Suche

[delabona]

Hallo zusammen!

Als ich heute Vormittag mal wieder alle meine Websites gecheckt habe, ist
mir aufgefallen *schock* dass meine auf PHP-Nuke basierte Homepage gehackt wurde... Seltsamerweise war nicht etwa ein Newsbeitrag gänzlich umgewandelt, sondern gleich die gesamte index.php war komplett ausgetauscht worden... Wie kann oder konnte denn sowas passieren?  :wall: Der einzige Eintrag, der noch vorhanden war (in der index.php) war "AFFIX BELONGS YOU" oder so ähnlich...

Schon ziemlich heavy...

Viele Grüße und Danke für jeden sachdienlichen Hinweis ;-)

Chris

[BowlingX]

Welche Nuke Version wurde denn gehackt?  

[delabona]

Nuke 5.6...

[jubilee]

Öhmmm ....
Schon mal irgendeinen der vielen, vielen Bugfixes und Patches, seit
der Veröffentlichung des phpNuke 5.6, eingespielt ?
Ansonsten kommen in Frage :
My_eGallery, Downloads, Links, einige cross-Site-scripting Bugs etc ....
Genaueres wirst Du nur aus den Logs lesen können.
Hast Du einen kompl. Server oder nur ein Hostingpaket ?
Im ersteren Fall würde ich mal mein System nach Backdoors
root -Accounts etc. pp. durchsuchen .
MfG
jubilee

[delabona]

Hallo erstmal und vielen Dank für Deine Antwort...
Ich habe leider bislang noch keinen eigenen Server!
Die Patches habe ich natürlich regelmäßig eingespielt :-)
Jedenfalls kann ich mir beim besten Willen nicht vorstellen,
wie jemand in der Lage sein kann, die komplette index.php
einfach abzuwandeln oder einfach zu Ersetzen... Als nicht PHP-Neuling
geht mir das dennoch überhaupt nicht ein... Habt ihr vielleicht
irgendwelche Tips, wie ich das in Zukunft komplett verhindern kann oder
meint ihr, dass sich sogar jemand mein FTP-Passwort erschlichen haben
könnte?

Viele Greeetz vom Chris

[jubilee]

Hallo !
Wie war die index.php von den Permissions her gesetzt ?
666 ? Ist gleich lesen/schreiben für ALLE !
Wenn der Hacker es jetzt noch schafft durch php auf die Shell zuzugreifen
(was über die Befehle exec, shell, passtru ..... bei entsprechender Konfiguration durchaus möglich ist) , dann hat er den weitesten Weg schon gegangen.
Und wie einfach das erlangen einer Shell sein kann, kannst Du ja bei dem letzten großen Bug in der My_eGallery sehen.
Um dein FTP-Passwort zu erschleichen, müsste das dann ja schon eine MIM
(men in the middle)-Attacke gewesen sein. Das ist relativ unwahrscheinlich.
Allerdings gibt es ja auch Alternativen, die den Stram verschlüsseln (SFTP = secure FTP, SCP secureCopy). Da musst du aber Deinen Provider Fragen, ob Du das nutzen kannst (SSH-Server muss laufen und muss Für deinen Account konfiguriert sein).  

MfG
jubilee


[Editiert am 2/4/2004 von jubilee]

[delabona]

Hi nochmal... Hmm, greife desöfteren per Telnet auf meinen
Account zu! SSH ist leider nicht am Laufen! Gut möglich, dass
sich hierbei jemand mein Passwort zueigen gemacht hat...
Die index.php ist und war übrigens auf 644

Besten Dank nochmal :-)

[jubilee]

Hallo !
Telnet- ganz schlecht, weil unverschlüsselt (und zwar auch bei der Passwortübermittlung) !!!
Unbedingt sehen, das Du ssh nutzen kannst !
Die meisten provider bieten ssh an, kann mir also nicht denken, warum
ein Anbieter nur telnet nutzt ...?!?!
MfG
jubilee