finger 0 Report post Posted March 4, 2006 hallo leute, ich glaube ich wurde nun auch ein opfer eines hack-angriffs. http://www.tusleimen.de/forum/index.php mein admin account ist auch weg und ich bekomm das ding nicht weg. kann mir jemand helfen??? gruß finger Share this post Link to post
GreyCrow 0 Report post Posted March 4, 2006 (edited) Da schob euch jemand eine als Posting/Beschreibung getarnten Script-Referrer unter, was natürlich als Admin kein größeres Problem ist. (Allerdings frage ich mich, weshalb er nicht einfach den Board-Header geändert hat, als es so kompliziert zu machen). <td class="row4"><b><a href="http://www.tusleimen.de/forum/index.php?showforum=2">HACKED BY WARRIOR VIRUS</a></b><br /><span class='desc'><script>location.href="http://www.geocities.com/warrior_viruss";</script><br /></span></td> Der direkte Aufruf von: -> http://www.tusleimen.de/forum/admin.php funktioniert aber trotzdem. Da ihr die Datenbankdaten und FTP-Daten haben solltet(?), einfach ersteinmal die index.php umbenennen (damit das Forum nicht mehr funktioniert) und in der Datenbank das Passwort des Admins zurücksetzen (oder diesen ggf. neu anlegen). Edited March 4, 2006 by GreyCrow Share this post Link to post
finger 0 Report post Posted March 4, 2006 gibt nur ein problem das kein backup von der datenbank besteht, hab mittlerweilen auch wieder zugang zum admin control. gibt es ne möglichkeit das ding ohne rücksetzen wieder zum laufen zubringen? danke bereits gruß finger Share this post Link to post
Modula 0 Report post Posted March 4, 2006 *hat grade supporturlaub* wie gesagt, index.php umbenennen und im ACP dann einfach die templates reparieren... Share this post Link to post
finger 0 Report post Posted March 4, 2006 finde nix zum reparien. gruß finger Share this post Link to post
MacTV 0 Report post Posted March 5, 2006 @finger Du mußt halt alle php durchsuchen nach den neuen Einträgen. Da Häcker meistens keine Zeit haben werden immer die ersten Zeilen verändert oder hinzugefügt. TIP: Bei FTP Programm kannst Du ggf. das geänderte Datum sehen, das wären dann die Dateien die ich als erstens kontrollieren würde. Ansonsten mußt Du die Dateien nei hochladen. PS: Dein Hacker hockt übrigens in Malatya,Non US,TR 44330 Share this post Link to post
finger 0 Report post Posted March 5, 2006 laut ftp programm war nur die conf_global.php verändert, austauschen brachte aber leider nix. habe jetzt mal das forum neuinstalliert, nachdem ich jedoch die alte datenbank benutze kam die scheiße wieder. ist wohl irgendwo was in der datenbank Share this post Link to post
WalleniuM 1 Report post Posted March 5, 2006 skin wrapper schonmal geprüft? also im infizierten....? Die skins werden in der db abgelegt lass die skinsache doch eingfach beim importieren der db weg ;) Share this post Link to post
GreyCrow 0 Report post Posted March 5, 2006 Alle Möglichkeiten, HTML anzuzeigen im ACP deaktivieren und in der Datenbank in der Postingtabelle (wo die Threadtitel drinstehen) nach <script> suchen. Wie oben gezeigt scheint er entweder in den Topic-Titel ein JS eingeklinkt zu haben oder hat die Vorlage verändert, dass sie das Script einfügt. Share this post Link to post
Modula 0 Report post Posted March 5, 2006 (edited) GreyCrow hat vollkommen recht. Sobald du Javascript deaktivierst kannst du den "Übeltäter" im Quelltext finden. Geh einfach ins ACP, Forum Control und lösch da die Beschreibung des Forums "HACKED BY WARRIOR VIRUS" die lautet nämlich <script>location.href="http://www.geocities.com/warrior_viruss";</script> ich bin so frei und hänge den quelltext deiner übersichtsseite mal hier an. Edited March 5, 2006 by Modula Share this post Link to post
finger 0 Report post Posted March 5, 2006 ok vielen dank leute, jetzt gehts wieder. thx finger Share this post Link to post
