Forum

Moderiert von: stefan, spinne
Forum Index
Support
     Administration
     Traurig, aber leider wahr - Site hacked!
Hilfe anzeigen
Hilfe anzeigen

Seite 1 2 3 nächste Seite 


Autor Druckerfreundliche DarstellungTraurig, aber leider wahr - Site hacked!
Gast
Unregistrierter Benutzer
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 17:34

Leider hat's mich heute erwischt - von einer Minute auf die andere war plötzlich mein OPN-Verzeichnis am Server weg.

Auf Rückfrage bei meinem Hoster habe ich folgende Antwort erhalten:

Hallo Herr Kröss,

vielen Dank für Ihre E-Mail.

Das Verzeichnis wurde nicht per FTP gelöscht. Hier der letzte Aufruf des Forums:

www.rc-boote.at***208.115.204.31 - - [29/Apr/2011:16:56:39 +0200] "POST /opn/system/user/register.php HTTP/1.0" 200 52146 "http://www.rc-boote.at/opn/system/user/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
www.rc-boote.at***208.115.204.31 - - [29/Apr/2011:16:57:45 +0200] "POST /opn/system/user/index.php HTTP/1.0" 200 11444 "http://www.rc-boote.at/opn/system/user/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Der Aufruf kam aus den USA. Möglicherweise erfolgte die Löschung über eine Sicherheitslücke.


Für Tipps, wie ich das verhindern kann, wäre ich recht dankbar. Vermutlich würde es einmal helfen, die Registrierung von neuen Usern zu sperren - offenbar ist das Eindringen über die Registrierung gelungen.

Ciao,
Boby
[addsig]

Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 18:01

Hast du ein FTP log vom Server. Das log ist ist ja von oben zu einem Zeit x. Danach kommt nix mehr oder was? Also woher ist die Zeit so klar. Sprich das log muss viel länger sein. Also von der Art her alle logs besorgen die man findet.

Es ist ungewöhnlich (wenn ich es richtig verstanden habe) das das Verzeichnis gelöscht wurde. Meistens passieren andere Dinge.

Hattest du die Errormails per eMail an dich versendet? Oder nur log File.

Ist das Verzeichniss wirklich leer. Bist du auf trunk? So erstmal zum Anfang. Sind die Einstellungen noch genauso wie sie waren (php/Sicherheit usw.)

Anmerkung check mal dein PC ggf. ist da ein ... am Werk. Bedenke auch das nicht alle Viren usw. von jedem Virenscanner erkannt werden.

Rolf hatte hier ja schon mal 2 Tools genannt die recht ordentlich sind.


Zitieren Druckerfreundliche Darstellung nach oben
Gonzo

Registriert: 09.11.2003
Beiträge: 78


Sende eine Private Nachricht an Gonzo
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 18:35


Hallo

Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte.
Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter
helfen können, dafür ist die Thematik viel zu umfangreich.

Auf was für einem OS wurde OPN installiert?
Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme)
Verwendest Du einen eigenen Server oder hast Du Webspace angemietet?
Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)?
Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest.

Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten.
Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen
und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer)
Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das
OPN-Verzeichniss auf dem Server selber zu löschen.
Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde.

Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du
dieses Problem in Zukunft verhindern kannst.

Gruß
gonzo



edit:
Ich hatte den Text ursprünglich gelöscht da Stefan der sicherlich mehr dazu zu sagen weiss als ich schneller war.
Aber da sich darauf berufen wurde habe ich es der Vollständigkeit halber wieder hergestellt.


[ Diese Nachricht wurde bearbeitet von: Gonzo am 30.04.2011 16:08 (Originaldatum 29.04.2011 18:35) ]


Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 18:58

Gonzo schrieb am 29.04.2011 um 18:35:36 Uhr folgendes:


Hallo

Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte.
Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter
helfen können, dafür ist die Thematik viel zu umfangreich.

