Autor | spinne |
Datum | 01.05.2006 09:17 |
Beiträge: | Das Security-Fix steht absoft zum Download zur Verfügung, die Versionen findet ihr im Downloadloadbereich |
Autor | McBright |
Datum | 01.05.2006 09:42 |
Beiträge: | Salve
Uodate des Sicherheitspatches auf einem defintiv reinem System ergibt: Weißen Hintrgrund: Hack Try: level1 Hiiilfe, die Seite ist weg, was muss ich machen???? |
Autor | stefan |
Datum | 01.05.2006 09:55 |
Beiträge: | wie heisst dein $root_path eigentlich |
Autor | McBright |
Datum | 01.05.2006 10:26 |
Beiträge: | Salve
Wenn Du das Verzeichnis meinst, das ist nicht anders als alle andere, sprich ich habe das auf einer Subdomain, siehe einfach den Banner unter dem Post, aber sonst gibt es da keine besonderen Sachen. /var/www/vhosts/alpenserver.at/subdomains/acrf/httpdocs Typische Pleskinstallation! So wie bei 100 anderen Providern auch! Sonst verzeih, vielleicht steh ich auf der Leitung und weiß nicht was Du meinst, weil momentan steht mir der Kopf 10cm unter Wasser, weil die Arbeit was da drin steckt in der Seite ist nicht wiedergutzumachen. Daher die Fragen: Was heißt Hack level: 1 Was kann ich dagegen machen Und wie kriege ich meine Seite wieder zium Laufen Seite: http://acrf.alpenserver.at Derzeit seit 1 Stunde wegen Sicherheitsupdate offline [ Diese Nachricht wurde bearbeitet von: McBright am 01.05.2006 10:32 (Originaldatum 01.05.2006 10:26) ] |
Autor | stefan |
Datum | 01.05.2006 10:36 |
Beiträge: | du hast irgendwann mal bei der installation dein $root_path angegeben. genau das wollte ich jetzt wissen. es steht in der mainfile.php
$root_path = 'weis ned was du da stehen hast'; wenn in dem 'weis ned was du da stehen hast' ein ftp oder ein http oder ein @ drin ist (was eigentlich nicht richtig wäre oder sein sollte) dann kommt es zu der meldung da eben über den weg der einbruch statt fand. rückgängig machen ist nicht das problem nur besteht dann eben kein schutz und das wäre das problem. problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen. aber gut in zeile master.php 162-164 if ( (substr_count ($root_path, 'http')>0) OR (substr_count ($root_path, 'ftp')>0) OR (substr_count ($root_path, '@')>0) ) { die ('Hack Try: level 1'); } das mal ändern in if (ereg ('^[(http)|(ftp)|(@)]',$root_path)) { die ('Hack Try: level 1'); } <span class="smalltext">[ Diese Nachricht wurde bearbeitet von: stefan am 01.05.2006 11:04 (Originaldatum 01.05.2006 10:36) ]</span> Erst nachlesen, dann nachdenken, dann nachfragen... http://www.catb.org/~esr/faqs/smart-questions.html openPHPnuke Developer [ Diese Nachricht wurde bearbeitet von: stefan am 01.05.2006 11:11 (Originaldatum 01.05.2006 10:36) ] |
Autor | McBright |
Datum | 01.05.2006 10:43 |
Beiträge: | Salve
Problem: Ich hatte keinen Einbruch!!!! Problem 2: in dem Rootpath steht kein @ ftp http sondern nur das httpdocs und das brauche ich! Den das ist der Ordner wo die Installation drinnen ist, und das ist bei Plesk Standart! Ich habe keine fremden Dateien auf dem System und ch wäre dankbar wenn mir irgendwie erklärt wie ich wieder die Seite bekomme! Wir stehen derzeit! Und ich meine mit Updatem, den was bringt es mir wenn die Seite angreifbar bleibt [ Diese Nachricht wurde bearbeitet von: McBright am 01.05.2006 11:07 (Originaldatum 01.05.2006 10:43) ] |
Autor | Webschmied |
Datum | 01.05.2006 11:12 |
Beiträge: | Wenn du dir 1000% sicher bist dass http nicht im Pfad vorkommt kommentiere in der neuen master.php Zeile 158 bis 160 aus, da wird der String http abgefragt. Gemeint ist nicht der Name des Standardordners httpdocs, sondern die Angabe als Protokoll. Wenn also deine Installation (nebst Pfad) sauber ist, ist diese Abfrage entbehrlich.
