| Autor | Gast |
| Datum | 29.04.2011 17:34 |
| Beiträge: |  Leider hat's mich heute erwischt - von einer Minute auf die andere war plötzlich mein OPN-Verzeichnis am Server weg.
Auf Rückfrage bei meinem Hoster habe ich folgende Antwort erhalten: Hallo Herr Kröss, Für Tipps, wie ich das verhindern kann, wäre ich recht dankbar. Vermutlich würde es einmal helfen, die Registrierung von neuen Usern zu sperren - offenbar ist das Eindringen über die Registrierung gelungen. Ciao, Boby |
| Autor | stefan |
| Datum | 29.04.2011 18:01 |
| Beiträge: |  Hast du ein FTP log vom Server. Das log ist ist ja von oben zu einem Zeit x. Danach kommt nix mehr oder was? Also woher ist die Zeit so klar. Sprich das log muss viel länger sein. Also von der Art her alle logs besorgen die man findet.
Es ist ungewöhnlich (wenn ich es richtig verstanden habe) das das Verzeichnis gelöscht wurde. Meistens passieren andere Dinge. Hattest du die Errormails per eMail an dich versendet? Oder nur log File. Ist das Verzeichniss wirklich leer. Bist du auf trunk? So erstmal zum Anfang. Sind die Einstellungen noch genauso wie sie waren (php/Sicherheit usw.) Anmerkung check mal dein PC ggf. ist da ein ... am Werk. Bedenke auch das nicht alle Viren usw. von jedem Virenscanner erkannt werden. Rolf hatte hier ja schon mal 2 Tools genannt die recht ordentlich sind. |
| Autor | Gonzo |
| Datum | 29.04.2011 18:35 |
| Beiträge: | Hallo Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte. Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter helfen können, dafür ist die Thematik viel zu umfangreich. Auf was für einem OS wurde OPN installiert? Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme) Verwendest Du einen eigenen Server oder hast Du Webspace angemietet? Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)? Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest. Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten. Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer) Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das OPN-Verzeichniss auf dem Server selber zu löschen. Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde. Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du dieses Problem in Zukunft verhindern kannst. Gruß gonzo edit: Ich hatte den Text ursprünglich gelöscht da Stefan der sicherlich mehr dazu zu sagen weiss als ich schneller war. Aber da sich darauf berufen wurde habe ich es der Vollständigkeit halber wieder hergestellt. [ Diese Nachricht wurde bearbeitet von: Gonzo am 30.04.2011 16:08 (Originaldatum 29.04.2011 18:35) ] |
| Autor | stefan |
| Datum | 29.04.2011 18:58 |
| Beiträge: | Gonzo schrieb am 29.04.2011 um 18:35:36 Uhr folgendes:
Vielleicht noch zur Erweiterung und schon mal für andere der Hinweis. Hier auf der Seite wird aktiv geschützt dh. sobald auch nur der kleinste verdacht besteht wird der Zugriff auf Ebene von iptables gesperrt. Gehen die Angriffe weiter wird sogar im router gesperrt. Weiterhin sollte natürlich auch bedacht werden das Benutzer mehr Rechte haben als Ano. Dh. wenn ein Benutzer der Webmaster Rechte hat zugriff auf Anypage usw. und dessen Password nicht sicher ist. (Name der Frau ...) dann kann der Account missbraucht werden. Das ist eine sehr ernstes Problem und schwer zu lösen. |
| Autor | darksweetys |
| Datum | 29.04.2011 19:25 |