Auf was für einem OS wurde OPN installiert?
Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme)
Verwendest Du einen eigenen Server oder hast Du Webspace angemietet?
Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)?
Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest.

Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten.
Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen
und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer)
Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das
OPN-Verzeichniss auf dem Server selber zu löschen.
Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde.

Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du
dieses Problem in Zukunft verhindern kannst.


Gruß
gonzo



Vielleicht noch zur Erweiterung und schon mal für andere der Hinweis.

Hier auf der Seite wird aktiv geschützt dh. sobald auch nur der kleinste verdacht besteht wird der Zugriff auf Ebene von iptables gesperrt. Gehen die Angriffe weiter wird sogar im router gesperrt.

Weiterhin sollte natürlich auch bedacht werden das Benutzer mehr Rechte haben als Ano. Dh. wenn ein Benutzer der Webmaster Rechte hat zugriff auf Anypage usw. und dessen Password nicht sicher ist. (Name der Frau ...) dann kann der Account missbraucht werden. Das ist eine sehr ernstes Problem und schwer zu lösen.


Zitieren Druckerfreundliche Darstellung nach oben
darksweetys
Registriert: 28.12.2005
Beiträge: 638


Sende eine Private Nachricht an darksweetys Besuche die Homepage von darksweetys
MSNM
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 19:25

Also ich hatte ja vor Wochen ein ähnliches Problem. Allerdings hatte ich noch Glück, es wurde nichts gelöscht, nur jede index-Datei verändert.

Das Problem war das ich einen Trojaner *SpyeEye* auf dem PC hatte. Dieser hat alle Passwörter ausgelesen, auch von FileZilla (Ftp).

Mein herkömmlichers Antivirenprogramm (Kasparsky) hat den Schädling garnicht erkannt.

Rolf empfahl mir Antimalwarebytes
http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html
Dieses Tool hat den Übeltäter zwar entfernt, allerdings bekam ich nach ner Woche Post von meiner Bank, diese hatte auch mitbekommen das jemand versucht hat auf mein Konto zuzugreifen.

Leider musste ich mein System neu aufsetzen.

Die Warscheinlichkeit das man selbst die Sicherheitslücke verursacht ist am höchsten.



DarkSweetys

Zitieren Druckerfreundliche Darstellung nach oben
Gast
Unregistrierter Benutzer
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 20:15

Hi,
ich habe mal Antimalwarebytes laufen lassen - es gab einen Fund:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6474

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.04.2011 20:01:14
mbam-log-2011-04-29 (20-01-14).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155511
Laufzeit: 5 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:favoritenmp3 download.url (Rogue.Link) -> Quarantined and deleted successfully.

Das ist allerdings nur ein Fake-Programm - und dazu noch dürfte sich dieses als Favorit im IE eingetragen haben - ich habe diesen aber sicher noch nie angeklickt (verwende Favoriten auf meinem PC kaum), daher kann ich damit ziemlicher Sicherheit auschließen.

Der PC hängt auch nicht direkt im Netz, sondern dazwischen ist noch ein D-Link - Router mit eingebauter Firewall - vermutlich keine 100%ige Garantie, aber ein Schutz mehr. Habe daher auch keine eigene Firewall auf meinem PC hier laufen.

Dass das OPN-Verzeichnis weg war, hat mich ebenfalls sehr überrascht - was mich aber auch überrascht, ist die Frage: Warum genau nur das Verzeichnis? Es liegen noch eine Menge andere Verzeichnisse im root (also auf der Ebene vom Verezeichnis /opn) - warum hat die Löschung genau und exakt nur das OPN-Verzeichnis betroffen?
Vermutlich wäre sogar alles weg, wenn ich OPN im root gehabt hätte...

Ich werde mal sehen, ob ich Logs am Server finde, die mehr Aufschluss bringen - und wenn nicht, diese vom Hoster anfordern. Die Angaben mit den "letzten Zugriffen" habe ich vom Provider per Mail erhalten.

