Forum

Vielleicht mal ein Zwischenbericht ...

1:

Es waren Dateileichen vorhanden also Dateien die irgendwann mal in OPN waren aber dann nicht mehr gebraucht wurden oder verlagert wurden. Normalerweise werden die im update auf "bitte löschen" gesetzt. Ist hier warum auch immer (ist eine sehr alte Installation) nicht der Fall gewesen.

* Ich habe diese jetzt entfernt.

In wie weit das relevant ist, ist nicht sicher zusagen. Auf alle Fälle ist das entfernen anzuraten.

2: Ich habe die Dateien auf trunk gebracht; ist jetzt also top aktuell. War nötig weil ich verschiedene Funktionen für weitere Teste benötigte.

3: Das Cleaning Programm im Cache habe ich ein ungutes Gefühl.

In opn ist eins eingebaut was auch noch verschiedene anderes kann. Ich werde das darauf umstellen. Dauert nur etwas weil das mit dem Testen auf Grund der Sache so etwas Zeit braucht. Wenn es so läuft wie es soll dann Kannst den cron wieder einschlaten aber mit einer anderen URL die eben den OPN cron startet - und damit auch das löschen usw....

4:

Ich habe mal ein paar Prüfungen auf der Seite gemacht. Leider fängt der Cisco Router alle Angriffe recht ordentlich ab. Kommt nicht oft vor das ein Hoster das so abfängt.

5:

fck - Ist mir auch aufgefallen. Das muss ich allerdings noch genauer schauen.

Boby schrieb am 30.04.2011 um 19:11:18 Uhr folgendes:

@Stefan: Die IP 85.13.143.205 dürfte meinem Provider gehören - ich bin die andere IP gewesen (81.217.xxx.xxx), die an dem Tag via FTP aktiv war.

LG,
Boby

Richtig nur wieso geht ein anderer Server deines Hosters mit deinen ftp Daten bei dir rein und ändert was?

Boby schrieb am 30.04.2011 um 19:05:22 Uhr folgendes:

Hallo Gonzo, aktuell habe ich OPN 2.5.4 Revnr. 5553 drauf ..... Das sind mal die Infos vom Webserver (gemieteter shared Server - nicht dedicated): 

Vielleicht liegt das ursächliche Problem gar nicht bei Dir und Deiner Webseite.
Es wäre denkbar das der eigentliche "Übergriff" gar nicht in Deinem Bereich stattgefunden hat,
sondern bei einem anderen user beim selben Provider, oder sogar beim Provider selbst


Gruß
gonzo

Hi Gonzo,
naja, möglich ist Vieles - es könnte ja auch ein Mitarbeiter des Providers sich geirrt haben - und versehentlich ein falsches Verzeichnis vom Server gelöscht haben.

Ich habe meinem Hoster einmal ein paar Fragen in die Richtung "könnte da bei Euch was passiert sein?" geschickt - aber selbst wenn dort was passiert wäre, werde ich das nie beweisen können - egal, ob's ein Fehler eines Mitarbeiters, eine undichte Server-Struktur beim Provider am shared Server oder sonst etwas war...

Bis zu diesem Vorfall hatte ich zudem(leichtsinnigerweise) sowohl für meinen FTP-User als auch die Datenbank das gleiche Passwort. Wäre es ein gezielter Angriff gewesen, hätte der Einbrecher einfach nur die mainfile.php auslesen müssen - und hätte in der Datenbank ebenfalls Schaden anrichten können.

Deswegen glaube ich eher an ein Versehen (menschlich, technisch) - oder einen "lucky hit" von Skript Kiddies - aber keinen gezielten Datenklau oder eine gezielte, monatelang geplante Attacke.

LG,
Boby

Hallo Herr Kröss,

vielen Dank für Ihre Anfrage.

Dieser Zugriff ( Fri Apr 29 17:12:42 2011 0 ::ffff:85.13.143.205 418
/www/htdocs/vxxxxxx/.htaccess a _ o r vxxxxxx ftps 0 * c) wurde durch uns durchgeführt. Wir haben die .htaccess zur Prüfung nur einmal abgefragt. Eine Änderung wurde nicht durchgeführt.

Zur Analyse können Sie auch unser Auswertungstool verwenden:
http://ftplog-analizer.script-test.de/index.php .

Der Zugriff auf fremde Home-Verzeichnisse ist Aufgrund der OpenBasedir-Restriktion nicht möglich.

Bei weiteren Fragen stehen wir Ihnen gern zur Verfügung.

(User-ID wurde von mir verändert)

LG,
Boby