| Beiträge: | Also ich hatte ja vor Wochen ein ähnliches Problem. Allerdings hatte ich noch Glück, es wurde nichts gelöscht, nur jede index-Datei verändert. Das Problem war das ich einen Trojaner *SpyeEye* auf dem PC hatte. Dieser hat alle Passwörter ausgelesen, auch von FileZilla (Ftp). Mein herkömmlichers Antivirenprogramm (Kasparsky) hat den Schädling garnicht erkannt. Rolf empfahl mir Antimalwarebytes http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html Dieses Tool hat den Übeltäter zwar entfernt, allerdings bekam ich nach ner Woche Post von meiner Bank, diese hatte auch mitbekommen das jemand versucht hat auf mein Konto zuzugreifen. Leider musste ich mein System neu aufsetzen. Die Warscheinlichkeit das man selbst die Sicherheitslücke verursacht ist am höchsten. DarkSweetys |
| Autor | Gast |
| Datum | 29.04.2011 20:15 |
| Beiträge: | Hi,
ich habe mal Antimalwarebytes laufen lassen - es gab einen Fund: Malwarebytes' Anti-Malware 1.50.1.1100 Das ist allerdings nur ein Fake-Programm - und dazu noch dürfte sich dieses als Favorit im IE eingetragen haben - ich habe diesen aber sicher noch nie angeklickt (verwende Favoriten auf meinem PC kaum), daher kann ich damit ziemlicher Sicherheit auschließen. Der PC hängt auch nicht direkt im Netz, sondern dazwischen ist noch ein D-Link - Router mit eingebauter Firewall - vermutlich keine 100%ige Garantie, aber ein Schutz mehr. Habe daher auch keine eigene Firewall auf meinem PC hier laufen. Dass das OPN-Verzeichnis weg war, hat mich ebenfalls sehr überrascht - was mich aber auch überrascht, ist die Frage: Warum genau nur das Verzeichnis? Es liegen noch eine Menge andere Verzeichnisse im root (also auf der Ebene vom Verezeichnis /opn) - warum hat die Löschung genau und exakt nur das OPN-Verzeichnis betroffen? Vermutlich wäre sogar alles weg, wenn ich OPN im root gehabt hätte... Ich werde mal sehen, ob ich Logs am Server finde, die mehr Aufschluss bringen - und wenn nicht, diese vom Hoster anfordern. Die Angaben mit den "letzten Zugriffen" habe ich vom Provider per Mail erhalten. Ich war ja zu der Zeit gerade aktiv - und das Verzeichnis war von einer auf die andere Minute weg. Habe jetzt vom Provider ein Backup aufgespielt bekommen - ist halt vom 18.04., aber besser als nichts. In der Datenbank selbst dürfte nichts passiert sein. Mir schaut es so aus, als hätte ein "rm /opn -r" stattgefunden. Mal sehen, was die Logs besagen. Alles was unterhalb liegt, ist futsch - und auch das errorlog zeigt mir erst Einträge ab 20:00...per Mail lasse ich mir die Logs nicht schicken - da kämen täglich zig Mails an. Ciao, Boby |
| Autor | Gast |
| Datum | 29.04.2011 20:48 |
| Beiträge: | Was mich noch einfällt:
Ich hätte ein Mail bekommen, hätte sich ein User tatsächlich registriert. Sollte der Einbruch tats. über die Registierung erfolgt sein (evtl. habe ich ja auch ein paar Settings zu schwach gesetzt?), dann hat der Einbruch stattgefunden BEVOR OPN in der Lage war, das Mail an mich zu senden. Vielleicht hilft das ja. Außerdem bekomme ich jetzt eine neue Meldung, wenn ich im Admin-Panel (z.B. bei den Einstellungen) etwas speichere: -------------------------------------------------------------------------------- ERROR [2] chmod() [function.chmod]: Operation not permitted FOUND IN [class/class.file.php] FOUND AT 802 -------------------------------------------------------------------------------- Stellt sich die Frage...welches File betrifft das. Ciao, Boby |
| Autor | stefan |
| Datum | 29.04.2011 20:50 |
| Beiträge: | Ich möchte nicht nerven und mir ist klar das dein Blutdruck in der jetzigen Situation angespannt ist ... Trotzdem interessiert mich natürlich brennend die Ursache. Daher ...