Camou 0 Report post Posted March 10, 2006 (edited) Hallo! Da ich auch das Problem habe, daß alle meine Admins gelöscht sind... Könntest du mir bitte beschreiben, wie du wieder Zugang auf das ACP bekommen hast? Die Adresse habe ich natürlich, aber ich brauche ja einen Admin, um mich einloggen zu können... ??? Vielen Dank! Edit: Hat sich erledigt. Wir wechseln das Board... Edited March 10, 2006 by Camou Share this post Link to post
Modula 0 Report post Posted March 10, 2006 Edit: Hat sich erledigt. Wir wechseln das Board... Es ist grundsätzlich keine gute Idee eine Plattform wo man sich nicht um Sicherheitsupdates gekümmert hat gegen eine zu tauschen wo man es aller wahrscheinlichkeit auch nicht tun wird. (das ist eine allgemeine Aussage und keine unterstellung) Ich rate euch dringen dazu zunächst versuchen nachzuvollziehen wodurch der Hacker ins Board konnte. Ihr wechselt ja auch nicht das Betriebssystem, nur weil eine anwendung plötzlich sicherheitslücken hat. Share this post Link to post
GreyCrow 0 Report post Posted March 15, 2006 Nun war ja auch das Forum hier betroffen wie Andi schreibt über die Admin.php. Kann man denn genaueres sagen, wie er eingestiegen ist und wie man dies etwas "schwieriger" gestaltet oder unterbindet? Wo lag da das Problem? Danke und Grüße Grey Share this post Link to post
Stefan 0 Report post Posted March 15, 2006 Ja, kann man genau sagen, da dieser "Hacker" nicht sonderlich hell in der Birne war und seine IP Adresse auch nicht verschleiert hat. Entsprechende Maßnahmen hab ich eingeleitet. Um den Einstieg ins Forum zu unterbinden, hilft es, die admin.php mit einetr htaccess zu sichern. Dies hatte ich hier beschrieben. Leider ist es mir durchgegangen, das hier im Forum einzubinden, da ich derzeit beruflich ziemlich eingespannt bin. Bin halt kein Lehrer mit knapp 20 Wochenstunden. :P Share this post Link to post
iq996 0 Report post Posted March 15, 2006 Also war es eine klassische Brute-Force Attacke. Share this post Link to post
Modula 0 Report post Posted March 15, 2006 Ich wäre über zusätzliche Infos über die Art des einstieges auch sehr dankbar - notfalls auch via PN sofern das nicht genau detailliert öffentlich gemacht werden soll. Gruß, Modula Share this post Link to post
WalleniuM 1 Report post Posted March 15, 2006 frage wäre: passwort per bruteforce gehackt oder wie genau? das acp muss dringend mit einer 3-veruschs-sperre ausgestattet werden! Share this post Link to post
TomCrow 0 Report post Posted March 15, 2006 ..das acp muss dringend mit einer 3-veruschs-sperre ausgestattet werden! Einen derartigen mod gibt's auf ibforen.de.. mfg, Tom Share this post Link to post
WalleniuM 1 Report post Posted March 15, 2006 jop. aber sollte auch ins main release rein habs mal in den bugtracker geschrieben :D Share this post Link to post
Stefan 0 Report post Posted March 15, 2006 ..das acp muss dringend mit einer 3-veruschs-sperre ausgestattet werden! Einen derartigen mod gibt's auf ibforen.de.. Und der war hier eingebaut und hat auch nichts gebracht. Ich werde hier sicherlich nicht öffentlich Details über den Angriff schreiben oder diesen hier erklären. Ggf. auf Anfrage per PM. Eine Sicherung per htaccess sollte aber auf jeden Fall in Betracht gezogen werden, um für diesen Hack und ggf. auch zukünfig auftretene Angriffe geschützt zu sein. Share this post Link to post
DC-Forum 0 Report post Posted March 16, 2006 das acp muss dringend mit einer 3-veruschs-sperre ausgestattet werden! Kann mir mal jmd. den Link zu dem Mod zukommen lassen, danke. DC Share this post Link to post
DC-Forum 0 Report post Posted March 17, 2006 @TomCrow Danke dir, PM ist angekommen. Frage an alle: welche möglichkeiten nutzt ihr noch, um das Admin-CP zu schützen? Share this post Link to post
zer0 0 Report post Posted March 18, 2006 ein posting oberhalb von deinem hats stefan geschrieben.... schütze die admin.php per htaccess !! Share this post Link to post
DC-Forum 0 Report post Posted March 18, 2006 ein posting oberhalb von deinem hats stefan geschrieben.... schütze die admin.php per htaccess !! Frage an alle: welche möglichkeiten nutzt ihr noch' date=' um das Admin-CP zu schützen?[/quote'] Share this post Link to post