Seite wurde gehackt

bigbaba · 08 Juni 2006, 22:38:25

Hallo

leider wurde die seite http://www.game-news4you.com seit gestern mehrmals gehackt.
Den ersten hack versuch konnte ich noch abwähren aber sie haben es sogar geschaft meine DB zu löschen.

Ich habe die PHP Datei die das ganze verursacht hat weg kopiert , wen es gewünscht wird kann ich diesen an euren Security Admin zukommen lassen damit Ihr gegen masnahmen treffen könnt.

Gruss

Musicman75 · 08 Juni 2006, 22:46:45

Wegen der genauen Ursache muss sich einer der Admins drum kümmern, die kennen das System am besten.

Hattest du irgendwelche Fremdmodule installiert? Durch welche Datei meinst du denn das die reingekommen sind?

jubilee · 08 Juni 2006, 22:48:15

Hallo !
Bitte eine Lise der verwendeten Module und Erweiterungen (die nicht zum mormalen Lieferumfang des Pragma gehören) sowie das Script (bitte gezippt)
und evt Server-Logfiles (falls vorhanden) aus dem entspr. Zeitraum
an mich (service@sys3.de) schicken

MfG

bigbaba · 08 Juni 2006, 23:31:52

Hallo

ich würde es euch ja gerne senden , nur die gezippte datei wird von allen Mail Prg. als backdoor.php.c99shell.c erkannt und es wird nicht gesendet.

Ausser Squery 4.51 hatte ich keine fremde Module auf meinem Server.

Ich frage mich nur, wie konnten Sie dieses PHP Programm auf meinem HP einspielen !! (.htaccess usw.)

Programname : s.php und ist Hidden-File

his message was created automatically by mail delivery software.

A message you sent was virus infected.
The message could not be cleaned.

Virus Scan Report:
------------------
vniss.zip infected by: backdoor.php.c99shell.c -> REJECT

Delivery failed for the following recipient(s):
service@sys3.de

Zitat von: jubilee am 08 Juni 2006, 22:48:15
Hallo !
Bitte eine Lise der verwendeten Module und Erweiterungen (die nicht zum mormalen Lieferumfang des Pragma gehören) sowie das Script (bitte gezippt)
und evt Server-Logfiles (falls vorhanden) aus dem entspr. Zeitraum
an mich (service@sys3.de) schicken

MfG

Andi · 08 Juni 2006, 23:50:08

Moin

dann gib uns per PM mal Zugriff auf deinen Server (Jubilee und mir)
Liegt die Datei noch dort?

Ich kann aber erst Morgen früh guggen...

Was ist "Squery 4.51" ?
Läuft auf der Kiste auch irgendwo ein phpBB-Forum?

RiotheRat · 08 Juni 2006, 23:54:50

http://www.game-news4you.com/modules.php?name=SQuery ... das scheint das Squery-Dingens zu sein.

//Edit
Bei den "Game-Stats" hupt auch was rum ... das Dingen gehört jedenfalls nicht zum Mx

RtR

Andi · 09 Juni 2006, 00:05:55

Aha

http://www.securiteam.com/exploits/5VP0J00IAS.html

jubilee · 09 Juni 2006, 09:05:09

Zitat
ZitatIch frage mich nur, wie konnten Sie dieses PHP Programm auf meinem HP einspielen !! (.htaccess usw.)

Aha
http://www.securiteam.com/exploits/5VP0J00IAS.html

Jop, dann ist das ja wohl geklärt, wie der Angreifer auf das System gekommen ist.

MfG

Andi · 09 Juni 2006, 16:48:22

Moin

wobei er das Problem noch nicht beseitigt hat.

Habe mir das Modul gerade mal geholt.
Das Modul, im Modulordner, ist nicht das Problem, sondern der Ordner squery, der im root liegt. Da sind alle Dateien mit diesem Problem behaftet.

Da hilft nur löschen.

Andi · 09 Juni 2006, 19:02:14

zur Info:

http://www.pragmamx.org/forum-topic-17025.0.html

Andi · 11 Juni 2006, 17:41:21

Schon lustig, wir machen uns hier irre, wegen dem Problem,
dann findet man die wahrscheinliche Ursache,
aber den Webmaster juckt es nicht und lässt den ungefixten Müll auf seiner Seite liegen....

Bis zum nächsten Hack

anmShinichi · 11 Juni 2006, 22:34:56

Sicher im Urlaub *g* oder Computer zerschossen... Auf jeden Fall bin ich froh, dass es wiedermal nicht an pragmamx selbst liegt. Und obwohl ich damals viele module unter nuke installiert hatte, bin ich im Moment mit dem was pmx zu bieten hat ausreichend zufrieden ^^

Hier wieder zu sehen, dass trotz Support-Einsparungen, Support geleistet wird, auch wenn sich am Ende herausstellt, dass es nichts mit pmx zu tun hat! pmx = tolle abkürzung für euer System *g*

Also, schönen Restsonntag noch,

Shin