www.filmforen.de 0 Report post Posted June 7, 2004 Moin, heute morgen bekomme ich beim Aufruf von http://www.filmforen.de/ folgende Fehlermeldung: Warning: mysql_connect(): User 'fizzy2' has exceeded the 'max_connections' resource (current value: 200) in /is/htdocs/50786/www.dissimulation.de/INVISION/sources/Drivers/mySQL.php on line 64 Warning: mysql_select_db(): supplied argument is not a valid MySQL-Link resource in /is/htdocs/50786/www.dissimulation.de/INVISION/sources/Drivers/mySQL.php on line 67 ERROR: Cannot find database fizzy Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /is/htdocs/50786/www.dissimulation.de/INVISION/sources/Drivers/mySQL.php on line 100 sowie: mySQL query error: SELECT mod.mid as is_mod, m.id, m.name, m.mgroup, m.password, m.email, m.allow_post, m.view_sigs, m.view_avs, m.view_pop, m.view_img, m.auto_track, m.mod_posts, m.language, m.skin, m.new_msg, m.show_popup, m.msg_total, m.time_offset, m.posts, m.joined, m.last_post, m.last_visit, m.last_activity, m.dst_in_use, m.view_prefs, g.* FROM ibf_members m LEFT JOIN ibf_groups g ON (g.g_id=m.mgroup) LEFT JOIN ibf_moderators mod ON (mod.member_id=m.id OR mod.group_id=m.mgroup ) WHERE m.id='1' mySQL error: User 'fizzy2' has exceeded the 'max_connections' resource (current value: 200) mySQL error code: 1226 Date: Monday 07th of June 2004 06:40:21 AM Was hat das zu bedeuten? Stefan Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 "Interessant" ist auch der Link zum "Board Administrator" auf der Fehlerseite: slut@aol.com ... das ist nicht meine (ich bin der Admin) Mail-Adresse. Stefan Share this post Link to post
Christian 0 Report post Posted June 7, 2004 Ist denn das limit erreicht worden? wenn ja, dann setze es doch einfach höher: link Die Admin Email steht afaik in der Apache Config Datei, musst mal schauen, was da drinne steht Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 Ich habe gerade rausgefunden, dass jemand die conf_globa.php geändert hat und dort völlig flasche daten eingetragen hat. jetzt habe ich leichte probleme beim rückübertragen der alten daten in die datei. Ich kriegen jetzt nen anderen Fehler auf www.filmforen.de Was hat der zu bedeuten? Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 (edited) So, die cof_global.php läuft jetzt wieder und der Zugang zum Board geht wieder. Meine Fragen: Was muss ich ändern, damit sowas nicht mehr passiert (immerhin hatte der Hacker ja wohl Einblick in die Datei, in der auch Passwörter für MySQL stehen)? Vor allem: Welche Zugriffsrechte muss/darf die Datei haben? Die stand auf 777 ???!!! Stefan Edited June 7, 2004 by www.filmforen.de Share this post Link to post
Stefan 0 Report post Posted June 7, 2004 Lege eine .htaccess in dein Boardverzeichnis, die die Datei conf_global.php und conf_global-bak.php schützt, dann solltest du auf der sicheren Seite sein. Das hab ich gestern hier fürs Forum auch gemacht. Ich würde sagen, dein PHP-Interpretor hat gestern etwas gestreikt und somit waren die Dateien im Klartext zu lesen. Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 (edited) Das kann ich machen (wenn du mir kurz verrätst wie ), aber im Moment bin ich noch ganz unsicher, was der Angreifer alles geändert hat. Der könnte ja irgendwohin php-Dateien hochgeladen haben, durch die er Zugriffe und Rechte bekommt. Leider weiß ich nicht genau, welche Dateien "Original" sind. Ich habe den Verdacht eines gezielten Angriffs - zumal ich am Freitag ein "virtuelles Hausverbot" im Forum ziemlich "energisch" durchsetzen musste. Stefan Edited June 7, 2004 by www.filmforen.de Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 Wozu ist die Datei /sm_install.php? Brauche ich die noch, wenn das Board schon fertig installierg ist? Share this post Link to post
Anderl72 0 Report post Posted June 7, 2004 nein, das ist der installer... den kannst du getrost löschen Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 (edited) nein, das ist der installer... den kannst du getrost löschen Gut. Der war nicht gelöscht und wurde gestern Abend um 21:09 Uhr aufgerufen und hat einen Schreibzugriff auf die global_conf.php durchgeführt. Da liegt wohl auch der Angriff. Interpretiere ich die Logdatei dahingehend richtig? IP - - [06/Jun/2004:21:09:15 +0200] "GET /admin.php HTTP/1.0" 200 959 "-" "-" "www.filmforen.de" IP - - [06/Jun/2004:21:09:31 +0200] "GET /index.php?http://www.filmforen.de/sm_install.php?a=3 HTTP/1.0" 200 1032 "-" "-" "www.filmforen.de" IP - - [06/Jun/2004:21:09:39 +0200] "GET /index.php?act=Login&CODE=00 