Info: Alle Server die Plesk verwenden haben httpdocs als Standard(root)Ordner, damit dürfte der Patch auf keinem Plesk-System funktionieren, bzw. fälschlich als anfällig angezeigt werden. Ob man die Sicherheitsabfrage auf "http://" ändern sollte, entzieht sich meiner Kenntnis. Ich sehe jedenfalls nach manueller Prüfung des Pfades keine Gefährdung mit o.g. Vorgehensweise. W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction |
Autor | stefan |
Datum | 01.05.2006 11:12 |
Beiträge: | s. meinen oberen beitrag |
Autor | McBright |
Datum | 01.05.2006 11:21 |
Beiträge: | Salve und Danke
Nicht nur Plesk ist davon betroffen, auch andere System wie Confixx etc.... Und ändern kann man das im übrigen nicht, weil z.B. Plesk diese Änderung glaube ich gar nicht vorsieht! Die Seite von uns läuft, aber jetzt muss man halt einen Bugfix zum Bugfix im Grunde machen, den ich will mal nicht wissen wieviele User genau das gleiche Problem bekommen bzw. ist das Problem im Grunde jetzt icht gelöst. |
Autor | zfkum |
Datum | 01.05.2006 11:24 |
Beiträge: | Woran erkenne ich denn, ob eine Seite angegriffen wurde?
Ciao, Mike |
Autor | spinne |
Datum | 01.05.2006 11:46 |
Beiträge: | a das se nimmer funktioniert und b. kannst auch in deinen logs nachschaun ob ein versuch eines hacks war |
Autor | darksweetys |
Datum | 01.05.2006 11:53 |
Beiträge: | das interesiert mich nun aber auch, im Errorlog? |
Autor | Gast |
Datum | 01.05.2006 11:53 |
Beiträge: | @ Mike
Bei erfolgreichem Angriff wird die Startseite ausgetauscht (index.php) Gibt da mittlerweilen verschiedenste Versionen. Wenn das bei dir nicht der Fall ist, dann kannst Du mal in die Server Logs schauen. Da findest Du eventuel Seitenaufrufe über die master.php GET /portal/master.php?root_path=http:......... Flash |
Autor | McBright |
Datum | 01.05.2006 11:57 |
Beiträge: | Salve
Versteht mich nicht falsch, aber der Security Fix sollte auch für Plesk bzw. andere Systeme gehen und das System "sicher" machen, den so wie ich das verstehe ist jetzt das System noch immer nicht sicher bei mir |
Autor | xweber |
Datum | 01.05.2006 12:10 |
Beiträge: | das mit dem "ereg" was, stefan gepostet hat, müsste auch auf plesk installtionen gehen. Bitte mal testen und berichten.
Alex |
Autor | McBright |
Datum | 01.05.2006 12:19 |
Beiträge: | Salve
Es geht, aber rückgängig machen ist nicht das problem nur besteht dann eben kein schutz und das wäre das problem. Ich zitiere jetzt nur das was Stephan so meinte. So wie ich das verstehe ist jetzt trotzdem kein Schutz da, und das macht die Sache nicht gerade besser. |
Autor | Webschmied |
Datum | 01.05.2006 12:22 |
Beiträge: | Kann ca. 30 (erfolglose) Angriffe auf ein Portal melden (verschiedene IP, verschiedene root_path-Verweise, vornehmlich auf Freespace-Anbieter), letzter heute gegen 9:43 Uhr. Angriff erfolgt auf system/article/master.php oder andere Module, aber immer master.php. Wie es scheint haben einige der Script-Kiddies sich die Seite erst einmal angesehen, andere sind gleich zur Sache gegangen. Ich bezweifle aber dass es speziell um OPN ging.