Nur mal so gefragt. In den Admin - diagnostig - file cleaner hast du nicht genutzt - und auch kein anderer - . (Würde ich auch von abraten) Du hast ein Admin mit Test... Passwort ist Sicher von dem.? Du nutzt smpt - das PW von dort ist nirgends sonst in Nutzung. Oder kannst du (das ist bei verschiedenen Hostern möglich) ggf. mit dem email Account einlogen im z.b. ftp. Da bei dir "exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice" Verboten sind, ist das in der Art "rm /opn -r" so nicht einfach möglich. Teste alle Dateien und Verzeichnisse wenigstens ob nicht zusätzliche files existieren. Wenn etwas dort ist dann ist die Wahrscheinlichkeit hoch das eine oder mehr Dateien hoch geladen wurden. Theoretisch in das zwar auch möglich das Dateien verändert wurden aber meistens ist schon das erste zutreffend. Veränderungen könnte man aber auch finden. Ich weiss nicht ob dein ftp Client auch .datei anzeigt. Verschiedene zeigen so was nicht an. Achte auch auf so was. Wenn du magst kannst du auch das ganze /opn zippen und mir senden. Dann vergleiche ich das selbst. Nur ein Angebot. Btw. ändere das ftp/db Passwort usw. |
| Autor | Gast |
| Datum | 29.04.2011 22:00 |
| Beiträge: | stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:
Ich kann jetzt mal nur für ich sprechen - es gibt bei uns noch zwei weitere User, die Webmaster-Rechte haben. Die untersützten mich beim aktuell halten des Systems; klicken im Normalfall aber nicht auf irgendwelchen Funktionen herum (schon gar nicht, ohne zu fragen). Deshalb mal => "eher unwahrscheinlich". stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:
Naja, eine 12stellige willkürliche Zeichenkette war's natürlich nicht, aber es war alles dabei, was ein Passwort einigermaßen sicher macht (Gross-/Klein, Ziffern, Sonderzeichen). Habe gesehen, Du hast den User deaktiviert - und den letzten aktiven Testuser habe ich auch gleich deaktiviert - kann ich ja jederzeit wieder reaktivieren, wenn ich mag. stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:
Das SMTP-Passwort für unseren webmaster-Mailaccount war ein anderes (generiertes, sicheres) Passwort, das sonst nirgend funktioniert. Das ist auch bei meinem Hoster sehr strikt getrennt (da werden sogar die Usernamen generiert). stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:
Was genau meinst Du damit? Das zurückgespielte Backup? Denn mein /opn-Folder war weg - mit allem, was es je darin gegeben hat. Sollte der Täter dort was abgelegt haben, hat er es gleich wieder mit gelöscht. stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:
Also ich verwende Filezila - und z.B. eine .htaccess zeigt er mir an (hatte spannenderweise auch ein Datum von heute, hatte aber nur unverfänglichen Inhalt - Verweis auf die OPN-Fehlerseiten) stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:
Gerne. Was genau bräuchtest Du? Das Cache-Verzeichnis vermutlich nicht - oder doch? Unsere Präsenz ist mittlerweile relativ groß (> 200 Aritkel, > 5.800 Forum posts, > 8.000 Medien in der Galerie, > 200 Links, 75 Downloads - würde mich mal interessieren, wo im Ranking der OPN-Installationen ich damit liege  )
stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:
Done - alles geändert (FTP-User, Datenbank, mainfile.php - alles 16stellig, sichere Passwörter) - und für die Verwaltung habe ich mir gleich KeePass angelacht. Danke für den - wie immer - exzellenten Support in dieser schweren Stunde! Danke, Boby |
| Autor | Gast |
| Datum | 29.04.2011 22:03 |
| Beiträge: | Ach ja...das gesamte Logfile wird seitens des Hosters heute Nacht generiert - ich rühre mich, sobald ich es habe.
Bis dann, Boby |
| Autor | Gast |
| Datum | 29.04.2011 22:31 |
| Beiträge: | Habe mir mal die IP-Adresse angesehen, die im Log seitens des Providers genannt wurde: http://www.proxybase.de/de/details-2030485-26e7a757b98fa51d84d7a8a0f5b8ae54.htm
=> Transparent Proxy, na super... |
| Autor | stefan |
| Datum | 29.04.2011 23:19 |
| Beiträge: | Was genau meinst Du damit? Das zurückgespielte Backup? Denn mein /opn-Folder war weg - mit allem, was es je darin gegeben hat. Sollte der Täter dort was abgelegt haben, hat er es gleich wieder mit gelöscht. Ja schon klar nur sagen wir mal ich würde so was tun ... Dann wäre der Ablauf der folgende. Phase 1 : Vor Wochen bis Monate Test ob ich das System brechen kann. Automatisiert und nur die interessanten Seite vermerkt. Phase 2 : Genau wie Phase 1 mit dem Ergebniss aus 1 auch automatisiert. So ca. vor < 6 Monaten Phase 3 : Und hinein - root Zugang einbringen und tools Installieren. < vor 8-12 Wochen Phase 4 : Nutzung .... ca. 1-2 Wochen lang Phase 5 : Kill meine Spuren.... Dh. also es ist nicht ausgeschlossen das noch Türen installiert sind. Genau die wären auch in dem Backup enthalten sofern was da ist oder war. Auf jeden Fall muss man das Prüfen. Gerne. Was genau bräuchtest Du? Das Cache-Verzeichnis vermutlich nicht - oder doch? Wenn möglich komplett - wenn zu groß für ne eMail kann ich auch ne ftp Account einrichten. Oder mehrere eMails, oder wie auch immer ... Bin flexibel...
