MacTV 0 Report post Posted February 1, 2006 (edited) Tag... so heute hatte es unser Forum 1.3.1 erwischt. Wir wurden gehackt. Ich war zum Glück gerade im Forum und konnte Schlimmeres abweisen. Also ich dachte zuerst das Forum wurde gehackt weil der letzte Patch noch nicht aufgespielt wurde. OK bei mir fehlte ein Sicherheitseintrag im der TOPIC.php Anscheind kennt jemand eine Sicherheitslücke und konnte dadurch bei mir die index.php admin.php und was noch viel schlimmer ist die config.php ändern. Ich habe meine alten Sicherung vom (15.01.2006) kontrolliert und wieder hochgeladen. Alle Dateien auf 755 gesetzt und das SQL Passwort geändert. Bei meiner Durchsicht bei den Server Logdateien kam der Hacker über diese Google Abfrage: http://www.google.it/search?q=%22Portal+1....irefox-a&rls=or g.mozilla:en-US:official&start=90&sa=N http://www.google.de/search?q=Portal+1.3+b...irefox-a&rls=or g.mozilla:de:official&start=20&sa=N http://www.google.com.sa/search?q=Portal+1...e&start=60&sa=N http://www.google.fr/search?hl=fr&q=%22Por...+business&meta= http://www.google.com/search?q=%22Portal+1...=&start=90&sa=N Also wird über das Dragoran Portal eingestiegen ! Meine Version ist die 1.2 (oh Gott) Es gibt aber anscheind schon eine Portal 1.3-2 by Dragoran > http://www.lkw-allrad.de/forum/ Selbst jetzt habe ich immer noch google Referer mit der Dragoran Portal Abfrage. Ich habe wie gesagt alle Dateien erstmal auf 755 gesetzt und das Portal ausgeklammert. Weiss jemand von dem Problem ? Kann man die Dateien nicht einfach auf 644 setzten ? PS: Das Board hat er auch gehackt > http://www.minolta-forum.de/ PS2: Das gleiche Thema habe ich auch auf > http://www.ibforen.de/forum/index.php?showtopic=11167&hl= UPDATE: Dort ist auch ein FIX Ich weiss, das es zwischen den zwei Supports knistert. Aber bei dem Problem, was bestimmt in den nächsten Tagen viele haben werden, sollte man etwas zusammen dagegen unternehmen. Edited February 1, 2006 by MacTV Share this post Link to post
MacTV 0 Report post Posted February 1, 2006 Da stehts was soben Dragoran Portal Module for IPB "site" Variable SQL Injection Vulnerability http://www.frsirt.com/english/advisories/2006/0396 und hier http://forums.invisionize.com/index.php?s=...dpost&p=1635795 Share this post Link to post
Modula 0 Report post Posted February 1, 2006 (edited) EDIT Damit müssts dann ganz dicht sein. http://www.ibforen.de/forum/index.php?show...=15entry81468 Edited February 1, 2006 by Modula Share this post Link to post
fenek 1 Report post Posted February 1, 2006 Ja ich bedanke mich auch sehr... © Portal 1.3-2 by Dragoran Was hat das bitte schön auf sich ?? Share this post Link to post
Modula 0 Report post Posted February 1, 2006 Dragoran hat mehrere "Unterversionen" seines Portals veröffentlicht. Wo sich diese Unterscheiden und woran man das zuverlässig erkennen kann kann ich leider nicht sagen, da der Kontakt zu ihm auch irgendwie abgebrochen zu sein scheint :/ Share this post Link to post
fenek 1 Report post Posted February 1, 2006 Modular ich danke Dir vielmals für Deine Arbeit.. Hatte ich gestern ja noch Backups gefahren, und bin auch erst seit ein paar Tagen wieder aus Afrika zurück.. Danke schön !! Share this post Link to post
TomCrow 0 Report post Posted February 2, 2006 (edited) Tja, uns hat's auch erwischt.. Zum Glück hatte der Hacker gestern wenig Zeit und/oder Lust und hat eigentlich "nur" gebannte Mitglieder gelöscht.. Heute war ich grad zufällig im ACP als er nochmal kam, daher konnte ich sofort Schlimmeres verhindern.. Hat sich bei mir auch als "DR.DERMANN" registriert und scheint aus dem Umfeld von karimooc-winrar.jeun.fr zu kommen, da er gestern den Adminaccount in "greensouf" umbenannt hat.. Hab jetzt Peters Fix ins Portal eingebaut und hoff' nun is' wieder Ruh'.. mfg, Tom [edit] hab' mich jetzt nochmal durch's ACP gewühlt; da hat der Angreifer einige u. U. sicherheitsrelevante Einstellungen abgeändert - so z.B. HTML in Signaturen erlaubt, die Dateiendung .php bei Bildern, Avatars, usw. Ev. um sich ein "Hintertürchen" offen zu halten oder das Forum generell leichter angreifbar zu machen.. Edited February 3, 2006 by TomCrow Share this post Link to post
derDenty 0 Report post Posted February 3, 2006 Ich hab das Portal 1.3...ist das sicherer als das 1.2? Ausserdem können sich bei mir nur noch User reggen über den Admin,aber ob das die beste Lösung ist,weiß ich net. Dann wird bei uns eine tägliche Datenbank Sicherung vorgenommen für den Ernstfall. Share this post Link to post
TomCrow 0 Report post Posted February 3, 2006 .. Affected Products Dragoran Portal (module for IPB) version 1.3 and prior .. Den fix solltest Du also auf jeden Fall einbauen (falls Du das nicht eh längst getan hast..) mfg, Tom Share this post Link to post
Modula 0 Report post Posted February 4, 2006 Das neuregistrierte User erst eine Adminerlaubnis brauchen sollte den Hacker nicht stören, da er über das Sicherheitsloch eben jeden beliebigen schon vorhandenen Adminaccount benutzen kann ohne sein Passwort zu kennen. Share this post Link to post
derKosta 0 Report post Posted February 4, 2006 Ich habe in den letzten Tagen auch viele Referer von Google mit dem Suchstringt Dragoran Portal gehabt. Hoffentlich nützt der Patch von Peter was. Share this post Link to post
TomCrow 0 Report post Posted February 4, 2006 Also bei mir ist im Moment Ruh' - hoffentlich nicht die "Ruhe vor dem Sturm"..? Wie in dem Dragoranthema schon steht, ist - leider - wohl mit neuen Angriffen zu rechnen.. mfg, Tom Share this post Link to post
MacTV 0 Report post Posted February 5, 2006 (edited) Also, wenn ich mir die Web-Space-Log-Dateien der letzten 5 Tage ansehe dann hab ich pro Tag etwa 34 Hackangriffe auf unser Board. Zu einem wird versucht via Dragron Board Hack ins Board einzudringen, der Rest sind irgendwelche anderen Abfrage. (Da schätze ich auf die fehlenden Security-Hacks). Fast 80 % der IP´s stammen aus Russland... Ei ei ei .... Edited February 5, 2006 by MacTV Share this post Link to post
derKosta 0 Report post Posted February 5, 2006 (edited) Und ich hab mir beim Log anschauen vorgestern nur gedacht, da sucht jemand nur Beispielseiten welche das Portal eingebaut haben... Naja so kann man sich täuschen. Mein Hacker kam aus Belgien. IP: 80.201.201.172 Country: Belgium City: Antwerp, Antwerpen Edited February 5, 2006 by derKosta Share this post Link to post