Leider waren auch keine Referer zu finden gewesen. P.S. Das Crack-Script liegt mir vor! P.P.S. Haben einen Referer von Google.com gefunden, in dem nach "powered by OpenPHPNuke" gesucht wurde. Allerdings erfolgte auf diesem Portal kein Einbruchsversuch. Tipp: Wer noch nicht hat Tracking einschalten! W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction [ Diese Nachricht wurde bearbeitet von: Webschmied am 01.05.2006 12:52 (Originaldatum 01.05.2006 12:22) ] |
Autor | spinne |
Datum | 01.05.2006 12:25 |
Beiträge: | stefan schrieb am 01.05.2006 um 10:36:09 Uhr folgendes:
alex meinte wohl das |
Autor | McBright |
Datum | 01.05.2006 12:30 |
Beiträge: | Salve
@ spinne, schon verstanden was er meinte und ich habs bereits im Einsatz. Ich meinte den Satz mit problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen. bzw. verstehe ich es so, das trotz des EReg kein wirklicher Schutz da ist, korrigiert mich bitte wenn ich falsch liege.... |
Autor | stefan |
Datum | 01.05.2006 12:50 |
Beiträge: | McBright schrieb am 01.05.2006 um 11:57:32 Uhr folgendes:
a) ist das hot-fix aus dem artikel bereits angepasst worden b) wird das update netter weise durch tine im hintergrund ebenfalls angepasst werden c) zaubern können wir nun auch nicht d) die konfigurationen sind sehr vielfältig das dieses mit plesk sofort nicht ging ist sagen wir mal pech. es ist nicht möglich alle systeme die es gibt vorher zutesten. nur um mal einen eindruck zu geben ... getestet wurde unter folgenden system jeweils 100% richtig konfiguriert teilweise mit Confixx (W) IIS 4 php 5.1.2 (L) apache 2.0.54 php 4.4.2 (W) apache 2.2.0 php 5.1.2 (L) apache 1.3.26 php 4.4.1 tatsache ist das eine richtige Server Config (100% richtig) eigentlich jeden angriff stoppen bzw verhindern kann. Klar ist das es leider viel zu viele schlechte installationen gibt. Es ist somit unmöglich jede auch nur denkbare Config zu testen. Es geht eben nicht anderes als das wenn Probleme da sind, sie gelöst werden. Und wenn es sein muss durch einen fix für einen fix für einen fix. Tut mir leid aber ich verstehe da das probnlem nicht wirklich es wird hier sicherlich schnell geholfen. Auf alle fälle so schnell wie möglich. Sicher unterscheiden wir zwischen wichtig und unwichtiger. Trotzdem wenn nicht jemand überstürzt irgendwas tut wovon er keine ahnung hat und uns auch ne moment zeit läst nach zudenken. kann man eigentlich alles irgendwie hinbiegen. der neuste fix sollte dann auch unter plesk gehen. und auch da wirken. aber auch das ändert nichts daran das eigentlich die php.ini angepasst werden sollte... da wo das problem sitzt. Wie heinz schon sagte wenn man uns nichts meldet oder sagt dann ist es auch nicht möglich zu reagieren. Und nochmal Backups sollte man immer haben oder wie wir adrenalin junky sein |
Autor | darksweetys |
Datum | 01.05.2006 12:50 |
Beiträge: | mich würde mal interessieren woran man erkennt dass es ein Angriff war. Also offtmals steht ja im Errorlig ausgelöst von User: darksweetys. Das ist dann wohl ne Sache die intern ist (nehm ich an)
Was be4deutet aber z.B. - 404 - Fehler Nur das man als Laie mal erkennt woran man erkennt das es ein böswilliger angriff war. |
Autor | stefan |
Datum | 01.05.2006 12:54 |
Beiträge: | McBright schrieb am 01.05.2006 um 12:30:30 Uhr folgendes:
*korrigiert* der beitrag ist in zeitlichem abstand entstanden zuerst stand da nur das du es löschen sollst damit die seite ging dann erst kamm der fix (10 min später) |
Autor | Webschmied |
Datum | 01.05.2006 13:03 |
Beiträge: | darksweetys schrieb am 01.05.2006 um 12:50:16 Uhr folgendes:
Lies mal meinen Beitrag etwas weiter oben, im Tracking (oder wenn du Zugriff hast auch im Serverlog, aber das meist mit zeitlicher Verzögerung verfügbar), kannst du sehen wo versucht wurde reinzukommen. P.S. Kennt jemand www.thescourge.org? Scheint es auch erwischt zu haben. W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction [ Diese Nachricht wurde bearbeitet von: Webschmied am 01.05.2006 13:08 (Originaldatum 01.05.2006 13:03) ] |
Autor | spinne |
Datum | 01.05.2006 13:06 |
Beiträge: | besser gleich im serverlog, weil nicht jeder hat tracking aktiviert..... |
Autor | darksweetys |
Datum | 01.05.2006 13:08 |
Beiträge: | Danke Webschmied, hattest Recht, hätte nur besser lesen sollen.
|
Autor | darksweetys |
Datum | 01.05.2006 13:13 |
Beiträge: | das Tracking molul hab ich mir wieder installiert. Wo finbdet man den Serverlog?
