SkynetworX 0 Report post Posted February 25, 2006 Hy, also folgendes Problem: Vor ungefähr einer Stunde hat es jemand geschafft ins ACP zu kommen. Dort hat er den Titel des Forums und die URL geändert. Anstatt www.MeineSeite.de/Forum/index.php leitet das Forum nun zu www.MeineSeite.de/Forum/www/index.php um. Ich habe das Forum erstmal verschoben um den Hacker erstmal im dunkeln tappen zu lassen. Wo ändere ich die URL damit ich wieder ins ACP komme? In der Datenbank oder in einer PHP Datei? Und ON stellen kann ich es ja auch nicht, da er die Lücke gleich wieder nutzen wird. Share this post Link to post
Stefan 0 Report post Posted February 25, 2006 Öffne einfach die conf_global.php und ändere dort die entsprechende Pfadangabe. Ansonsten kann ich jedem nur empfehlen, das ACP zusätzlich mit einer htaccess zu sichern. Kleine Anleitung: Erstellen einer .htaccess mit dem folgendem Inhalt. <Files "admin.php"> AuthType Basic AuthName "Passwortgeschützter Bereich" AuthUserFile /Pfad-zur-htpasswd/.htpasswd require valid-user </Files> Hier muss lediglich der absolute Pfad zur .htpasswd geändert werden. Die .htaccess muss anschließend ins Forumhauptverzeichnis hochgeladen werden. Die .htpasswd muss noch ein Benutzer mit Passwort enthalten. Um dies zu erstellen, kann man zum Beispiel folgenden Link verwenden. Die erzeugte Zeile wird anschließend in dieser Datei eingetragen. Nun wird diese Datei in das Verzeichnis hochgeladen, die in der .htaccess angegeben wurde. Zusätzlich kann man das direkte Aufrufen der conf_global.php bzw. deren Backupdatei verhindern. Es wird zwar beim Aufruf nur eine leere Seite angezeigt, aber sollte der Parser mal ausfallen, würde die vorhandenen Einstellungen als normale Textdatei präsentiert. Um dies zu verhindern, muss in der .htaccess noch folgendes eingetragen werden. <Files "conf_global.php"> AuthType Basic AuthName "Passwortgeschützter Bereich" AuthUserFile /Pfad-zur-htpasswd/.htpasswd require valid-user </Files> <Files "conf_global-bak.php"> AuthType Basic AuthName "Passwortgeschützter Bereich" AuthUserFile /Pfad-zur-htpasswd/.htpasswd require valid-user </Files> So, hoffe das war verständlich. :) Share this post Link to post
SkynetworX 0 Report post Posted February 25, 2006 (edited) Danke! =) Mal sehen was noch so passiert! //edit: Alles klar! hat funktioniert!! Edited February 25, 2006 by SkynetworX Share this post Link to post
Christian 0 Report post Posted February 26, 2006 © Portal 1.3 by Dragoran Hast Du die fixe eingespielt? Share this post Link to post
SkynetworX 0 Report post Posted February 26, 2006 © Portal 1.3 by Dragoran Hast Du die fixe eingespielt? Bin dabei! Hatte keine Ahnung das es welche gibt. Share this post Link to post
Modula 0 Report post Posted February 26, 2006 Hast du auch alle anderen Dinge beachtet was man so nach nem Hackerangriff machen sollte? (1. alle updates einspielen 2. alle passwörter ändern) Share this post Link to post
SkynetworX 0 Report post Posted February 26, 2006 Updates sind drinne und die PW wurden geändert. Wäre am besten wenn Ihr eine Rundmail an alle Forummitglieder schreibt wenn es mal wieder eine Lücke gibt. Share this post Link to post
GreyCrow 0 Report post Posted February 26, 2006 Ähem.. *räusper* ..auf die Gefahr hin mich zu wiederholen (sh. andere Threads über Dragoran Portal Lücken): Hier wurde immer über Lücken im IPB informiert, in eigener Sektion und als wichtig eingestuft und auch die Patches veröffentlicht. Danke an dieser Stelle nochmals Stefan, der damals, als ich den einen gemeldet habe, so schnell reagiert hat. Aber: Das Problem lag nicht am IPB sondern am Dragoran Portal. Und das ist ein eigenständiges "Ding". Wenn die Admins hier über jeden Mod wachen sollen, der evtl. fehlerhaft ist und seine Bugs und Patches auflisten, kann man denke ich ein zweites Forum damit füllen. Dazu kommt, dass der Ersteller des Mods ohnehin besser über seine eigenen Patches bescheid weiß. Insofern liegt es eigentlich an euch als Admin, euch über eure Mods (vor allem solch große) auf dem Laufenden zu halten, hier schaut ihr ja auch nach Grüße Grey Share this post Link to post
www.filmforen.de 0 Report post Posted February 27, 2006 Ich hatte auch gerade nen Angriff (Version 2.0.0). Jemand hat über zwei Admin-Accounts (die mittlerweile deaktiviert sind) PMs mit Pornolinks an einige User verschickt und Threads zum selben Thema eröffnet. Ich überlege nun, mir die Lizenz für die neueste Version der Forensoftware zuzulegen und wollte fragen, ob das alle neuen Sicherheitsupdates schon enthält oder ob ich manuell patchen muss. Share this post Link to post
