Deutsches Supportforum - OpenPHPNuke

Lade Daten...

Bitte warten

Very Happy	Smile	Sad	Surprised
Confused	Cool	Laughing	Mad
Razz	Embaressed	Crying (very sad)	Evil or Very Mad
Rolling Eyes	Wink	Another pint of beer	ToolTimes at work
I have an idea

Autor
darksweetys Registriert: 28.12.2005 Beiträge: 638	Traurig, aber leider wahr - Site hacked! Geschrieben: 29.04.2011 19:25 Also ich hatte ja vor Wochen ein ähnliches Problem. Allerdings hatte ich noch Glück, es wurde nichts gelöscht, nur jede index-Datei verändert. Das Problem war das ich einen Trojaner SpyeEye auf dem PC hatte. Dieser hat alle Passwörter ausgelesen, auch von FileZilla (Ftp). Mein herkömmlichers Antivirenprogramm (Kasparsky) hat den Schädling garnicht erkannt. Rolf empfahl mir Antimalwarebytes http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html Dieses Tool hat den Übeltäter zwar entfernt, allerdings bekam ich nach ner Woche Post von meiner Bank, diese hatte auch mitbekommen das jemand versucht hat auf mein Konto zuzugreifen. Leider musste ich mein System neu aufsetzen. Die Warscheinlichkeit das man selbst die Sicherheitslücke verursacht ist am höchsten. DarkSweetys

stefan Wohnort: Münster	Traurig, aber leider wahr - Site hacked! Geschrieben: 29.04.2011 18:58 Gonzo schrieb am 29.04.2011 um 18:35:36 Uhr folgendes: Hallo Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte. Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter helfen können, dafür ist die Thematik viel zu umfangreich. Auf was für einem OS wurde OPN installiert? Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme) Verwendest Du einen eigenen Server oder hast Du Webspace angemietet? Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)? Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest. Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten. Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer) Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das OPN-Verzeichniss auf dem Server selber zu löschen. Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde. Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du dieses Problem in Zukunft verhindern kannst. Gruß gonzo Vielleicht noch zur Erweiterung und schon mal für andere der Hinweis. Hier auf der Seite wird aktiv geschützt dh. sobald auch nur der kleinste verdacht besteht wird der Zugriff auf Ebene von iptables gesperrt. Gehen die Angriffe weiter wird sogar im router gesperrt. Weiterhin sollte natürlich auch bedacht werden das Benutzer mehr Rechte haben als Ano. Dh. wenn ein Benutzer der Webmaster Rechte hat zugriff auf Anypage usw. und dessen Password nicht sicher ist. (Name der Frau ...) dann kann der Account missbraucht werden. Das ist eine sehr ernstes Problem und schwer zu lösen.

Gonzo Registriert: 09.11.2003 Beiträge: 78	Traurig, aber leider wahr - Site hacked! Geschrieben: 29.04.2011 18:35 Hallo Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte. Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter helfen können, dafür ist die Thematik viel zu umfangreich. Auf was für einem OS wurde OPN installiert? Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme) Verwendest Du einen eigenen Server oder hast Du Webspace angemietet? Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)? Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest. Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten. Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer) Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das OPN-Verzeichniss auf dem Server selber zu löschen. Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde. Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du dieses Problem in Zukunft verhindern kannst. Gruß gonzo edit: Ich hatte den Text ursprünglich gelöscht da Stefan der sicherlich mehr dazu zu sagen weiss als ich schneller war. Aber da sich darauf berufen wurde habe ich es der Vollständigkeit halber wieder hergestellt. [ Diese Nachricht wurde bearbeitet von: Gonzo am 30.04.2011 16:08 (Originaldatum 29.04.2011 18:35) ]

stefan Wohnort: Münster	Traurig, aber leider wahr - Site hacked! Geschrieben: 29.04.2011 18:01 Hast du ein FTP log vom Server. Das log ist ist ja von oben zu einem Zeit x. Danach kommt nix mehr oder was? Also woher ist die Zeit so klar. Sprich das log muss viel länger sein. Also von der Art her alle logs besorgen die man findet. Es ist ungewöhnlich (wenn ich es richtig verstanden habe) das das Verzeichnis gelöscht wurde. Meistens passieren andere Dinge. Hattest du die Errormails per eMail an dich versendet? Oder nur log File. Ist das Verzeichniss wirklich leer. Bist du auf trunk? So erstmal zum Anfang. Sind die Einstellungen noch genauso wie sie waren (php/Sicherheit usw.) Anmerkung check mal dein PC ggf. ist da ein ... am Werk. Bedenke auch das nicht alle Viren usw. von jedem Virenscanner erkannt werden. Rolf hatte hier ja schon mal 2 Tools genannt die recht ordentlich sind.

Gast Unregistrierter Benutzer	Traurig, aber leider wahr - Site hacked! Geschrieben: 29.04.2011 17:34 Leider hat's mich heute erwischt - von einer Minute auf die andere war plötzlich mein OPN-Verzeichnis am Server weg. Auf Rückfrage bei meinem Hoster habe ich folgende Antwort erhalten: Hallo Herr Kröss, vielen Dank für Ihre E-Mail. Das Verzeichnis wurde nicht per FTP gelöscht. Hier der letzte Aufruf des Forums: www.rc-boote.at*208.115.204.31 - - [29/Apr/2011:16:56:39 +0200] "POST /opn/system/user/register.php HTTP/1.0" 200 52146 "http://www.rc-boote.at/opn/system/user/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" www.rc-boote.at*208.115.204.31 - - [29/Apr/2011:16:57:45 +0200] "POST /opn/system/user/index.php HTTP/1.0" 200 11444 "http://www.rc-boote.at/opn/system/user/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" Der Aufruf kam aus den USA. Möglicherweise erfolgte die Löschung über eine Sicherheitslücke. Für Tipps, wie ich das verhindern kann, wäre ich recht dankbar. Vermutlich würde es einmal helfen, die Registrierung von neuen Usern zu sperren - offenbar ist das Eindringen über die Registrierung gelungen. Ciao, Boby [addsig]

Also ich hatte ja vor Wochen ein ähnliches Problem. Allerdings hatte ich noch Glück, es wurde nichts gelöscht, nur jede index-Datei verändert.