Ich war ja zu der Zeit gerade aktiv - und das Verzeichnis war von einer auf die andere Minute weg.

Habe jetzt vom Provider ein Backup aufgespielt bekommen - ist halt vom 18.04., aber besser als nichts. In der Datenbank selbst dürfte nichts passiert sein.

Mir schaut es so aus, als hätte ein "rm /opn -r" stattgefunden. Mal sehen, was die Logs besagen.
Alles was unterhalb liegt, ist futsch - und auch das errorlog zeigt mir erst Einträge ab 20:00...per Mail lasse ich mir die Logs nicht schicken - da kämen täglich zig Mails an.

Ciao,
Boby
[addsig]

Zitieren Druckerfreundliche Darstellung nach oben
Gast
Unregistrierter Benutzer
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 20:48

Was mich noch einfällt:
Ich hätte ein Mail bekommen, hätte sich ein User tatsächlich registriert.

Sollte der Einbruch tats. über die Registierung erfolgt sein (evtl. habe ich ja auch ein paar Settings zu schwach gesetzt?), dann hat der Einbruch stattgefunden BEVOR OPN in der Lage war, das Mail an mich zu senden. Vielleicht hilft das ja.

Außerdem bekomme ich jetzt eine neue Meldung, wenn ich im Admin-Panel (z.B. bei den Einstellungen) etwas speichere:

--------------------------------------------------------------------------------
ERROR [2] chmod() [function.chmod]: Operation not permitted
FOUND IN [class/class.file.php]
FOUND AT 802

--------------------------------------------------------------------------------

Stellt sich die Frage...welches File betrifft das.

Ciao,
Boby
[addsig]

Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 20:50

Ich möchte nicht nerven und mir ist klar das dein Blutdruck in der jetzigen Situation angespannt ist ... Trotzdem interessiert mich natürlich brennend die Ursache. Daher ...

Nur mal so gefragt. In den Admin - diagnostig - file cleaner hast du nicht genutzt - und auch kein anderer - . (Würde ich auch von abraten)

Du hast ein Admin mit Test... Passwort ist Sicher von dem.?

Du nutzt smpt - das PW von dort ist nirgends sonst in Nutzung. Oder kannst du (das ist bei verschiedenen Hostern möglich) ggf. mit dem email Account einlogen im z.b. ftp.

Da bei dir

"exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice" Verboten sind, ist das in der Art "rm /opn -r" so nicht einfach möglich.

Teste alle Dateien und Verzeichnisse wenigstens ob nicht zusätzliche files existieren.

Wenn etwas dort ist dann ist die Wahrscheinlichkeit hoch das eine oder mehr Dateien hoch geladen wurden. Theoretisch in das zwar auch möglich das Dateien verändert wurden aber meistens ist schon das erste zutreffend. Veränderungen könnte man aber auch finden.

Ich weiss nicht ob dein ftp Client auch .datei anzeigt. Verschiedene zeigen so was nicht an. Achte auch auf so was.

Wenn du magst kannst du auch das ganze /opn zippen und mir senden. Dann vergleiche ich das selbst. Nur ein Angebot.

Btw. ändere das ftp/db Passwort usw.


Zitieren Druckerfreundliche Darstellung nach oben
Gast
Unregistrierter Benutzer
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 22:00

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Ich möchte nicht nerven und mir ist klar das dein Blutdruck in der jetzigen Situation angespannt ist ... Trotzdem interessiert mich natürlich brennend die Ursache. Daher ...

Nur mal so gefragt. In den Admin - diagnostig - file cleaner hast du nicht genutzt - und auch kein anderer - . (Würde ich auch von abraten)

Ich kann jetzt mal nur für ich sprechen - es gibt bei uns noch zwei weitere User, die Webmaster-Rechte haben. Die untersützten mich beim aktuell halten des Systems; klicken im Normalfall aber nicht auf irgendwelchen Funktionen herum (schon gar nicht, ohne zu fragen). Deshalb mal => "eher unwahrscheinlich".