HTTP/1.0" 200 1032 "-" "-" "www.filmforen.de" IP - - [06/Jun/2004:21:09:40 +0200] "GET /sm_install.php?a=3 HTTP/1.0" 200 3778 "-" "-" "www.filmforen.de" IP - - [06/Jun/2004:21:09:41 +0200] "GET /sm_install.php?a=templates HTTP/1.0" 200 3627 "-" "-" "www.filmforen.de" IP - - [06/Jun/2004:21:09:42 +0200] "GET /html/sys-img/title.gif HTTP/1.0" 304 - "-" "-" "www.filmforen.de" IP - - [06/Jun/2004:21:09:42 +0200] "GET /sm_install.php?a=1 HTTP/1.0" 200 7974 "-" "-" "www.filmforen.de" IP - - [06/Jun/2004:21:09:43 +0200] "GET /sm_install.php HTTP/1.0" 200 4353 "-" "-" "www.filmforen.de" Ich habe den Installer jetzt gelöscht. Stefan Edited June 7, 2004 by www.filmforen.de Share this post Link to post
Stefan 0 Report post Posted June 7, 2004 Ja, genau da lag das Problem. Wenn sich die sm_install.php ohne die Datei install.lock (oder ähnlich) auf dem Webspace befindet, kann man die Installation quasi nochmal durchführen. Da wird bei dir wieder eines der Kinder dran gewesen sein, was sich gelangweilt und nichts besseres zu tun´hat, als zu prüfen, ob noch irgendwo eine offene sm_install.php herumgeistert. Diese Möchtegernhacker sind wirklich das letzte. Wenn du die IP hast, prüf nach, ob derjenige einen Proxy genommen hat, ansonsten würde ich mich umgehend mit dem Provider auseinandersetzen. Aber nochmal für alle Personen, die Datei sm_install.php sofort nach der Installation löschen!!! Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 Wir haben ihn. Er war nicht nur dumm, sondern sogar so dumm, dass er in die neue cofig.php die Daten seines eigenen MySQl-Servers (inkl. Passwort und Mailadresse) eingetragen hat. Da war er leicht zu finden. Ich habe mal alle Passwörter im Board geändert. Leider gibt es nach der Attacke 2 seltsame Fehler, die vorher nicht da waren und wohl aufgetaucht sind, weil ich nicht mehr sämtliche Daten im global_cof.php rekonstruieren konnte: 1. Man bekommt jede geschickte PM jetzt 3 Mal 2. Wenn ich im User-Profil auf "Avatareinstellungen" gehe, bekomme ich folgenden Fehler oben auf der Seite angezeigt: Warning: opendir(www.dissimulation.de/INVISION/html/avatars): failed to open dir: No such file or directory in /is/htdocs/50786/www.dissimulation.de/INVISION/sources/Usercp.php on line 1134 Warning: readdir(): supplied argument is not a valid Directory resource in /is/htdocs/50786/www.dissimulation.de/INVISION/sources/Usercp.php on line 1135 Warning: closedir(): supplied argument is not a valid Directory resource in /is/htdocs/50786/www.dissimulation.de/INVISION/sources/Usercp.php on line 1142 Was tun? Share this post Link to post
Stefan 0 Report post Posted June 7, 2004 Gegenfrage, ist das deine Pfadangabe? www.dissimulation.de/INVISION/html/avatars Ansonsten muß du in der conf_global.php mal diesen Pfad entfernen und deinen eintragen. Zu der anderen Sache spare ich mir jetzt mal einen sarkastischen Kommentar, aber Leute gibt es. :lol: Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 (edited) In der conf_global.php steht: $INFO['html_dir'] = 'www.dissimulation.de/INVISION/html/'; $INFO['base_dir'] = '/home/www.dissimulation.de/INVISION/'; $INFO['html_url'] = 'http://www.filmforen.de'; $INFO['upload_dir'] = 'www.dissimulation.de/INVISION/uploads/'; $INFO['upload_url'] = 'http://www.filmforen.de/uploads/'; Da ist noch ein "home/" zuviel. Das schmeiße ich mal raus. Edited June 7, 2004 by www.filmforen.de Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 daran lag es nicht. Hmm... der Pfad müsste aber stimmen. Vielleicht irgendwelche Schreibrechten? Share this post Link to post
Stefan 0 Report post Posted June 7, 2004 Dann solltest du die richtige Pfade eintragen. ACP => System Settings => Server Environment Dann ziemnlich weit runter scrollen und folgenden Eintrag suchen: SCRIPT_FILENAME Da steht dann sowas wie /homepages/9/xxxx/htdocs/www.filmforen.de/board/admin.php Somit wäre $INFO['html_dir'] = '/homepages/9/xxxx/htdocs/www.filmforen.de/board/html/'; $INFO['base_dir'] = '/homepages/9/xxxx/htdocs/www.filmforen.de/board/'; $INFO['upload_dir'] = '/homepages/9/xxxx/htdocs/www.filmforen.de/board/uploads/'; Hoffe das hilft. :) Share this post Link to post
www.filmforen.de 0 Report post Posted June 7, 2004 Gracie ... das war es! Stefan Share this post Link to post
Stefan 0 Report post Posted June 7, 2004 Gracie ... das war es! Das hab ich mir schon gedacht. Mußt mir halt mal vertrauen. Nebenbei kannst du auch ruhig mal die PM lesen, die ich dir geschickt habe. :P Share this post Link to post