Site gehackt

Begonnen von DeepThought, 21 Dezember 2004, 13:08:23

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

DeepThought

Moin,

bin nicht sicher, ob's ab vkpMX 2.1 liegt. Heute wurden auf meinem Server alle Dateien im root und in /modules, die irgendwie "*config*.*" in ihrem Namen tragen gegen eine htnl-Datei ausgetauscht.

Dazu der dezente Hinweis:

This site is defaced!!!
NeverEverNoSanity WebWorm generation 11.

Muss ich dem Provider auf die Füße steigen ?

Gruß

DeepThought

jubilee

Hallo !
Verwendest du irgendwelche Fremdmodule, die nicht beim MX-Addonpack dabei sind ?
Kannst du uns die log-Dateien zukommen lassen ?
MfG
jubilee

DeepThought

Moin jubilee,

yep, Fremdmodule sind dabei, für diesen Fall aber unerheblich. Ich vermute eher einen Fehler am Server, weil der einfach das Überschreiben der Dateien zugelassen hat. Oder irgendeine Pottsau hat meine Zugangsdaten. *vermutunghegt*

Das Log bekomme ich heute nacht und kann es dir morgen früh gerne mailen.

DeepThought

jubilee

#3
Hallo !
ZitatDas Log bekomme ich heute nacht und kann es dir morgen früh gerne mailen.
Ja, das wäre schon. Wenn möglich schreib noch den ungefähren Zeitpunk dabei, wann das System
gehackt worden sein könnte.

MfG
jubilee

Andi

schön´s Grüssle, Andi

kekule

Hallo tora

Besteht dieses Problem beim MX auch und wenn ja wie kann man sich schützen?

mfg

Andi

#6
Moin :)

Im mX direkt besteht das Problem nicht. Es sei denn, du hast den phpBB-Port zum laufen gebracht.

Allerdings kann durch diesen Bug auch Dateien oder Datenbankeinträge des mX beeinflusst werden, wenn auf dem gleichen Server (nicht nur Domain) ein ungefixtes phpBB-Board läuft. Zu den "ungefixten phpBB-Boards" zähle ich hier auch php-Nuke ab Version 6.5.

Einen Schutz für dich gibt es nicht, wenn die Hacker über einen anderen virtuellen Host (o.Ä.) kommen, der auf dem selben Server läuft.
Über die PHP Einstellungen müsste etwas zu machen sein:
- allow_url_fopen >> OFF
- safe_mode >> ON ??

Das Ganze ist in der Gefährlichkeit vergleichbar mit dem bekannten Bug in älteren Versionen der myEgallery oder Coppermine (nuke).
schön´s Grüssle, Andi

jubilee

Hmmm ....
Aber der DeepThought hat auch kein
phpBB am laufen ?!
Das muss noch etwas anderes sein ....
MfG
jubilee

NeMeSiSX2LC

Vielleicht doch das sicherheits loch in PHP selbst?
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

jubilee

Hallo !
ZitatVielleicht doch das sicherheits loch in PHP selbst?
Ähh, was meinst du damit ??
Mfg
jubilee

NeMeSiSX2LC

Da gibts doch eins in der PHP 4.3.9er oder nicht?? Muss ja en Grund haben das die einen 4.3.10 rausbringen
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

NeMeSiSX2LC

Zitat von: Tora am 21 Dezember 2004, 16:58:00
Moin :)

denke das dürfte der sein:

http://www.heise.de/newsticker/meldung/54504
http://www.nukeboards.de/index.php?showtopic=26511

Tora haste dir mal dei kommentare bei heise angesehen?? DER UNTERGANG VON PHP. He das die Leute gleich so übertreiben müssen.
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Andi

Moin :)

da ist noch einer, der von vatersein.de verlinkt ist: http://www.papa-board.de/
Und da läuft ein phpBB-Board.
Weiss ja nicht, ob die Seiten zusammenhängen, aber die Meldungen sind identisch.

ZitatThis site is defaced!!!
NeverEverNoSanity WebWorm generation 22.


Hmm, wenn ich mir die Bugbeschreibung der PHP-Versionen so durchlese, könnte das auch daher kommen....

Mal abwarten, ob DeepThought  nähere Info's geben kann...
schön´s Grüssle, Andi

jubilee

Hallo !
Zitatda ist noch einer, der von vatersein.de verlinkt ist: http://www.papa-board.de/
Und da läuft ein phpBB-Board.
Ah, ich hab nur die Seite aus dem Profil angeschaut.
Doch sinnvoll, wenn die Fragesteller auch gleich den link dazu posten.
Denn wird es wohl auf der seite mit dem phpBB sein, wo's gehackt hat ;)
ZitatHmm, wenn ich mir die Bugbeschreibung der PHP-Versionen so durchlese, könnte das auch daher kommen....
Die hier haben gewisses potential :
Zitat
CAN-2004-1063 - safe_mode execution directory bypass.
CAN-2004-1064 - arbitrary file access through path truncation.
bug #30990 (allow popen() on *NIX to accept 'b' flag).
(ohne das jetzt weiter genauer durchgelesen zu haben)
MfG
jubilee

NeMeSiSX2LC

Sacht bloss könnte irgendwie recht gehabt haben??
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Andi

schön´s Grüssle, Andi

NeMeSiSX2LC

Oh Mann da bin ich ja mal gespannt wanbn das teil bei mir ankommt.
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

DeepThought

'n Abend,

es ist definitv meine Site gehackt (www.vatersein.de) worden und phpBB setze ich nicht ein. Ich habe im root und in /modules alle Dateien ersetzen müssen, die denortschnipsel "config" in sich haben. Die Originadateien sind durch 270 Byte Dateien ersetz worden. Wer eine zur Ansicht haben möchte, einfach melden - ist aber einfachstes html, also nicht wirklich spannend.

Die Site papa-Board.com ist im Rahmen des WebRings und hat technisch nix mit meiner zu tun.

Interessant in diesem Zusammenhang vielleicht noch die Info, dass exakt 24h vorher eine enorme Last auf meinem Server war, die ich allerdings im Log nicht sehe. Zumindest hing die Site wie nix gutes durch (Ladezeit 4 Minuten). Provider ist all-inkl.com; vom Tarif 100 Kunden auf einem Server (sagen die jedenfalls *gg*).

Gruß

DeepThought

jubilee

Hmmm ...
ZitatWer eine zur Ansicht haben möchte, einfach melden - ist aber einfachstes html, also nicht wirklich spannend
Auf jeden Fall die Logs schicken.
Da müssen wir dann mal reinschauen, was da genau vorgefallen ist ....
Mfg
jubilee

JermaineBelgardio

Mal abgesehen davon, dass die Config Dateien ersetzt wurden - gab es sonst irgendwelche Verluste (etwa Datenbankeinträge oder so?)