Autor Gast
Datum 29.04.2011 22:00
Beiträge: stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Ich möchte nicht nerven und mir ist klar das dein Blutdruck in der jetzigen Situation angespannt ist ... Trotzdem interessiert mich natürlich brennend die Ursache. Daher ...

Nur mal so gefragt. In den Admin - diagnostig - file cleaner hast du nicht genutzt - und auch kein anderer - . (Würde ich auch von abraten)

Ich kann jetzt mal nur für ich sprechen - es gibt bei uns noch zwei weitere User, die Webmaster-Rechte haben. Die untersützten mich beim aktuell halten des Systems; klicken im Normalfall aber nicht auf irgendwelchen Funktionen herum (schon gar nicht, ohne zu fragen). Deshalb mal => "eher unwahrscheinlich".

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Du hast ein Admin mit Test... Passwort ist Sicher von dem.?

Naja, eine 12stellige willkürliche Zeichenkette war's natürlich nicht, aber es war alles dabei, was ein Passwort einigermaßen sicher macht (Gross-/Klein, Ziffern, Sonderzeichen). Habe gesehen, Du hast den User deaktiviert - und den letzten aktiven Testuser habe ich auch gleich deaktiviert - kann ich ja jederzeit wieder reaktivieren, wenn ich mag.

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Du nutzt smpt - das PW von dort ist nirgends sonst in Nutzung. Oder kannst du (das ist bei verschiedenen Hostern möglich) ggf. mit dem email Account einlogen im z.b. ftp.

Das SMTP-Passwort für unseren webmaster-Mailaccount war ein anderes (generiertes, sicheres) Passwort, das sonst nirgend funktioniert. Das ist auch bei meinem Hoster sehr strikt getrennt (da werden sogar die Usernamen generiert).

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Da bei dir

"exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice" Verboten sind, ist das in der Art "rm /opn -r" so nicht einfach möglich.

Teste alle Dateien und Verzeichnisse wenigstens ob nicht zusätzliche files existieren.

Wenn etwas dort ist dann ist die Wahrscheinlichkeit hoch das eine oder mehr Dateien hoch geladen wurden. Theoretisch in das zwar auch möglich das Dateien verändert wurden aber meistens ist schon das erste zutreffend. Veränderungen könnte man aber auch finden.

Was genau meinst Du damit? Das zurückgespielte Backup? Denn mein /opn-Folder war weg - mit allem, was es je darin gegeben hat. Sollte der Täter dort was abgelegt haben, hat er es gleich wieder mit gelöscht.

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Ich weiss nicht ob dein ftp Client auch .datei anzeigt. Verschiedene zeigen so was nicht an. Achte auch auf so was.

Also ich verwende Filezila - und z.B. eine .htaccess zeigt er mir an (hatte spannenderweise auch ein Datum von heute, hatte aber nur unverfänglichen Inhalt - Verweis auf die OPN-Fehlerseiten)

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Wenn du magst kannst du auch das ganze /opn zippen und mir senden. Dann vergleiche ich das selbst. Nur ein Angebot.

Gerne. Was genau bräuchtest Du? Das Cache-Verzeichnis vermutlich nicht - oder doch? Unsere Präsenz ist mittlerweile relativ groß (> 200 Aritkel, > 5.800 Forum posts, > 8.000 Medien in der Galerie, > 200 Links, 75 Downloads - würde mich mal interessieren, wo im Ranking der OPN-Installationen ich damit liege )

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Btw. ändere das ftp/db Passwort usw.

Done - alles geändert (FTP-User, Datenbank, mainfile.php - alles 16stellig, sichere Passwörter) - und für die Verwaltung habe ich mir gleich KeePass angelacht.

Danke für den - wie immer - exzellenten Support in dieser schweren Stunde!

Danke,
Boby


Diese Seite drucken
Diese Seite schließen

Dieser Artikel kommt von: OpenPHPNuke - das Open Source CMS
http://www.openphpnuke.info/