Nicht enttäuscht sein aber die umfangreichste Seite die ich kenne ist von just Er hat mehrere tausende! Seitenboxen / Anypages / Artikel usw. was du an Mediaen hast hat er alleine locker an Seitenboxen ... Hardcore pur ... Erst nachlesen, dann nachdenken, dann nachfragen... http://www.catb.org/~esr/faqs/smart-questions.html openPHPnuke Developer |
| Autor | Gast |
| Datum | 30.04.2011 09:09 |
| Beiträge: | Morgen Stefan,
you've got PN. Ich habe mittlerweile die Logs - und unter der "verdächtigen" IP-Adresse folgende Aktivitäten gefunden: 208.115.204.31 - - [29/Apr/2011:16:56:18 +0200] "GET /opn/system/user/register.php HTTP/1.0" 200 115052 "http://www.rc-boote.at/opn/system/user/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 208.115.204.31 - - [29/Apr/2011:16:56:39 +0200] "POST /opn/system/user/register.php HTTP/1.0" 200 52146 "http://www.rc-boote.at/opn/system/user/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 208.115.204.31 - - [29/Apr/2011:16:57:26 +0200] "GET /opn/system/user/index.php HTTP/1.0" 200 44154 "http://www.rc-boote.at/opn/system/user/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 208.115.204.31 - - [29/Apr/2011:16:57:45 +0200] "POST /opn/system/user/index.php HTTP/1.0" 200 11444 "http://www.rc-boote.at/opn/system/user/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" Auffallend ist, dass ich sonst nur GET requests im Log finde - und nur ganz wenige POSTS's - darunter die verdächtige IP-Adresse, die dafür auffallend viel POST's gemacht hat. Es gibt aber nach diesen Aktionen noch jede Menge protokollierte Zugriffe - können das die offenen Browser gewesen sein, die noch eine Seite offen hatten - und beim nächsten Klick ins Leere gegriffen haben? Ciao, Boby |
| Autor | stefan |
| Datum | 30.04.2011 11:32 |
| Beiträge: | Schau mal ins ftp log ungewöhnlich.
Du hast ja scheinbar eine feste IP. Aber 85.13.143.205 macht hier 2 mal etwas. Ungewöhnlich gehört scheinbar zu einem anderen Kunden deines Hosters. Ist aber nicht die IP deiner Seite. Danach waren deine ersten Zugriffe um 17:10:50 2011 ; kann das sein? vorher warst du nicht per ftp drauf. Nur mal so als gegen Kontrolle ob das Vollständig ist. Da läuft mindestens ein cron cache/cleanup_cache.php 85.13.133.62 - - [29/Apr/2011:17:00:02 +0200] "GET /opn/cache/cleanup_cache.php HTTP/1.1" 404 - "-" "cronBROWSE v0.91" 66.249.66.88 - - [29/Apr/2011:16:58:57 +0200] "GET /opn/modules/mediagallery/index.php?opnparams=A2hdLVdhAjcGcgw%2BWDlRJQZuBHoHYg0nDmQDNwIyU2xRNFxhUGoBZAg8CW4 HTTP/1.1" 200 2013 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 66.249.66.88 - - [29/Apr/2011:16:59:22 +0200] "GET /opn/modules/calendar/index.php?opnparams=A0NdPFcoAjQGOgxjWGxRZgY2BC0HNw05DiQDYgJhUyNRIVwlUCsBNwg0CTNcMAd5 HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 29/Apr/2011:16:58:57 -> War noch ok Kein weiterer Zugriff bis 29/Apr/2011:16:59:22 -> War nicht mehr ok Dann Zugriff durch den Cron. Da dieses so dicht am cron ist. Da braucht nur der Server vom cron ein Tick anderes laufen und schon passt es. Merkwürdige Zufälle. Ich hab mir cleanup_cache.php angesehen. Eigentlich ... sollte das so gehen aber da da hier pauschal alles gelöscht wird (unlink) und nicht alle Fehler abgefangen werden. Würde ich das so nicht machen. Das Resultat ist so nicht vorhersehbar. Wenn warum auch immer da einmal ein unlink('opn/'); auskommt dann hättest du genau das Ergebnis. Solche Funktionen baue ich inzwischen vorsichtiger. |
