

Andi · 21 Dezember 2004, 20:41:05

Update:

http://www.heise.de/newsticker/meldung/54504

NeMeSiSX2LC · 21 Dezember 2004, 20:45:24

Oh Mann da bin ich ja mal gespannt wanbn das teil bei mir ankommt.

DeepThought · 21 Dezember 2004, 21:49:31

'n Abend,

es ist definitv meine Site gehackt (www.vatersein.de) worden und phpBB setze ich nicht ein. Ich habe im root und in /modules alle Dateien ersetzen müssen, die denortschnipsel "config" in sich haben. Die Originadateien sind durch 270 Byte Dateien ersetz worden. Wer eine zur Ansicht haben möchte, einfach melden - ist aber einfachstes html, also nicht wirklich spannend.

Die Site papa-Board.com ist im Rahmen des WebRings und hat technisch nix mit meiner zu tun.

Interessant in diesem Zusammenhang vielleicht noch die Info, dass exakt 24h vorher eine enorme Last auf meinem Server war, die ich allerdings im Log nicht sehe. Zumindest hing die Site wie nix gutes durch (Ladezeit 4 Minuten). Provider ist all-inkl.com; vom Tarif 100 Kunden auf einem Server (sagen die jedenfalls *gg*).

Gruß

DeepThought

jubilee · 21 Dezember 2004, 21:52:32

Hmmm ...

ZitatWer eine zur Ansicht haben möchte, einfach melden - ist aber einfachstes html, also nicht wirklich spannend

Auf jeden Fall die Logs schicken.
Da müssen wir dann mal reinschauen, was da genau vorgefallen ist ....
Mfg
jubilee

JermaineBelgardio · 21 Dezember 2004, 22:05:56

Mal abgesehen davon, dass die Config Dateien ersetzt wurden - gab es sonst irgendwelche Verluste (etwa Datenbankeinträge oder so?)