Forum

Hallo Herr Kröss,

vielen Dank für Ihre Anfrage.

Dieser Zugriff ( Fri Apr 29 17:12:42 2011 0 ::ffff:85.13.143.205 418
/www/htdocs/vxxxxxx/.htaccess a _ o r vxxxxxx ftps 0 * c) wurde durch uns durchgeführt. Wir haben die .htaccess zur Prüfung nur einmal abgefragt. Eine Änderung wurde nicht durchgeführt.

Zur Analyse können Sie auch unser Auswertungstool verwenden:
http://ftplog-analizer.script-test.de/index.php .

Der Zugriff auf fremde Home-Verzeichnisse ist Aufgrund der OpenBasedir-Restriktion nicht möglich.

Bei weiteren Fragen stehen wir Ihnen gern zur Verfügung.

(User-ID wurde von mir verändert)

LG,
Boby

Hi Gonzo,
naja, möglich ist Vieles - es könnte ja auch ein Mitarbeiter des Providers sich geirrt haben - und versehentlich ein falsches Verzeichnis vom Server gelöscht haben.

Ich habe meinem Hoster einmal ein paar Fragen in die Richtung "könnte da bei Euch was passiert sein?" geschickt - aber selbst wenn dort was passiert wäre, werde ich das nie beweisen können - egal, ob's ein Fehler eines Mitarbeiters, eine undichte Server-Struktur beim Provider am shared Server oder sonst etwas war...

Bis zu diesem Vorfall hatte ich zudem(leichtsinnigerweise) sowohl für meinen FTP-User als auch die Datenbank das gleiche Passwort. Wäre es ein gezielter Angriff gewesen, hätte der Einbrecher einfach nur die mainfile.php auslesen müssen - und hätte in der Datenbank ebenfalls Schaden anrichten können.

Deswegen glaube ich eher an ein Versehen (menschlich, technisch) - oder einen "lucky hit" von Skript Kiddies - aber keinen gezielten Datenklau oder eine gezielte, monatelang geplante Attacke.

LG,
Boby

Boby schrieb am 30.04.2011 um 19:05:22 Uhr folgendes:

Hallo Gonzo, aktuell habe ich OPN 2.5.4 Revnr. 5553 drauf ..... Das sind mal die Infos vom Webserver (gemieteter shared Server - nicht dedicated): 

Vielleicht liegt das ursächliche Problem gar nicht bei Dir und Deiner Webseite.
Es wäre denkbar das der eigentliche "Übergriff" gar nicht in Deinem Bereich stattgefunden hat,
sondern bei einem anderen user beim selben Provider, oder sogar beim Provider selbst


Gruß
gonzo

Boby schrieb am 30.04.2011 um 19:11:18 Uhr folgendes:

@Stefan: Die IP 85.13.143.205 dürfte meinem Provider gehören - ich bin die andere IP gewesen (81.217.xxx.xxx), die an dem Tag via FTP aktiv war.

LG,
Boby

Richtig nur wieso geht ein anderer Server deines Hosters mit deinen ftp Daten bei dir rein und ändert was?

Vielleicht mal ein Zwischenbericht ...

1:

Es waren Dateileichen vorhanden also Dateien die irgendwann mal in OPN waren aber dann nicht mehr gebraucht wurden oder verlagert wurden. Normalerweise werden die im update auf "bitte löschen" gesetzt. Ist hier warum auch immer (ist eine sehr alte Installation) nicht der Fall gewesen.

* Ich habe diese jetzt entfernt.

In wie weit das relevant ist, ist nicht sicher zusagen. Auf alle Fälle ist das entfernen anzuraten.

2: Ich habe die Dateien auf trunk gebracht; ist jetzt also top aktuell. War nötig weil ich verschiedene Funktionen für weitere Teste benötigte.

3: Das Cleaning Programm im Cache habe ich ein ungutes Gefühl.

In opn ist eins eingebaut was auch noch verschiedene anderes kann. Ich werde das darauf umstellen. Dauert nur etwas weil das mit dem Testen auf Grund der Sache so etwas Zeit braucht. Wenn es so läuft wie es soll dann Kannst den cron wieder einschlaten aber mit einer anderen URL die eben den OPN cron startet - und damit auch das löschen usw....

4:

Ich habe mal ein paar Prüfungen auf der Seite gemacht. Leider fängt der Cisco Router alle Angriffe recht ordentlich ab. Kommt nicht oft vor das ein Hoster das so abfängt.

5:

fck - Ist mir auch aufgefallen. Das muss ich allerdings noch genauer schauen.

@Stefan: Die IP 85.13.143.205 dürfte meinem Provider gehören - ich bin die andere IP gewesen (81.217.xxx.xxx), die an dem Tag via FTP aktiv war.

LG,
Boby

So,
Cron-Job ist Geschichte - übrigens war dieser "STÜNDLICH für die Minute 00" eingerichtet.

LG,
Boby

Hallo Gonzo,
aktuell habe ich OPN 2.5.4 Revnr. 5553 drauf (soeben nachgesehen - kann sein, dass Stefan da schon was Neues draufgepackt hat).

Das sind mal die Infos vom Webserver (gemieteter shared Server - nicht dedicated):

PHP Version: 5.2.12-nmm2
PHP SAVE MODE: NO (der war m.E. YES => vermutlich von Stefan für Tests umgedreht)
PHP Memory Limit: 32M
MySQL Server Version: 5.0.51a-3ubuntu5.8-log
MySQL Client Version: 5.1.43
sqlite Server Version: 2.8.17

•description ::=> 5.0.51a-3ubuntu5.8-log
•version ::=> 5.0.51

"Fremde" Codeschnippsel gibt's eigentlich nicht - lediglich der Marquee-Banner auf der Startseite ist (via Anypage) nicht aus meiner bzw. OPN's Feder.

Dann gäbe es da noch den cache-cleaner (werde den Cron mal stillegen - hätte dann aber gerne einen Tipp, wie ich verhindere dass 100.000te sess-Files im Cache-Verzeichnis liegen bleiben.

Was ich mir auch noch vorstellen könnte, ist dass man über den FCK-Editor schädlichen Code hochladen könnte (über den Image-Uploader)- der nimmt mehr oder weniger wortlos Files entgegen & lädt sie hoch - die liegen dann im Cache-Verzeichnis & wenn man den URL kennt, kann man dort von außen drauf. Aber dafür hätte ich keine Anzeichen in den Logs gefunden...

Das ist mal das, was ich auf die Schnelle beantworten kann.

Ciao,
Boby

bitte löscht den obigen Text, ich wollte meinen alten Text editieren allerdings war ich dummerweise nicht angemeldet.
Sorry für den "Textstreß".

Hallo

Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte.
Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter
helfen können, dafür ist die Thematik viel zu umfangreich.

Auf was für einem OS wurde OPN installiert?
Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme)
Verwendest Du einen eigenen Server oder hast Du Webspace angemietet?
Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)?
Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest.

Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten.
Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen
und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer)
Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das
OPN-Verzeichniss auf dem Server selber zu löschen.
Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde.

Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du
dieses Problem in Zukunft verhindern kannst.

Gruß
gonzo



edit:
Ich hatte den Text ursprünglich gelöscht da Stefan der sicherlich mehr dazu zu sagen weiss als ich schneller war.
Aber da sich darauf berufen wurde habe ich es der Vollständigkeit halber wieder hergestellt.