Seite wurde gehackt

Begonnen von bigbaba, 08 Juni 2006, 22:38:25

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

bigbaba

Hallo

leider wurde die seite http://www.game-news4you.com seit gestern mehrmals gehackt.
Den ersten hack versuch konnte ich noch abwähren aber sie haben es sogar geschaft meine DB zu löschen.

Ich habe die PHP Datei die das ganze verursacht hat weg kopiert , wen es gewünscht wird kann ich diesen an euren Security Admin zukommen lassen damit Ihr gegen masnahmen treffen könnt.

Gruss  :-X
Stell dir vor, es ist Krieg und der Fernseher ist kaputt! Please visit http://www.game-news4you.com/

Musicman75

Wegen der genauen Ursache muss sich einer der Admins drum kümmern, die kennen das System am besten.

Hattest du irgendwelche Fremdmodule installiert? Durch welche Datei meinst du denn das die reingekommen sind?
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

jubilee

Hallo !
Bitte eine Lise der verwendeten Module und Erweiterungen (die nicht zum mormalen Lieferumfang des Pragma gehören) sowie das Script (bitte gezippt)
und evt Server-Logfiles (falls vorhanden) aus dem entspr. Zeitraum
an mich (service@sys3.de) schicken

MfG

bigbaba

#3
Hallo

ich würde es euch ja gerne senden , nur die gezippte datei wird von allen Mail Prg. als backdoor.php.c99shell.c erkannt und es wird nicht gesendet.

Ausser Squery 4.51 hatte ich keine fremde Module auf meinem Server.

Ich frage mich nur, wie konnten Sie dieses PHP Programm auf meinem HP einspielen !! (.htaccess usw.)

Programname : s.php und ist Hidden-File

his message was created automatically by mail delivery software.

A message you sent was virus infected.
The message could not be cleaned.

Virus Scan Report:
------------------
    vniss.zip infected by: backdoor.php.c99shell.c -> REJECT

Delivery failed for the following recipient(s):
   service@sys3.de

Zitat von: jubilee am 08 Juni 2006, 22:48:15
Hallo !
Bitte eine Lise der verwendeten Module und Erweiterungen (die nicht zum mormalen Lieferumfang des Pragma gehören) sowie das Script (bitte gezippt)
und evt Server-Logfiles (falls vorhanden) aus dem entspr. Zeitraum
an mich (service@sys3.de) schicken

MfG
Stell dir vor, es ist Krieg und der Fernseher ist kaputt! Please visit http://www.game-news4you.com/

Andi

Moin :)

dann gib uns per PM mal Zugriff auf deinen Server (Jubilee und mir)
Liegt die Datei noch dort?

Ich kann aber erst Morgen früh guggen...

Was ist "Squery 4.51" ?
Läuft auf der Kiste auch irgendwo ein phpBB-Forum?
schön´s Grüssle, Andi

RiotheRat

http://www.game-news4you.com/modules.php?name=SQuery ... das scheint das Squery-Dingens zu sein.

//Edit
Bei den "Game-Stats" hupt auch was rum ... das Dingen gehört jedenfalls nicht zum Mx

RtR
Unaufgeforderte PNs & Emails werden ignoriert

Erst wenn die letzte Zeile Code verhunzt, der letzte Server gehackt und der letzte Script-Kidde befriedigt ist, erst dann, werdet Ihr feststellen, dass Nuke nicht sicher ist...

Andi

schön´s Grüssle, Andi

jubilee

Zitat
ZitatIch frage mich nur, wie konnten Sie dieses PHP Programm auf meinem HP einspielen !! (.htaccess usw.)

Aha
http://www.securiteam.com/exploits/5VP0J00IAS.html
Jop, dann ist das ja wohl geklärt, wie der Angreifer auf das System gekommen ist.

MfG

Andi

Moin :)

wobei er das Problem noch nicht beseitigt hat.

Habe mir das Modul gerade mal geholt.
Das Modul, im Modulordner, ist nicht das Problem, sondern der Ordner squery, der im root liegt. Da sind alle Dateien mit diesem Problem behaftet.

Da hilft nur löschen.
schön´s Grüssle, Andi

Andi

schön´s Grüssle, Andi

Andi

Schon lustig, wir machen uns hier irre, wegen dem Problem,
dann findet man die wahrscheinliche Ursache,
aber den Webmaster juckt es nicht und lässt den ungefixten Müll auf seiner Seite liegen....

Bis zum nächsten Hack  :mad: :mad:
schön´s Grüssle, Andi

anmShinichi

Sicher im Urlaub *g* oder Computer zerschossen... Auf jeden Fall bin ich froh, dass es wiedermal nicht an pragmamx selbst liegt. Und obwohl ich damals viele module unter nuke installiert hatte, bin ich im Moment mit dem was pmx zu bieten hat ausreichend zufrieden ^^

Hier wieder zu sehen, dass trotz Support-Einsparungen, Support geleistet wird, auch wenn sich am Ende herausstellt, dass es nichts mit pmx zu tun hat! pmx = tolle abkürzung für euer System *g*

Also, schönen Restsonntag noch,

Shin
MonsterWorks - www.monsterworks.de