Das Problem war das ich einen Trojaner *SpyeEye* auf dem PC hatte. Dieser hat alle Passwörter ausgelesen, auch von FileZilla (Ftp).

Mein herkömmlichers Antivirenprogramm (Kasparsky) hat den Schädling garnicht erkannt.

Rolf empfahl mir Antimalwarebytes
http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html
Dieses Tool hat den Übeltäter zwar entfernt, allerdings bekam ich nach ner Woche Post von meiner Bank, diese hatte auch mitbekommen das jemand versucht hat auf mein Konto zuzugreifen.

Leider musste ich mein System neu aufsetzen.

Die Warscheinlichkeit das man selbst die Sicherheitslücke verursacht ist am höchsten.

Gonzo schrieb am 29.04.2011 um 18:35:36 Uhr folgendes:

Hallo

Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte.
Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter
helfen können, dafür ist die Thematik viel zu umfangreich.

Auf was für einem OS wurde OPN installiert?
Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme)
Verwendest Du einen eigenen Server oder hast Du Webspace angemietet?
Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)?
Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest.

Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten.
Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen
und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer)
Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das
OPN-Verzeichniss auf dem Server selber zu löschen.
Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde.

Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du
dieses Problem in Zukunft verhindern kannst.

Gruß
gonzo

Vielleicht noch zur Erweiterung und schon mal für andere der Hinweis.

Hier auf der Seite wird aktiv geschützt dh. sobald auch nur der kleinste verdacht besteht wird der Zugriff auf Ebene von iptables gesperrt. Gehen die Angriffe weiter wird sogar im router gesperrt.

Weiterhin sollte natürlich auch bedacht werden das Benutzer mehr Rechte haben als Ano. Dh. wenn ein Benutzer der Webmaster Rechte hat zugriff auf Anypage usw. und dessen Password nicht sicher ist. (Name der Frau ...) dann kann der Account missbraucht werden. Das ist eine sehr ernstes Problem und schwer zu lösen.

Hallo

Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte.
Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter
helfen können, dafür ist die Thematik viel zu umfangreich.

Auf was für einem OS wurde OPN installiert?
Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme)
Verwendest Du einen eigenen Server oder hast Du Webspace angemietet?
Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)?
Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest.

Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten.
Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen
und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer)
Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das
OPN-Verzeichniss auf dem Server selber zu löschen.
Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde.

Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du
dieses Problem in Zukunft verhindern kannst.

Gruß
gonzo

edit:
Ich hatte den Text ursprünglich gelöscht da Stefan der sicherlich mehr dazu zu sagen weiss als ich schneller war.
Aber da sich darauf berufen wurde habe ich es der Vollständigkeit halber wieder hergestellt.

[ Diese Nachricht wurde bearbeitet von: Gonzo am 30.04.2011 16:08 (Originaldatum 29.04.2011 18:35) ]

Hast du ein FTP log vom Server. Das log ist ist ja von oben zu einem Zeit x. Danach kommt nix mehr oder was? Also woher ist die Zeit so klar. Sprich das log muss viel länger sein. Also von der Art her alle logs besorgen die man findet.

Es ist ungewöhnlich (wenn ich es richtig verstanden habe) das das Verzeichnis gelöscht wurde. Meistens passieren andere Dinge.

Hattest du die Errormails per eMail an dich versendet? Oder nur log File.

Ist das Verzeichniss wirklich leer. Bist du auf trunk? So erstmal zum Anfang. Sind die Einstellungen noch genauso wie sie waren (php/Sicherheit usw.)

Anmerkung check mal dein PC ggf. ist da ein ... am Werk. Bedenke auch das nicht alle Viren usw. von jedem Virenscanner erkannt werden.

Rolf hatte hier ja schon mal 2 Tools genannt die recht ordentlich sind.

Leider hat's mich heute erwischt - von einer Minute auf die andere war plötzlich mein OPN-Verzeichnis am Server weg.

Auf Rückfrage bei meinem Hoster habe ich folgende Antwort erhalten:

Hallo Herr Kröss,

vielen Dank für Ihre E-Mail.

Das Verzeichnis wurde nicht per FTP gelöscht. Hier der letzte Aufruf des Forums:

www.rc-boote.at***208.115.204.31 - - [29/Apr/2011:16:56:39 +0200] "POST /opn/system/user/register.php HTTP/1.0" 200 52146 "http://www.rc-boote.at/opn/system/user/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
www.rc-boote.at***208.115.204.31 - - [29/Apr/2011:16:57:45 +0200] "POST /opn/system/user/index.php HTTP/1.0" 200 11444 "http://www.rc-boote.at/opn/system/user/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Der Aufruf kam aus den USA. Möglicherweise erfolgte die Löschung über eine Sicherheitslücke.

Für Tipps, wie ich das verhindern kann, wäre ich recht dankbar. Vermutlich würde es einmal helfen, die Registrierung von neuen Usern zu sperren - offenbar ist das Eindringen über die Registrierung gelungen.

Ciao,
Boby

Moderiert von: stefan, spinne
Forum:	Administration
Sie schreiben eine Antwort zum Thema:	Traurig, aber leider wahr - Site hacked!
Gehe zu:	OpenPHPNuke - das Open Source CMS Forum Index