[Erledigt] Seite gehacked

Baldyman · 20 September 2008, 12:01:38

Moin zusammen,

als ich gerade auf meine Seite wollte, hat mich fast der Schlag getroffen.
Man wird sofort weitergeleitet.

Wie kann das jemand schaffen

Und was kann ich machen ?

Andi · 20 September 2008, 12:13:58

Moin

also die Umleitung versteckt sich im Gästebuchlink innerhalb des mxMenüs (screenshot).

Frage ist, wie ist der dort hingekommen...
Hast du in den letzten Tagen selbst etwas am Menü geändertt?
Kannst du genau sagen, seit wann das Problem ist und hast du die Serverlogs aus dem Zeitraum?

Baldyman · 20 September 2008, 12:20:15

Servus Andi,

das ist echt komisch. An der Seite selber, hab ich schon sehr lange nix mehr geändert.
Also ich meine weder an irgendwelchen Dateien,
noch am Menü oder so

Gestern ging noch die Seite. Muß also die letzten 16 - 20 Stunden passiert sein.
Serverlogs zieh ich mal schnell runter.
Muß ich da auf was bestimmtes achten

//EDIT

So, hab jetzt mal die zwei Zeilen im Menümanager geändert.
Geht glaub jetzt wieder.

Frage ist nur, wie kommen die Zeilen da rein ?

Andi · 20 September 2008, 12:54:59

Hoi

da ist die Uhrzeit zu sehen:
h**p://old.zone-h.org/en/defacements/view/id=7952286/

Also aus der zeit und min 5 Stunden davor, bräuchten wir mal die Logfiles (access u. error)

Schick sie mir zu, dann schau ich nach Feierabend rein.

Baldyman · 20 September 2008, 13:04:13

Sie haben Post

Danke Dir, dass Du mal einen Blick drauf wirfst.
Vielleicht findest Du ja was.
So wie es aussieht geht´s, aber es bremst glaube ich immer noch was.
Seite läd ... und läd ... und läd ....
naja, mal schauen ob Du was findest.

DANKE erstmal Andi !

lausbub · 21 September 2008, 18:55:44

hallo,

wollt mal fragen ob da schon was raus gekommen ist?

gruß

thorsten

Andi · 21 September 2008, 19:33:11

Hoi

noch nichts.

Wenn wir näheres in Erfahrung bringen können, werden wir hier auch was dazu schreiben.

Andi · 23 September 2008, 17:45:53

Sodale...

Also, es war kein geziehlter Angriff auf die Seite von Baldyman, sondern der ganze Server war betroffen und der Hacker ist auch nicht über die Seite von Baldyman eingedrungen. So war das den Aussagen des Providers zu entnehmen.
Auf welchem Weg, der Hacker den Datenbankeintrag änderte, konnten wir nicht in Erfahrung bringen. Ist in dem Fall auch irelevant.

http://old.zone-h.org/en/defacements/filter/filter_ip=91.198.32.6/

Wenn man dann guggt, was alles auf dem Server ist:
http://search.live.com/results.aspx?q=ip%3A91.198.32.6&go=&form=QBLH

Oki > erledigt

Baldyman · 23 September 2008, 19:51:46

Danke Dir Andi für´s nachforschen

Ich bekomm es zwar immer noch nicht in den Kopf, wie jemand ohne Benutzername und Passwort
so eine Änderung vornehmen kann, aber ich muß ja nicht alles wissen

Oder würde des so funktionieren ....
Der Typ kommt in die Datenbanken auf dem Server vom Provider (wie auch immer)
und ändert die Einträge direkt in der DB ?
Das stell ich mir aber echt hart vor ... woher wissen, wo der betreffende Eintrag ist

Naja, wie gesagt, muß nicht alles wissen

Danke nochmal !