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Du hast ein Admin mit Test... Passwort ist Sicher von dem.?

Naja, eine 12stellige willkürliche Zeichenkette war's natürlich nicht, aber es war alles dabei, was ein Passwort einigermaßen sicher macht (Gross-/Klein, Ziffern, Sonderzeichen). Habe gesehen, Du hast den User deaktiviert - und den letzten aktiven Testuser habe ich auch gleich deaktiviert - kann ich ja jederzeit wieder reaktivieren, wenn ich mag.

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Du nutzt smpt - das PW von dort ist nirgends sonst in Nutzung. Oder kannst du (das ist bei verschiedenen Hostern möglich) ggf. mit dem email Account einlogen im z.b. ftp.

Das SMTP-Passwort für unseren webmaster-Mailaccount war ein anderes (generiertes, sicheres) Passwort, das sonst nirgend funktioniert. Das ist auch bei meinem Hoster sehr strikt getrennt (da werden sogar die Usernamen generiert).

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Da bei dir

"exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice" Verboten sind, ist das in der Art "rm /opn -r" so nicht einfach möglich.

Teste alle Dateien und Verzeichnisse wenigstens ob nicht zusätzliche files existieren.

Wenn etwas dort ist dann ist die Wahrscheinlichkeit hoch das eine oder mehr Dateien hoch geladen wurden. Theoretisch in das zwar auch möglich das Dateien verändert wurden aber meistens ist schon das erste zutreffend. Veränderungen könnte man aber auch finden.

Was genau meinst Du damit? Das zurückgespielte Backup? Denn mein /opn-Folder war weg - mit allem, was es je darin gegeben hat. Sollte der Täter dort was abgelegt haben, hat er es gleich wieder mit gelöscht.

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Ich weiss nicht ob dein ftp Client auch .datei anzeigt. Verschiedene zeigen so was nicht an. Achte auch auf so was.

Also ich verwende Filezila - und z.B. eine .htaccess zeigt er mir an (hatte spannenderweise auch ein Datum von heute, hatte aber nur unverfänglichen Inhalt - Verweis auf die OPN-Fehlerseiten)

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Wenn du magst kannst du auch das ganze /opn zippen und mir senden. Dann vergleiche ich das selbst. Nur ein Angebot.

Gerne. Was genau bräuchtest Du? Das Cache-Verzeichnis vermutlich nicht - oder doch? Unsere Präsenz ist mittlerweile relativ groß (> 200 Aritkel, > 5.800 Forum posts, > 8.000 Medien in der Galerie, > 200 Links, 75 Downloads - würde mich mal interessieren, wo im Ranking der OPN-Installationen ich damit liege )

stefan schrieb am 29.04.2011 um 20:50:03 Uhr folgendes:

Btw. ändere das ftp/db Passwort usw.

Done - alles geändert (FTP-User, Datenbank, mainfile.php - alles 16stellig, sichere Passwörter) - und für die Verwaltung habe ich mir gleich KeePass angelacht.

Danke für den - wie immer - exzellenten Support in dieser schweren Stunde!

Danke,
Boby
[addsig]

Zitieren Druckerfreundliche Darstellung nach oben
Gast
Unregistrierter Benutzer
Traurig, aber leider wahr - Site hacked!

Geschrieben: 29.04.2011 22:03

Ach ja...das gesamte Logfile wird seitens des Hosters heute Nacht generiert - ich rühre mich, sobald ich es habe.

Bis dann,
Boby
[addsig]

Zitieren Druckerfreundliche Darstellung nach oben
sortieren nach
Seite 1 2 3 nächste Seite 

Hilfe anzeigen
Hilfe anzeigen
Vorheriges Thema:  Ignore HTML-Filter
Nächstes Thema:  Was hab ich da nur gemacht...

Gehe zu:

Benutzername:
 
Sicherheits-Code
Sicherheits-Code
Neu laden