| Autor | Gast |
| Datum | 30.04.2011 12:20 |
| Beiträge: | Hi,
das mit dem cleanup-Cron war eine Notlösung, da OPN die session files nicht selbst gelöscht hat (hatte das auch mal hier gepostet). Das führte dazu, dass ich mit meinem FTP-Client nicht mehr ins Cache-Verzeichnis wecheln konnte (timeout). Den Rest sehe ich mir später an - bin heute leider unterwegs. Ciao, Boby |
| Autor | Gast |
| Datum | 30.04.2011 16:02 |
| Beiträge: | Hallo Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte. Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter helfen können, dafür ist die Thematik viel zu umfangreich. Auf was für einem OS wurde OPN installiert? Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme) Verwendest Du einen eigenen Server oder hast Du Webspace angemietet? Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)? Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest. Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten. Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer) Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das OPN-Verzeichniss auf dem Server selber zu löschen. Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde. Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du dieses Problem in Zukunft verhindern kannst. Gruß gonzo edit: Ich hatte den Text ursprünglich gelöscht da Stefan der sicherlich mehr dazu zu sagen weiss als ich schneller war. Aber da sich darauf berufen wurde habe ich es der Vollständigkeit halber wieder hergestellt. |
| Autor | Gonzo |
| Datum | 30.04.2011 16:07 |
| Beiträge: | bitte löscht den obigen Text, ich wollte meinen alten Text editieren allerdings war ich dummerweise nicht angemeldet. Sorry für den "Textstreß". |
| Autor | Gast |
| Datum | 30.04.2011 19:05 |
| Beiträge: | Hallo Gonzo,
aktuell habe ich OPN 2.5.4 Revnr. 5553 drauf (soeben nachgesehen - kann sein, dass Stefan da schon was Neues draufgepackt hat). Das sind mal die Infos vom Webserver (gemieteter shared Server - nicht dedicated): PHP Version: 5.2.12-nmm2 PHP SAVE MODE: NO (der war m.E. YES => vermutlich von Stefan für Tests umgedreht) PHP Memory Limit: 32M MySQL Server Version: 5.0.51a-3ubuntu5.8-log MySQL Client Version: 5.1.43 sqlite Server Version: 2.8.17 •description ::=> 5.0.51a-3ubuntu5.8-log •version ::=> 5.0.51 "Fremde" Codeschnippsel gibt's eigentlich nicht - lediglich der Marquee-Banner auf der Startseite ist (via Anypage) nicht aus meiner bzw. OPN's Feder. Dann gäbe es da noch den cache-cleaner (werde den Cron mal stillegen - hätte dann aber gerne einen Tipp, wie ich verhindere dass 100.000te sess-Files im Cache-Verzeichnis liegen bleiben. Was ich mir auch noch vorstellen könnte, ist dass man über den FCK-Editor schädlichen Code hochladen könnte (über den Image-Uploader)- der nimmt mehr oder weniger wortlos Files entgegen & lädt sie hoch - die liegen dann im Cache-Verzeichnis & wenn man den URL kennt, kann man dort von außen drauf. Aber dafür hätte ich keine Anzeichen in den Logs gefunden... Das ist mal das, was ich auf die Schnelle beantworten kann. Ciao, Boby |
| Autor | Gast |
| Datum | 30.04.2011 19:08 |
| Beiträge: | So,
Cron-Job ist Geschichte - übrigens war dieser "STÜNDLICH für die Minute 00" eingerichtet. LG, Boby |
| Autor | Gast |
| Datum | 30.04.2011 19:11 |
| Beiträge: | @Stefan: Die IP 85.13.143.205 dürfte meinem Provider gehören - ich bin die andere IP gewesen (81.217.xxx.xxx), die an dem Tag via FTP aktiv war.
