Forum wurde gehackt!

[SkynetworX 0]

Hy,

also folgendes Problem:

Vor ungefähr einer Stunde hat es jemand geschafft ins ACP zu kommen. Dort hat er den Titel des Forums und die URL geändert.

Anstatt

www.MeineSeite.de/Forum/index.php

leitet das Forum nun zu

www.MeineSeite.de/Forum/www/index.php

um.

Ich habe das Forum erstmal verschoben um den Hacker erstmal im dunkeln tappen zu lassen. Wo ändere ich die URL damit ich wieder ins ACP komme? In der Datenbank oder in einer PHP Datei?

Und ON stellen kann ich es ja auch nicht, da er die Lücke gleich wieder nutzen wird.

[Stefan 0]

Öffne einfach die conf_global.php und ändere dort die entsprechende Pfadangabe.

Ansonsten kann ich jedem nur empfehlen, das ACP zusätzlich mit einer htaccess zu sichern.

Kleine Anleitung:

Erstellen einer .htaccess mit dem folgendem Inhalt.

<Files "admin.php">

AuthType Basic

AuthName "Passwortgeschützter Bereich"

AuthUserFile /Pfad-zur-htpasswd/.htpasswd

require valid-user

</Files>

Hier muss lediglich der absolute Pfad zur .htpasswd geändert werden. Die .htaccess muss anschließend ins Forumhauptverzeichnis hochgeladen werden. Die .htpasswd muss noch ein Benutzer mit Passwort enthalten. Um dies zu erstellen, kann man zum Beispiel folgenden Link verwenden. Die erzeugte Zeile wird anschließend in dieser Datei eingetragen. Nun wird diese Datei in das Verzeichnis hochgeladen, die in der .htaccess angegeben wurde. Zusätzlich kann man das direkte Aufrufen der conf_global.php bzw. deren Backupdatei verhindern. Es wird zwar beim Aufruf nur eine leere Seite angezeigt, aber sollte der Parser mal ausfallen, würde die vorhandenen Einstellungen als normale Textdatei präsentiert. Um dies zu verhindern, muss in der .htaccess noch folgendes eingetragen werden.

<Files "conf_global.php">

AuthType Basic

AuthName "Passwortgeschützter Bereich"

AuthUserFile /Pfad-zur-htpasswd/.htpasswd

require valid-user

</Files>


<Files "conf_global-bak.php">

AuthType Basic

AuthName "Passwortgeschützter Bereich"

AuthUserFile /Pfad-zur-htpasswd/.htpasswd

require valid-user

</Files>

So, hoffe das war verständlich. :)

[SkynetworX 0]

Danke! =) Mal sehen was noch so passiert!

//edit:

Alles klar! hat funktioniert!!

Edited February 25, 2006 by SkynetworX

[Christian 0]

© Portal 1.3 by Dragoran

Hast Du die fixe eingespielt?

[SkynetworX 0]

© Portal 1.3 by Dragoran

Hast Du die fixe eingespielt?

Bin dabei! Hatte keine Ahnung das es welche gibt.

[Modula 0]

Hast du auch alle anderen Dinge beachtet was man so nach nem Hackerangriff machen sollte?

(1. alle updates einspielen

2. alle passwörter ändern)

[SkynetworX 0]

Updates sind drinne und die PW wurden geändert. Wäre am besten wenn Ihr eine Rundmail an alle Forummitglieder schreibt wenn es mal wieder eine Lücke gibt.

[GreyCrow 0]

Ähem.. *räusper* ..auf die Gefahr hin mich zu wiederholen (sh. andere Threads über Dragoran Portal Lücken): Hier wurde immer über Lücken im IPB informiert, in eigener Sektion und als wichtig eingestuft und auch die Patches veröffentlicht. Danke an dieser Stelle nochmals Stefan, der damals, als ich den einen gemeldet habe, so schnell reagiert hat.

Aber: Das Problem lag nicht am IPB sondern am Dragoran Portal. Und das ist ein eigenständiges "Ding". Wenn die Admins hier über jeden Mod wachen sollen, der evtl. fehlerhaft ist und seine Bugs und Patches auflisten, kann man denke ich ein zweites Forum damit füllen. Dazu kommt, dass der Ersteller des Mods ohnehin besser über seine eigenen Patches bescheid weiß. Insofern liegt es eigentlich an euch als Admin, euch über eure Mods (vor allem solch große) auf dem Laufenden zu halten, hier schaut ihr ja auch nach

Grüße

Grey

[www.filmforen.de 0]

Ich hatte auch gerade nen Angriff (Version 2.0.0). Jemand hat über zwei Admin-Accounts (die mittlerweile deaktiviert sind) PMs mit Pornolinks an einige User verschickt und Threads zum selben Thema eröffnet.

