Forum

Hi,
das mit dem cleanup-Cron war eine Notlösung, da OPN die session files nicht selbst gelöscht hat (hatte das auch mal hier gepostet).

Das führte dazu, dass ich mit meinem FTP-Client nicht mehr ins Cache-Verzeichnis wecheln konnte (timeout).

Den Rest sehe ich mir später an - bin heute leider unterwegs.

Ciao,
Boby

Schau mal ins ftp log ungewöhnlich.

Du hast ja scheinbar eine feste IP. Aber

85.13.143.205 macht hier 2 mal etwas. Ungewöhnlich gehört scheinbar zu einem anderen Kunden deines Hosters. Ist aber nicht die IP deiner Seite.

Danach waren deine ersten Zugriffe um 17:10:50 2011 ; kann das sein? vorher warst du nicht per ftp drauf. Nur mal so als gegen Kontrolle ob das Vollständig ist.

Da läuft mindestens ein cron

cache/cleanup_cache.php

85.13.133.62 - - [29/Apr/2011:17:00:02 +0200] "GET /opn/cache/cleanup_cache.php HTTP/1.1" 404 - "-" "cronBROWSE v0.91"

66.249.66.88 - - [29/Apr/2011:16:58:57 +0200] "GET /opn/modules/mediagallery/index.php?opnparams=A2hdLVdhAjcGcgw%2BWDlRJQZuBHoHYg0nDmQDNwIyU2xRNFxhUGoBZAg8CW4 HTTP/1.1" 200 2013 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.66.88 - - [29/Apr/2011:16:59:22 +0200] "GET /opn/modules/calendar/index.php?opnparams=A0NdPFcoAjQGOgxjWGxRZgY2BC0HNw05DiQDYgJhUyNRIVwlUCsBNwg0CTNcMAd5 HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

29/Apr/2011:16:58:57 -> War noch ok

Kein weiterer Zugriff bis

29/Apr/2011:16:59:22 -> War nicht mehr ok

Dann Zugriff durch den Cron.

Da dieses so dicht am cron ist. Da braucht nur der Server vom cron ein Tick anderes laufen und schon passt es.

Merkwürdige Zufälle.

Ich hab mir cleanup_cache.php angesehen. Eigentlich ... sollte das so gehen aber da da hier pauschal alles gelöscht wird (unlink) und nicht alle Fehler abgefangen werden. Würde ich das so nicht machen. Das Resultat ist so nicht vorhersehbar. Wenn warum auch immer da einmal ein unlink('opn/'); auskommt dann hättest du genau das Ergebnis. Solche Funktionen baue ich inzwischen vorsichtiger.

Morgen Stefan,
you've got PN.

Ich habe mittlerweile die Logs - und unter der "verdächtigen" IP-Adresse folgende Aktivitäten gefunden:
208.115.204.31 - - [29/Apr/2011:16:56:18 +0200] "GET /opn/system/user/register.php HTTP/1.0" 200 115052 "http://www.rc-boote.at/opn/system/user/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
208.115.204.31 - - [29/Apr/2011:16:56:39 +0200] "POST /opn/system/user/register.php HTTP/1.0" 200 52146 "http://www.rc-boote.at/opn/system/user/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
208.115.204.31 - - [29/Apr/2011:16:57:26 +0200] "GET /opn/system/user/index.php HTTP/1.0" 200 44154 "http://www.rc-boote.at/opn/system/user/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
208.115.204.31 - - [29/Apr/2011:16:57:45 +0200] "POST /opn/system/user/index.php HTTP/1.0" 200 11444 "http://www.rc-boote.at/opn/system/user/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Auffallend ist, dass ich sonst nur GET requests im Log finde - und nur ganz wenige POSTS's - darunter die verdächtige IP-Adresse, die dafür auffallend viel POST's gemacht hat.

Es gibt aber nach diesen Aktionen noch jede Menge protokollierte Zugriffe - können das die offenen Browser gewesen sein, die noch eine Seite offen hatten - und beim nächsten Klick ins Leere gegriffen haben?

Ciao,
Boby

Was genau meinst Du damit? Das zurückgespielte Backup? Denn mein /opn-Folder war weg - mit allem, was es je darin gegeben hat. Sollte der Täter dort was abgelegt haben, hat er es gleich wieder mit gelöscht.

Ja schon klar nur sagen wir mal ich würde so was tun ... Dann wäre der Ablauf der folgende.

Phase 1 : Vor Wochen bis Monate Test ob ich das System brechen kann. Automatisiert und nur die interessanten Seite vermerkt.

Phase 2 : Genau wie Phase 1 mit dem Ergebniss aus 1 auch automatisiert. So ca. vor < 6 Monaten

Phase 3 : Und hinein - root Zugang einbringen und tools Installieren. < vor 8-12 Wochen

Phase 4 : Nutzung .... ca. 1-2 Wochen lang

Phase 5 : Kill meine Spuren....