www.filmforen.de 0 Report post Posted February 27, 2006 zudem meint mein Co-admin gerade, dass er beim Betreten eines Threads von seinem Scanner eine Warnung über folgenden Trojaner bekommen hat: "Download.Trojan" Share this post Link to post
Stefan 0 Report post Posted February 27, 2006 Ich überlege nun, mir die Lizenz für die neueste Version der Forensoftware zuzulegen und wollte fragen, ob das alle neuen Sicherheitsupdates schon enthält oder ob ich manuell patchen muss. In der aktuellen Downloadversion sind immer alle bereits veröffentlichten Sicherheitsfixe enthalten. Share this post Link to post
SkynetworX 0 Report post Posted February 27, 2006 Du bist der zweite! Auch ein anderes Forum von einem Kollegen wurde am Samstag gehackt. Pornolinks wurden auch bei mir verbreitet! Share this post Link to post
www.filmforen.de 0 Report post Posted February 27, 2006 Der Trojaner wurde nicht durch schadhaften PHP-Code verursacht (zum Glück!), sondern durch ein Posting mit einem iframe, das mit den gehackten admin-logins gepostet wurde (die einzige usergruppe, die html posten durfte). Share this post Link to post
Modula 0 Report post Posted February 28, 2006 Mir stellt sich grade die Frage, welche IPB 2.x Version ihr benutzt wenn ihr "jetzt erst" überlegt eine Lizenz anzuschaffen. Also mal allen ernstes: Wenn ihr ein unlizensiertes IPB 2.x einsetzt und gehackt worden seit: Selbst schuld! Es gibt Software, software die man ruhig cracken kann, und gute software. Das IPB 2.x gehört - obwohl ich es selbst nicht besitze - zur letzteren Kategorie. Und HTML zu posten - das erlaube ich in meinem Forum nichtmal mir selbst - wozu auch? Es würde nur Sicherheitslücken öffnen.... Share this post Link to post
www.filmforen.de 0 Report post Posted February 28, 2006 Was für ein "konstruktiver" Beitrag zum Thema. Hättest du den nicht - sagen wir mal - letztes Jahr posten können? Dann wäre er sogar auch noch instruktiv gewesen. Ich hätte wahrscheinlich trotzdem nicht drauf reagiert, denn ich hatte schon immer was gegen so oberlehrerhaftes Hinterhertreten. ;) Share this post Link to post
Modula 0 Report post Posted February 28, 2006 Wie auch immer: Bei einer Lizensierten Version findet man im Downloadbereich von IPS alle Sicherheitsfixe - diese braucht man nur einzuspielen und ist dann zumindest auf dem neustem Stand. Share this post Link to post
SkynetworX 0 Report post Posted March 1, 2006 Ich benutzte das IPB 1.3! :P Share this post Link to post
www.filmforen.de 0 Report post Posted March 6, 2006 (edited) Wie auch immer: Bei einer Lizensierten Version findet man im Downloadbereich von IPS alle Sicherheitsfixe - diese braucht man nur einzuspielen und ist dann zumindest auf dem neustem Stand. Leider bin ich trotz der aktuellsten Version (2.1.5) offenbar immer noch das Ziel von Angriffen. Ständig fällt das Forum mit dem Fehlervermerk "503" aus und zeigt folgenden Text an: SQL error: User ... has already more than 'max_user_connections' active connections SQL error code: Date: Monday 06th of March 2006 04:18:52 PM Nun habe ich in den Serverstatistiken entdeckt, dass auf eine Datei namens "iframe.html", die sich in "style_images/1/" befindet, sehr oft zugegriffen wird. In dieser Datei steht allerdings nur folgender Code: <html> <head><title></title></head> <body> </body> </html> Gehört diese Datein in den Ordner? Ich habe die da jetzt mal rausgelöscht und keinen Fehler erhalten. Edited March 6, 2006 by www.filmforen.de Share this post Link to post
Tweedle-Dee 0 Report post Posted March 6, 2006 Bei mir gibt es diese Datei mit dem gleichen Inhalt. Wurde nicht gehackt, also ist diese Datei wohl standardmäßig von IPB. Share this post Link to post
GreyCrow 0 Report post Posted March 6, 2006 Ständig fällt das Forum mit dem Fehlervermerk "503" aus und zeigt folgenden Text an: SQL error: User ... has already more than 'max_user_connections' active connections SQL error code: Date: Monday 06th of March 2006 04:18:52 PM Das ist kein "Hackversuch", sondern schlicht zu viele Zugriffe auf die SQL-Datenbank. Entweder der Provider ist da etwas "pingelig" oder ihr habt Mods eingebaut, die zu viele DB-Abfragen erzeugen. Ansonsten den Debuglevel erhöhen und nachsehen, was hier so enorme Zugriffe erzeugt. Share this post Link to post