Forum

mich würde mal interessieren woran man erkennt dass es ein Angriff war. Also offtmals steht ja im Errorlig ausgelöst von User: darksweetys. Das ist dann wohl ne Sache die intern ist (nehm ich an)

Was be4deutet aber z.B.

- 404 - Fehler
Die gewünschte Seite wurde nicht gefunden.


Ausgelöst von der IP Adresse: 88.65.3.160 um 01.05.2006 12:43:24

Die URI die den Fehler ausgelöst hat war:
/home/e/erzandre/public_html//admin/openphpnuke/error.php?op=404

Die Error-Seite wurde aufgerufen von:
N/A


So und jetzt noch ein paar Infos

Browser : Mozilla/3.0 (compatible; Indy Library)
REMOTE_PORT : 36571
REMOTE_NAME : dslb-088-065-003-160.pools.arcor-ip.net
SERVER_PORT : 80
SERVER_PROTOCOL : HTTP/1.1
SERVER_SOFTWARE : Apache/2.0.48 (Linux/SuSE)
SERVER_NAME : erzandre.h103718.serverkompetenz.net
SERVER_ADDR : 81.169.166.160




REQUEST_URI=/admin/openphpnuke/error.php?op=404

user information
UNAME:anonymous
UID:1


Client=

* ua ::=> mozilla/3.0 (compatible; indy library)
* browser ::=> ns
* version ::=> 3.0
* maj_ver ::=> 3
* min_ver ::=> .0
* letter_ver ::=> Unknown
* javascript ::=> 1.1
* platform ::=> Unknown
* os ::=> Unknown
* ip ::=> 88.65.3.160
* cookies ::=>
* language ::=> en-us
* long_name ::=> mozilla
* gecko ::=> Unknown
* label ::=> 0
* shrinkinputbox ::=> 1
* dpi ::=> 96

Nur das man als Laie mal erkennt woran man erkennt das es ein böswilliger angriff war.

McBright schrieb am 01.05.2006 um 12:30:30 Uhr folgendes:

Salve

@ spinne, schon verstanden was er meinte und ich habs bereits im Einsatz. Ich meinte den Satz mit

problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen.

>
> bzw. verstehe ich es so, das trotz des EReg kein wirklicher Schutz da ist, korrigiert mich bitte wenn ich falsch liege....

*korrigiert*

der beitrag ist in zeitlichem abstand entstanden zuerst stand da nur das du es löschen sollst damit die seite ging dann erst kamm der fix (10 min später)

darksweetys schrieb am 01.05.2006 um 12:50:16 Uhr folgendes:

mich würde mal interessieren woran man erkennt dass es ein Angriff war. Also offtmals steht ja im Errorlig ausgelöst von User: darksweetys. Das ist dann wohl ne Sache die intern ist (nehm ich an)
.
.
Nur das man als Laie mal erkennt woran man erkennt das es ein böswilliger angriff war.

Lies mal meinen Beitrag etwas weiter oben, im Tracking (oder wenn du Zugriff hast auch im Serverlog, aber das meist mit zeitlicher Verzögerung verfügbar), kannst du sehen wo versucht wurde reinzukommen.

P.S. Kennt jemand www.thescourge.org? Scheint es auch erwischt zu haben.

besser gleich im serverlog, weil nicht jeder hat tracking aktiviert.....

Danke Webschmied, hattest Recht, hätte nur besser lesen sollen.

das Tracking molul hab ich mir wieder installiert. Wo finbdet man den Serverlog?

Ich weiss ihr müsst Euch vorkommen wie Lehrer die nem begriffstutzigen Schüler versuchen etwas beizubringen "fg" Aber wo das Forum schonmal so gut besucht ist...

darksweetys schrieb am 01.05.2006 um 13:13:16 Uhr folgendes:

das Tracking molul hab ich mir wieder installiert. Wo finbdet man den Serverlog?

Ich weiss ihr müsst Euch vorkommen wie Lehrer die nem begriffstutzigen Schüler versuchen etwas beizubringen "fg" Aber wo das Forum schonmal so gut besucht ist...

Nicht in OPN Das stellt dein Anbieter zur Verfügung, aber mit Webalizer ist glaube ich nicht viel Staat zu machen in der Beziehung. Auf vielen Servern findet sich, vom Provider bereitgestellt, ein Verzeichnis stats oder plesk-stat oder statistics. Dort sollten Logdateien drin sein, meist für eine Woche, der Rest in der Regel komprimiert. Aber wie gesagt, nur einmal am Tag aktualisiert, und im Textformat, du solltest also zur Auswertung noch ein Programm hinzuziehen.

aha, danke, hab ich gefunden, hilfe ist das ne Menge.

Aber wieder was dazugelernt.

Salve

@stefan, ich verlange nicht das jemand zaubert. Wir sind alle Menschen und das mit Plesk ist oder war unglücklich. das war nicht gegen Dich oder andere gemeint, ich meinte wirklich ernsthaft das man das Hotfix vielleicht anpassen sollte. Ist geschehen und das ist auch gut so.

Wie ich bereits schrieb, ich hatte den Hack nicht und kam aber halt in den Genuß das dafür die Seite down war. Außnahmsweise hatte ich tatsächlich mal kein Backup gemacht und ich Danke nochmals für die rasche Hilfe.

Wie gesagt, es war auch eigentlich eine Nachfrage. Gut, ist alles geklärt und Danke nochmals, hauptsache ist der Fix hilft den Leuten.

hi

2 meiner Seiten sind betroffen:

* bei der ersten sind alle Dateien vom Server gelöscht.

* bei der 2ten erscheint ein Schriftzug: "Here Arabic Saudi Virus For Hack" und "No no Virus jcJI Was here" --- im Hintergrund ein *.jpg und Musik...

Kann es sein, dass mein Virus ein anderer ist?
Ich hatte auf der ersten (kompl. gelöschten Seite) eine Diskussion zum Thema Karrikaturenstreit.

hmmmm... ich spiel mal Backup ein...