Dh. also es ist nicht ausgeschlossen das noch Türen installiert sind. Genau die wären auch in dem Backup enthalten sofern was da ist oder war.

Auf jeden Fall muss man das Prüfen.

Gerne. Was genau bräuchtest Du? Das Cache-Verzeichnis vermutlich nicht - oder doch?

Wenn möglich komplett - wenn zu groß für ne eMail kann ich auch ne ftp Account einrichten. Oder mehrere eMails, oder wie auch immer ... Bin flexibel...

Unsere Präsenz ist mittlerweile relativ groß (> 200 Aritkel, > 5.800 Forum posts, > 8.000 Medien in der Galerie, > 200 Links, 75 Downloads - würde mich mal interessieren, wo im Ranking der OPN-Installationen ich damit liege )

Nicht enttäuscht sein aber die umfangreichste Seite die ich kenne ist von just Er hat mehrere tausende! Seitenboxen / Anypages / Artikel usw. was du an Mediaen hast hat er alleine locker an Seitenboxen ... Hardcore pur ...

Habe mir mal die IP-Adresse angesehen, die im Log seitens des Providers genannt wurde: http://www.proxybase.de/de/details-2030485-26e7a757b98fa51d84d7a8a0f5b8ae54.htm
=> Transparent Proxy, na super...

Ach ja...das gesamte Logfile wird seitens des Hosters heute Nacht generiert - ich rühre mich, sobald ich es habe.

Bis dann,
Boby

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Ich möchte nicht nerven und mir ist klar das dein Blutdruck in der jetzigen Situation angespannt ist ... Trotzdem interessiert mich natürlich brennend die Ursache. Daher ...

Nur mal so gefragt. In den Admin - diagnostig - file cleaner hast du nicht genutzt - und auch kein anderer - . (Würde ich auch von abraten)

Ich kann jetzt mal nur für ich sprechen - es gibt bei uns noch zwei weitere User, die Webmaster-Rechte haben. Die untersützten mich beim aktuell halten des Systems; klicken im Normalfall aber nicht auf irgendwelchen Funktionen herum (schon gar nicht, ohne zu fragen). Deshalb mal => "eher unwahrscheinlich".

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Du hast ein Admin mit Test... Passwort ist Sicher von dem.?

Naja, eine 12stellige willkürliche Zeichenkette war's natürlich nicht, aber es war alles dabei, was ein Passwort einigermaßen sicher macht (Gross-/Klein, Ziffern, Sonderzeichen). Habe gesehen, Du hast den User deaktiviert - und den letzten aktiven Testuser habe ich auch gleich deaktiviert - kann ich ja jederzeit wieder reaktivieren, wenn ich mag.

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Du nutzt smpt - das PW von dort ist nirgends sonst in Nutzung. Oder kannst du (das ist bei verschiedenen Hostern möglich) ggf. mit dem email Account einlogen im z.b. ftp.

Das SMTP-Passwort für unseren webmaster-Mailaccount war ein anderes (generiertes, sicheres) Passwort, das sonst nirgend funktioniert. Das ist auch bei meinem Hoster sehr strikt getrennt (da werden sogar die Usernamen generiert).

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Da bei dir

"exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice" Verboten sind, ist das in der Art "rm /opn -r" so nicht einfach möglich.

Teste alle Dateien und Verzeichnisse wenigstens ob nicht zusätzliche files existieren.

Wenn etwas dort ist dann ist die Wahrscheinlichkeit hoch das eine oder mehr Dateien hoch geladen wurden. Theoretisch in das zwar auch möglich das Dateien verändert wurden aber meistens ist schon das erste zutreffend. Veränderungen könnte man aber auch finden.

Was genau meinst Du damit? Das zurückgespielte Backup? Denn mein /opn-Folder war weg - mit allem, was es je darin gegeben hat. Sollte der Täter dort was abgelegt haben, hat er es gleich wieder mit gelöscht.

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Ich weiss nicht ob dein ftp Client auch .datei anzeigt. Verschiedene zeigen so was nicht an. Achte auch auf so was.

Also ich verwende Filezila - und z.B. eine .htaccess zeigt er mir an (hatte spannenderweise auch ein Datum von heute, hatte aber nur unverfänglichen Inhalt - Verweis auf die OPN-Fehlerseiten)

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Wenn du magst kannst du auch das ganze /opn zippen und mir senden. Dann vergleiche ich das selbst. Nur ein Angebot.

Gerne. Was genau bräuchtest Du? Das Cache-Verzeichnis vermutlich nicht - oder doch? Unsere Präsenz ist mittlerweile relativ groß (> 200 Aritkel, > 5.800 Forum posts, > 8.000 Medien in der Galerie, > 200 Links, 75 Downloads - würde mich mal interessieren, wo im Ranking der OPN-Installationen ich damit liege )

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Btw. ändere das ftp/db Passwort usw.