LG, Boby |
| Autor | stefan |
| Datum | 30.04.2011 20:55 |
| Beiträge: | Vielleicht mal ein Zwischenbericht ...
1: Es waren Dateileichen vorhanden also Dateien die irgendwann mal in OPN waren aber dann nicht mehr gebraucht wurden oder verlagert wurden. Normalerweise werden die im update auf "bitte löschen" gesetzt. Ist hier warum auch immer (ist eine sehr alte Installation) nicht der Fall gewesen. * Ich habe diese jetzt entfernt. In wie weit das relevant ist, ist nicht sicher zusagen. Auf alle Fälle ist das entfernen anzuraten. 2: Ich habe die Dateien auf trunk gebracht; ist jetzt also top aktuell. War nötig weil ich verschiedene Funktionen für weitere Teste benötigte. 3: Das Cleaning Programm im Cache habe ich ein ungutes Gefühl. In opn ist eins eingebaut was auch noch verschiedene anderes kann. Ich werde das darauf umstellen. Dauert nur etwas weil das mit dem Testen auf Grund der Sache so etwas Zeit braucht. Wenn es so läuft wie es soll dann Kannst den cron wieder einschlaten aber mit einer anderen URL die eben den OPN cron startet - und damit auch das löschen usw.... 4: Ich habe mal ein paar Prüfungen auf der Seite gemacht. Leider fängt der Cisco Router alle Angriffe recht ordentlich ab. Kommt nicht oft vor das ein Hoster das so abfängt. 5: fck - Ist mir auch aufgefallen. Das muss ich allerdings noch genauer schauen. Erst nachlesen, dann nachdenken, dann nachfragen... http://www.catb.org/~esr/faqs/smart-questions.html openPHPnuke Developer |
| Autor | stefan |
| Datum | 30.04.2011 20:57 |
| Beiträge: | Boby schrieb am 30.04.2011 um 19:11:18 Uhr folgendes:
Richtig nur wieso geht ein anderer Server deines Hosters mit deinen ftp Daten bei dir rein und ändert was? |
| Autor | Gonzo |
| Datum | 30.04.2011 23:26 |
| Beiträge: | Boby schrieb am 30.04.2011 um 19:05:22 Uhr folgendes:Hallo Gonzo, aktuell habe ich OPN 2.5.4 Revnr. 5553 drauf ..... Das sind mal die Infos vom Webserver (gemieteter shared Server - nicht dedicated): Vielleicht liegt das ursächliche Problem gar nicht bei Dir und Deiner Webseite. Es wäre denkbar das der eigentliche "Übergriff" gar nicht in Deinem Bereich stattgefunden hat, sondern bei einem anderen user beim selben Provider, oder sogar beim Provider selbst Gruß gonzo |
| Autor | Gast |
| Datum | 01.05.2011 00:14 |
| Beiträge: | Hi Gonzo,
naja, möglich ist Vieles - es könnte ja auch ein Mitarbeiter des Providers sich geirrt haben - und versehentlich ein falsches Verzeichnis vom Server gelöscht haben. Ich habe meinem Hoster einmal ein paar Fragen in die Richtung "könnte da bei Euch was passiert sein?" geschickt - aber selbst wenn dort was passiert wäre, werde ich das nie beweisen können - egal, ob's ein Fehler eines Mitarbeiters, eine undichte Server-Struktur beim Provider am shared Server oder sonst etwas war... Bis zu diesem Vorfall hatte ich zudem(leichtsinnigerweise) sowohl für meinen FTP-User als auch die Datenbank das gleiche Passwort. Wäre es ein gezielter Angriff gewesen, hätte der Einbrecher einfach nur die mainfile.php auslesen müssen - und hätte in der Datenbank ebenfalls Schaden anrichten können. Deswegen glaube ich eher an ein Versehen (menschlich, technisch) - oder einen "lucky hit" von Skript Kiddies - aber keinen gezielten Datenklau oder eine gezielte, monatelang geplante Attacke. LG, Boby |
| Autor | Gast |
| Datum | 01.05.2011 11:40 |
| Beiträge: | Hallo Herr Kröss, (User-ID wurde von mir verändert) LG, Boby |
 Diese Seite drucken
 Diese Seite schließen
|
Dieser Artikel kommt von: OpenPHPNuke - das Open Source CMS |
| http://www.openphpnuke.info/ |