server hack, kein zugriff auf admin bereich

Begonnen von Knut, 10 Oktober 2006, 17:21:44

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Knut

Hi Leute.

Mein Server ist wohl opfer eine Spam und Phishing Atacke geworden. (Das hat mir zumindest der technische Admin bestätigt.)

Die Seite scheint optisch unverändert, jedoch habe ich keinen Zugriff mehr auf den Adminbereich.
Wenn ich mich dort einlogge wird mir gerade mal das Logout Symbol angezeigt.

Wie kann ich meine Rechte wiedererlangen? Ich habe Zugriff auf die mysql Datenbanken.

Dort habe ich mir in der "mx_authors" zwar wieder alle Parameter auf 1 gesetzt, leider werden mir die einzelnen Menüpunkte immer noch nicht angezeigt.

Habt ihr eine Idee wo ich was ändern muss?

Vielen Dank.




munzur

Hi!

ZitatIch habe Zugriff auf die mysql Datenbanken.

Dort habe ich mir in der "mx_authors" zwar wieder alle Parameter auf 1 gesetzt, leider werden mir die einzelnen Menüpunkte immer noch nicht angezeigt.

Heisst das jetzt du hast admin Rechte aber im Adminmenü fehlen dir Menüpunkte?


L.g
"Debug-Mode" einschalten.
"SQL-Fehler anzeigen" einschalten
und evt. auftauchende Fehlermeldungen posten .

Knut

ja ich komme an alle system files ran, ich kann mich auch ins pragmamx als admin einloggen, aber anstelle mehrerer dutzend icons steht gerade mal das "logout" symbol da.

munzur

Hi,

Schau mal mit FTP auf: ...admin/links/ .......  und auf ...admin/modules/.....
ob da auch was drinnen ist.

L.g
"Debug-Mode" einschalten.
"SQL-Fehler anzeigen" einschalten
und evt. auftauchende Fehlermeldungen posten .

Darty

Sofort alle PWs zu Deinem Account ändern, FTP, MYSQL, Adminaccount von der Seite.
Log Dateien sichern oderr sichern lassen.
Zeitpunkt der Attacke eingrenzen, also Logs durchschauen und dem Team hier melden damit der Einstiegspunkt gefunden werden kann und die Lücke gefixt werden kann.

Backup der Dateien einspielen.

Mit Pech findest Du Deine DB in der Scene wieder!
Mit Glück biste nur einem Scriptkiddie unter die Finger gekommen.

Jedenfalls ist es wichtig über welche Lücke der Angriff stattgefunden hat.
Greetings from Darty

wave

und was is nun draus geworden?
mir isses genauso ergangen.. bin auch spam und phishing opfer!
würd gern mal wissen wo die lücke is.. hba keine lust das die meinen server abschalten oder ich haufen geld dafür zahlen muß!
DANKE

Andi

Was ist ein "spam und phishing opfer"?
Wie äussert sich denn das?

Nicht jeder kleine Fehler,der irgendwas mit defekten Systemdateien oder korrupten Datenbanktabellen zu tun hat, ist auch gleich ein Hackerangreif. oder eine "Lücke". Im Endeffekt ist es meist ein ganz banaler Serverabsturz....
schön´s Grüssle, Andi

wave

naja hab vorhin diese mail erhalten:

"Sehr geehrte Kundin,
sehr geehrter Kunde,

leider haben wir erfahren, dass Ihr Server für das Anbieten von sog.
Phishing-Seiten missbraucht wird. Mit solchen Seiten wird dem Besucher
vorgeblich der Auftritt eines anderen Unternehmens zur illegalen Ausspähung von
Zugangsdaten präsentiert (siehe auch http://de.wikipedia.org/wiki/Phishing).

In aller Regel werden bei solchen Vorfällen Schwachstellen des Systems,
entweder der Serverdienste (Webserver, FTP, ...) oder der Webanwendung (CMS,
Forum, ...), ausgenutzt. Möglicherweise konnte aber auch das gesamte System
kompromittiert worden sein, so dass der Angreifer root-Rechte erlangt hat.

Bitte prüfen Sie auf Ihrem Server, ob alle beteiligen Software-Komponenten auf
dem aktuellen, sicheren Stand sind und stellen Sie dann die Originalseiten aus
Ihrem Backup wieder her.


Falls Sie selbst nicht genau wissen, was nun zu tun ist, können Sie uns auch zu
einer groben Analyse beauftragen. Reichen Sie dazu bitte einen
(kostenpflichtigen) Auftrag ans Systems-Management über das KIS ein. Bitte
beachten Sie, dass wir nicht in der Lage sind, Ihre Skripte und Anwendungen für
Sie zu aktualisieren."

Andi

Nettes mail :)

Dann begieb dich mal auf die Suche, denke wir können da wenig helfen.
Im pragmaMx würde ich aber innerhalb der installierten Scripte als letztes suchen.

Beim ersten Klick auf deine verlinkte Seite offenbaren sich schon die ersten Sicherheitslücken:
http://www.wave-of-darkness.de/home.php
Zitatpowered by p-news V²


Warning: rename(./db/news-archiv.txt,./db/news-archiv.txt-1164820401.txt): Permission denied in /home/httpd/vhosts/wave-of-darkness.de/httpdocs/news2/lib/_mypdb.inc on line 478
Could not rename File "./db/news-archiv.txt"!
Warning: rename(./db/news-show.txt,./db/news-show.txt-1164820401.txt): Permission denied in /home/httpd/vhosts/wave-of-darkness.de/httpdocs/news2/lib/_mypdb.inc on line 478
Could not rename File "./db/news-show.txt"!
Warning: rename(./db/news-archiv.txt,./db/news-archiv.txt-1164820401.txt): Permission denied in /home/httpd/vhosts/wave-of-darkness.de/httpdocs/news2/lib/_mypdb.inc on line 478
Could not rename File "./db/news-archiv.txt"!
Warning: rename(./db/news-show.txt,./db/news-show.txt-1164820401.txt): Permission denied in /home/httpd/vhosts/wave-of-darkness.de/httpdocs/news2/lib/_mypdb.inc on line 478
Could not rename File "./db/news-show.txt"!
Warning: rename(./db/config.txt,./db/config.txt-1164820401.txt): Permission denied in /home/httpd/vhosts/wave-of-darkness.de/httpdocs/news2/lib/_mypdb.inc on line 478
Could not rename File "./db/config.txt"!

Zu dem Thema:
http://www.securityfocus.com/bid/20140
schön´s Grüssle, Andi

wave

der fehler is vorhin aufgetreten als ich was aus nem ordner gelöscht hab.. muß das erst mal reparieren und hat damit nix zu tun!

Andi

ok, du suchst sicherheitslücken auf deiner Seite, ich zeige dir eine und du sagst dass es damit nichts zu tun hat.

Suche mal im Internet nach "full path disclosure".

Dass diese Lücke gerade im Zusammenhang mit einem Script, welches in einer älteren Version, eine der schlimmsten Sicherheitslücken (Remote File Include Vulnerability) überhaupt hatte auftritt, mag ja Zufall sein. Aber weiss Gott was sich auf Deinem Server noch alles tummelt.

Ich mache es mir jetzt auch einfach: am pragmaMx liegt das nicht.
schön´s Grüssle, Andi

wave

ja mag sein das es nich daran liegt.. war halt meine erste vermutung..
ich weiß auch jetzt wo sich das ding eingenistet hatte.. ;-)
ein ganz anderer ordner.. wo ich es überhaupt nich vermutet hätte..
also sorry für die falsche vermutung.