Done - alles geändert (FTP-User, Datenbank, mainfile.php - alles 16stellig, sichere Passwörter) - und für die Verwaltung habe ich mir gleich KeePass angelacht.

Danke für den - wie immer - exzellenten Support in dieser schweren Stunde!

Danke,
Boby

Ich möchte nicht nerven und mir ist klar das dein Blutdruck in der jetzigen Situation angespannt ist ... Trotzdem interessiert mich natürlich brennend die Ursache. Daher ...

Nur mal so gefragt. In den Admin - diagnostig - file cleaner hast du nicht genutzt - und auch kein anderer - . (Würde ich auch von abraten)

Du hast ein Admin mit Test... Passwort ist Sicher von dem.?

Du nutzt smpt - das PW von dort ist nirgends sonst in Nutzung. Oder kannst du (das ist bei verschiedenen Hostern möglich) ggf. mit dem email Account einlogen im z.b. ftp.

Da bei dir

"exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice" Verboten sind, ist das in der Art "rm /opn -r" so nicht einfach möglich.

Teste alle Dateien und Verzeichnisse wenigstens ob nicht zusätzliche files existieren.

Wenn etwas dort ist dann ist die Wahrscheinlichkeit hoch das eine oder mehr Dateien hoch geladen wurden. Theoretisch in das zwar auch möglich das Dateien verändert wurden aber meistens ist schon das erste zutreffend. Veränderungen könnte man aber auch finden.

Ich weiss nicht ob dein ftp Client auch .datei anzeigt. Verschiedene zeigen so was nicht an. Achte auch auf so was.

Wenn du magst kannst du auch das ganze /opn zippen und mir senden. Dann vergleiche ich das selbst. Nur ein Angebot.

Btw. ändere das ftp/db Passwort usw.

Was mich noch einfällt:
Ich hätte ein Mail bekommen, hätte sich ein User tatsächlich registriert.

Sollte der Einbruch tats. über die Registierung erfolgt sein (evtl. habe ich ja auch ein paar Settings zu schwach gesetzt?), dann hat der Einbruch stattgefunden BEVOR OPN in der Lage war, das Mail an mich zu senden. Vielleicht hilft das ja.

Außerdem bekomme ich jetzt eine neue Meldung, wenn ich im Admin-Panel (z.B. bei den Einstellungen) etwas speichere:

--------------------------------------------------------------------------------
ERROR [2] chmod() [function.chmod]: Operation not permitted
FOUND IN [class/class.file.php]
FOUND AT 802

--------------------------------------------------------------------------------

Stellt sich die Frage...welches File betrifft das.

Ciao,
Boby

Hi,
ich habe mal Antimalwarebytes laufen lassen - es gab einen Fund:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6474

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.04.2011 20:01:14
mbam-log-2011-04-29 (20-01-14).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155511
Laufzeit: 5 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:favoritenmp3 download.url (Rogue.Link) -> Quarantined and deleted successfully.

Das ist allerdings nur ein Fake-Programm - und dazu noch dürfte sich dieses als Favorit im IE eingetragen haben - ich habe diesen aber sicher noch nie angeklickt (verwende Favoriten auf meinem PC kaum), daher kann ich damit ziemlicher Sicherheit auschließen.

Der PC hängt auch nicht direkt im Netz, sondern dazwischen ist noch ein D-Link - Router mit eingebauter Firewall - vermutlich keine 100%ige Garantie, aber ein Schutz mehr. Habe daher auch keine eigene Firewall auf meinem PC hier laufen.

Dass das OPN-Verzeichnis weg war, hat mich ebenfalls sehr überrascht - was mich aber auch überrascht, ist die Frage: Warum genau nur das Verzeichnis? Es liegen noch eine Menge andere Verzeichnisse im root (also auf der Ebene vom Verezeichnis /opn) - warum hat die Löschung genau und exakt nur das OPN-Verzeichnis betroffen?
Vermutlich wäre sogar alles weg, wenn ich OPN im root gehabt hätte...

Ich werde mal sehen, ob ich Logs am Server finde, die mehr Aufschluss bringen - und wenn nicht, diese vom Hoster anfordern. Die Angaben mit den "letzten Zugriffen" habe ich vom Provider per Mail erhalten.

Ich war ja zu der Zeit gerade aktiv - und das Verzeichnis war von einer auf die andere Minute weg.

Habe jetzt vom Provider ein Backup aufgespielt bekommen - ist halt vom 18.04., aber besser als nichts. In der Datenbank selbst dürfte nichts passiert sein.

Mir schaut es so aus, als hätte ein "rm /opn -r" stattgefunden. Mal sehen, was die Logs besagen.
Alles was unterhalb liegt, ist futsch - und auch das errorlog zeigt mir erst Einträge ab 20:00...per Mail lasse ich mir die Logs nicht schicken - da kämen täglich zig Mails an.

Ciao,
Boby