Ich überlege nun, mir die Lizenz für die neueste Version der Forensoftware zuzulegen und wollte fragen, ob das alle neuen Sicherheitsupdates schon enthält oder ob ich manuell patchen muss.

[www.filmforen.de 0]

zudem meint mein Co-admin gerade, dass er beim Betreten eines Threads von seinem Scanner eine Warnung über folgenden Trojaner bekommen hat: "Download.Trojan"

[Stefan 0]

Ich überlege nun, mir die Lizenz für die neueste Version der Forensoftware zuzulegen und wollte fragen, ob das alle neuen Sicherheitsupdates schon enthält oder ob ich manuell patchen muss.

In der aktuellen Downloadversion sind immer alle bereits veröffentlichten Sicherheitsfixe enthalten.

[SkynetworX 0]

Du bist der zweite! Auch ein anderes Forum von einem Kollegen wurde am Samstag gehackt. Pornolinks wurden auch bei mir verbreitet!

[www.filmforen.de 0]

Der Trojaner wurde nicht durch schadhaften PHP-Code verursacht (zum Glück!), sondern durch ein Posting mit einem iframe, das mit den gehackten admin-logins gepostet wurde (die einzige usergruppe, die html posten durfte).

[Modula 0]

Mir stellt sich grade die Frage, welche IPB 2.x Version ihr benutzt wenn ihr "jetzt erst" überlegt eine Lizenz anzuschaffen.

Also mal allen ernstes:

Wenn ihr ein unlizensiertes IPB 2.x einsetzt und gehackt worden seit: Selbst schuld!

Es gibt Software, software die man ruhig cracken kann, und gute software.

Das IPB 2.x gehört - obwohl ich es selbst nicht besitze - zur letzteren Kategorie.

Und HTML zu posten - das erlaube ich in meinem Forum nichtmal mir selbst - wozu auch? Es würde nur Sicherheitslücken öffnen....

[www.filmforen.de 0]

Was für ein "konstruktiver" Beitrag zum Thema. Hättest du den nicht - sagen wir mal - letztes Jahr posten können? Dann wäre er sogar auch noch instruktiv gewesen. Ich hätte wahrscheinlich trotzdem nicht drauf reagiert, denn ich hatte schon immer was gegen so oberlehrerhaftes Hinterhertreten. ;)

[Modula 0]

Wie auch immer: Bei einer Lizensierten Version findet man im Downloadbereich von IPS alle Sicherheitsfixe - diese braucht man nur einzuspielen und ist dann zumindest auf dem neustem Stand.

[SkynetworX 0]

Ich benutzte das IPB 1.3! :P

[www.filmforen.de 0]

Wie auch immer: Bei einer Lizensierten Version findet man im Downloadbereich von IPS alle Sicherheitsfixe - diese braucht man nur einzuspielen und ist dann zumindest auf dem neustem Stand.

Leider bin ich trotz der aktuellsten Version (2.1.5) offenbar immer noch das Ziel von Angriffen.

Ständig fällt das Forum mit dem Fehlervermerk "503" aus und zeigt folgenden Text an:

SQL error: User ... has already more than 'max_user_connections' active connections

SQL error code:

Date: Monday 06th of March 2006 04:18:52 PM

Nun habe ich in den Serverstatistiken entdeckt, dass auf eine Datei namens "iframe.html", die sich in "style_images/1/" befindet, sehr oft zugegriffen wird. In dieser Datei steht allerdings nur folgender Code:

<html>

<head><title></title></head>

<body>

</body>

</html>

Gehört diese Datein in den Ordner? Ich habe die da jetzt mal rausgelöscht und keinen Fehler erhalten.

Edited March 6, 2006 by www.filmforen.de

[Tweedle-Dee 0]

Bei mir gibt es diese Datei mit dem gleichen Inhalt. Wurde nicht gehackt, also ist diese Datei wohl standardmäßig von IPB.

[GreyCrow 0]

Ständig fällt das Forum mit dem Fehlervermerk "503" aus und zeigt folgenden Text an:

SQL error: User ... has already more than 'max_user_connections' active connections

SQL error code:

Date: Monday 06th of March 2006 04:18:52 PM

Das ist kein "Hackversuch", sondern schlicht zu viele Zugriffe auf die SQL-Datenbank. Entweder der Provider ist da etwas "pingelig" oder ihr habt Mods eingebaut, die zu viele DB-Abfragen erzeugen. Ansonsten den Debuglevel erhöhen und nachsehen, was hier so enorme Zugriffe erzeugt.