Suche

[breakdancer]

Hallo,

gerade erreicht mich die e-Mail einer jungen Dame, die mich darauf aufmerksam gemacht hat, dass mein SMF gehackt worden sei.

Und tatsächlich: http://www.kirmes-und-volksfest.de/forum.html

Frage: Wie jetzt am besten vorgehen ? Ich möchte ja gerne wissen, auf welche Art und Weise es diesen Helden gelungen ist, in das Forum einzudringen ?

Ist die DB betroffen oder wurden nur Files ausgetauscht ?

Macht es Sinn, jetzt den Provider zu verständigen und nach den Logfiles zu fragen ?

Wer kann helfen, bitte ?

Grüße

Markus

[Sitki]

Hi
da muss noch detailliert Ursachenforschung betrieben werden. Aber ausgehend von dieser Meldung 'Kann das 'main_above' Template nicht laden' könntest du auf die schnelle prüfen, ob deine Pfade überhaupt noch korrekt sind. Du kannst die Pfade mit der repair_settings.php prüfen und korrigieren, sollte einer oder mehrere falsch sein.

Und versuche herauszufinden, welche SMF Dateien aktuell event. verändert wurden und ob sich Fremddaten in deinem SMF Ordner befinden. Schaue dir insbesondere die index.php (vom Forum) auf etwaige Veränderungen durch.

Danach muss man weiter sehen ...

[breakdancer]

Puh,

einmal tief durchatmen... 

Danke für den schnellen Rat, Sitki.

Das Ausführen der repair_settings.php hat zwar nichts gebracht, aber der Hinweis mit dem Template hat mich auf die richtige Spur geführt.

Die Kerls haben einfach zwei Dateien meines aktuellen Themes "Dilbermc" gehackt bzw. ausgetauscht. Die index.php und die index.template.php - beide hatten Berechtigung 666 und waren komplett verändert.

Ich habe die Zugriffsrechte jetzt auf 644 gesetzt und hoffe, dass die Sache damit aus der Welt ist. Oder ist das zu naiv gedacht ?

LG

Markus

[Andi]

Moin

und waren komplett verändert.

Und was stand drin?

Hast du die Dateien noch?

[breakdancer]

Hi Andi, 

klar habe ich mir die gesichert. Ich hängs mal hinten an, allerdings nur die index.php, da sie der veränderten  index.template.php 1:1 entspricht. Das heisst: Was anderes stand in der anderen Datei auch net drin.

Blöd isses halt besonders deswegen, weil es einer Userin aufgefallen ist, die über das PragmaMX Referenzmodul auf unsere Seite gekommen ist und die sich jetzt ausdrücklich Sorgen um die Sicherheit macht.

Aber ich denke, da können wir sie beruhigen. Schätze, was da passiert ist, darf ich mir selber zuschustern.

Liebe Grüße

Markus

edit by Andi: Dateianhang entfernt

[Andi]

Hi

kannst du den genauen Zeitraum bestimmen wann das passiert ist?
Evtl. das Dateidatum der geänderten Dateien?

Dann schau mal in den Errorlog des SMF, ob da was auffälliges ist.

Wenn die Jungs bei dir Dateien ändern konnten, dann haben die mit Sicherhaeit auch irgendwelchen Schadcode hinterlassen, der weiter sein Unwesen treibt. Den muss man finden...

Dazu braucht man unbedingt die Logfiles des betreffenden Zeitraums.

Hast du irgendwelche Dateien installiert, mit denen man was hochladen kann?
An SMF oder pragmaMx liegt das zu 99% nicht, es muss auch nicht unbedingt bei dir das Problem sein...
Und setze dich auf jeden Fall mit Abundus in Verbindung.

[Sitki]

Hi

ergänzend noch einige Hinweise.

Das Setzen der erforderlichen Dateiberechtigungen ist sehr wichtig!

Eventuell wurde auch deine Settings.php ausgelesen. Daher solltest du umgehend deine sämtlichen Zugangsdaten ändern.

Als Faustregel sollten die Ordner chmod 755 und die einzelnen Dateien chmod 644 haben. Gehe jedoch auch in den Paket-Manager unter Optionen, setze dort für die Sicherheit erforderlichen Dateiberechtigungen und überprüfe ob diese soweit korrekt gesetzt wurden.

Der Vorgang kann auch direkt bei SMF gemeldet werden:
-> Report a security issue with Simple Machines software

[breakdancer]

Hi zusammen,

was den Zeitpunkt des Hacks angeht, kann ich das sogar ganz genau sagen. Die erste Fehlermeldung ´kann das main_above Template nicht laden" stammt laut SMF-Fehler-Log vom 27. Januar 2008 um 14:11 Uhr. Das muss auch der entsprechende Zeitpunkt gewesen sein, da minütlich bei mir Fehlermeldungen vom Arcade Mod auftreten, die kommen, sobald ein User das Forum betritt. Ich kann also sagen,  dass dies ziemlich genau der Zeitpunkt sein muss.

Da sich zusätzlich zum genannten Termin die Fehlermeldungen vom Arcade häuften (auf einmal konnten Sprachdateien nicht mehr geladen werden usw...) besteht die Möglichkeit, dass hier etwas geschehen ist. Genaueres aber dann, sobald ich die Daten geprüft und die Logfiles erhalten habe. 

Ob ich was installiert habe, mit dem man was hochladen kann... Na ja, als PMX Modul den Bilduploader ja, der ist zumindestens als Modul derzeit nicht aktiv, aber das sagt ja wahrscheinlich nichts aus.

Die Zugangsdaten werde ich mit Abundus zusammen ändern und werde mich gleich morgen früh mit Frank und seinem Team dazu kurzschliessen.

Die Überprüfung der Dateiberechtigungen erledige ich ebenfalls gleich heute früh händisch. Wo ich die Funktion im SMF finde, hab ich jetzt beim groben Drüberschauen nicht rausgefunden.

Danke schonmal euch zweien. Ich werd gern, soweit das in Bezug auf Sicherheitsaspekte geht, hier nochmal kurz Bericht erstatten und bin natürlich auch offen für eure Anregungen.

Liebe Grüße

Markus

[m-t]

gibts da eigentlich was neues ? was war das problem ??

[breakdancer]

Yep, gibt was Neues, aber gib mir bitte noch nen Tag Zeit.

Ich krieg hier momentan aus privaten Gründen die Kurve net...