Ich weiss ihr müsst Euch vorkommen wie Lehrer die nem begriffstutzigen Schüler versuchen etwas beizubringen "fg" Aber wo das Forum schonmal so gut besucht ist... |
Autor | Webschmied |
Datum | 01.05.2006 13:36 |
Beiträge: | darksweetys schrieb am 01.05.2006 um 13:13:16 Uhr folgendes:
Nicht in OPN Das stellt dein Anbieter zur Verfügung, aber mit Webalizer ist glaube ich nicht viel Staat zu machen in der Beziehung. Auf vielen Servern findet sich, vom Provider bereitgestellt, ein Verzeichnis stats oder plesk-stat oder statistics. Dort sollten Logdateien drin sein, meist für eine Woche, der Rest in der Regel komprimiert. Aber wie gesagt, nur einmal am Tag aktualisiert, und im Textformat, du solltest also zur Auswertung noch ein Programm hinzuziehen. W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction |
Autor | darksweetys |
Datum | 01.05.2006 13:43 |
Beiträge: | aha, danke, hab ich gefunden, hilfe ist das ne Menge.
Aber wieder was dazugelernt. |
Autor | McBright |
Datum | 01.05.2006 14:51 |
Beiträge: | Salve
@stefan, ich verlange nicht das jemand zaubert. Wir sind alle Menschen und das mit Plesk ist oder war unglücklich. das war nicht gegen Dich oder andere gemeint, ich meinte wirklich ernsthaft das man das Hotfix vielleicht anpassen sollte. Ist geschehen und das ist auch gut so. Wie ich bereits schrieb, ich hatte den Hack nicht und kam aber halt in den Genuß das dafür die Seite down war. Außnahmsweise hatte ich tatsächlich mal kein Backup gemacht und ich Danke nochmals für die rasche Hilfe. Wie gesagt, es war auch eigentlich eine Nachfrage. Gut, ist alles geklärt und Danke nochmals, hauptsache ist der Fix hilft den Leuten. |
Autor | Froeschchen |
Datum | 01.05.2006 16:10 |
Beiträge: | hi
2 meiner Seiten sind betroffen: * bei der ersten sind alle Dateien vom Server gelöscht. * bei der 2ten erscheint ein Schriftzug: "Here Arabic Saudi Virus For Hack" und "No no Virus jcJI Was here" --- im Hintergrund ein *.jpg und Musik... Kann es sein, dass mein Virus ein anderer ist? Ich hatte auf der ersten (kompl. gelöschten Seite) eine Diskussion zum Thema Karrikaturenstreit. hmmmm... ich spiel mal Backup ein... |
Autor | BenQ |
Datum | 01.05.2006 16:49 |
Beiträge: | Also bei mir geht alles wunderbar!
Nur wollt ich mal fragen was den überhaupt speziell geändert wurde an der neuen version 2.3.5 |
Autor | Scout_GP |
Datum | 01.05.2006 16:58 |
Beiträge: | Also ich kenne außer meiner noch 3 weitere(wbb) Clan bzw. Age of Empires 3 Fan Seiten die gehackt wurden. Gruß Scout +++ Last.fm | Scoutweb +++ |
Autor | Froeschchen |
Datum | 01.05.2006 17:11 |
Beiträge: | ... und Scout... sieht das so aus wie bei mir? |
Autor | Froeschchen |
Datum | 01.05.2006 17:29 |
Beiträge: | die URL hilft nicht mehr... da ich gerade neu einspiele... aber ich habe hier im Thread auf Seite 3 einen Beitrag gepostet.
es sah so aus: http://freeforums.bizhat.com/new_forum.php das ist zwar nicht meine Seite, aber wenn Du dich beeilst kannst Du´s dir anschauen bevor die Betreiber neu einspielen. |
Autor | Scout_GP |
Datum | 01.05.2006 17:32 |
Beiträge: | Nö bei mir war ein großes Auge. Gruß Scout +++ Last.fm | Scoutweb +++ |
Autor | darksweetys |
Datum | 01.05.2006 19:06 |
Beiträge: | mit dem DemoText das weiss ich zufällig da jemand das gleiche Problem hatte.
Schaumal unter Admin/Einstellungen/Macros Da steht "Modul Demo txt. |
Autor | BenQ |
Datum | 01.05.2006 23:16 |
Beiträge: | Cool!
Das wars vielen Dank für deine hilfe! |
Diese Seite drucken Diese Seite schließen |
Dieser Artikel kommt von: OpenPHPNuke - das Open Source CMS |
http://www.openphpnuke.info/ |