Forum

Moderiert von: stefan, spinne
Forum Index
Support
     Installation und Update
     Security-Fix
Hilfe anzeigen
Hilfe anzeigen

Seite 1 2 3 4 vorherige Seite nächste Seite 


Autor Druckerfreundliche DarstellungSecurity-Fix
darksweetys
Registriert: 28.12.2005
Beiträge: 638


Sende eine Private Nachricht an darksweetys Besuche die Homepage von darksweetys
MSNM
Geschrieben: 01.05.2006 12:50

mich würde mal interessieren woran man erkennt dass es ein Angriff war. Also offtmals steht ja im Errorlig ausgelöst von User: darksweetys. Das ist dann wohl ne Sache die intern ist (nehm ich an)

Was be4deutet aber z.B.

- 404 - Fehler
Die gewünschte Seite wurde nicht gefunden.


Ausgelöst von der IP Adresse: 88.65.3.160 um 01.05.2006 12:43:24

Die URI die den Fehler ausgelöst hat war:
/home/e/erzandre/public_html//admin/openphpnuke/error.php?op=404

Die Error-Seite wurde aufgerufen von:
N/A


So und jetzt noch ein paar Infos

Browser : Mozilla/3.0 (compatible; Indy Library)
REMOTE_PORT : 36571
REMOTE_NAME : dslb-088-065-003-160.pools.arcor-ip.net
SERVER_PORT : 80
SERVER_PROTOCOL : HTTP/1.1
SERVER_SOFTWARE : Apache/2.0.48 (Linux/SuSE)
SERVER_NAME : erzandre.h103718.serverkompetenz.net
SERVER_ADDR : 81.169.166.160




REQUEST_URI=/admin/openphpnuke/error.php?op=404

user information
UNAME:anonymous
UID:1


Client=

* ua ::=> mozilla/3.0 (compatible; indy library)
* browser ::=> ns
* version ::=> 3.0
* maj_ver ::=> 3
* min_ver ::=> .0
* letter_ver ::=> Unknown
* javascript ::=> 1.1
* platform ::=> Unknown
* os ::=> Unknown
* ip ::=> 88.65.3.160
* cookies ::=>
* language ::=> en-us
* long_name ::=> mozilla
* gecko ::=> Unknown
* label ::=> 0
* shrinkinputbox ::=> 1
* dpi ::=> 96


Nur das man als Laie mal erkennt woran man erkennt das es ein böswilliger angriff war.


Zitieren Druckerfreundliche Darstellung nach oben
stefan
Wohnort: Münster


Sende eine Private Nachricht an stefan
ICQ
Geschrieben: 01.05.2006 12:54

McBright schrieb am 01.05.2006 um 12:30:30 Uhr folgendes:

Salve

@ spinne, schon verstanden was er meinte und ich habs bereits im Einsatz. Ich meinte den Satz mit

problem ist das du da dann wohl httpdocs drin hast. ist eigentllich nicht zu empfehlen.

>
> bzw. verstehe ich es so, das trotz des EReg kein wirklicher Schutz da ist, korrigiert mich bitte wenn ich falsch liege....


*korrigiert*

der beitrag ist in zeitlichem abstand entstanden zuerst stand da nur das du es löschen sollst damit die seite ging dann erst kamm der fix (10 min später)


Zitieren Druckerfreundliche Darstellung nach oben
Webschmied

Registriert: 02.09.2001
Beiträge: 540
Wohnort: Dresden


Sende eine Private Nachricht an Webschmied Besuche die Homepage von Webschmied
ICQ
Geschrieben: 01.05.2006 13:03

darksweetys schrieb am 01.05.2006 um 12:50:16 Uhr folgendes:

mich würde mal interessieren woran man erkennt dass es ein Angriff war. Also offtmals steht ja im Errorlig ausgelöst von User: darksweetys. Das ist dann wohl ne Sache die intern ist (nehm ich an)
.
.
Nur das man als Laie mal erkennt woran man erkennt das es ein böswilliger angriff war.


Lies mal meinen Beitrag etwas weiter oben, im Tracking (oder wenn du Zugriff hast auch im Serverlog, aber das meist mit zeitlicher Verzögerung verfügbar), kannst du sehen wo versucht wurde reinzukommen.

P.S. Kennt jemand www.thescourge.org? Scheint es auch erwischt zu haben.



W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction

[ Diese Nachricht wurde bearbeitet von: Webschmied am 01.05.2006 13:08 (Originaldatum 01.05.2006 13:03) ]

Zitieren Druckerfreundliche Darstellung nach oben
spinne
Registriert: 21.08.2003
Wohnort: Luzern


Sende eine Private Nachricht an spinne Besuche die Homepage von spinne
Geschrieben: 01.05.2006 13:06

besser gleich im serverlog, weil nicht jeder hat tracking aktiviert.....


Zitieren Druckerfreundliche Darstellung nach oben
darksweetys
Registriert: 28.12.2005
Beiträge: 638


Sende eine Private Nachricht an darksweetys Besuche die Homepage von darksweetys
MSNM
Geschrieben: 01.05.2006 13:08

Danke Webschmied, hattest Recht, hätte nur besser lesen sollen.



Zitieren Druckerfreundliche Darstellung nach oben
darksweetys
Registriert: 28.12.2005
Beiträge: 638


Sende eine Private Nachricht an darksweetys Besuche die Homepage von darksweetys
MSNM
Geschrieben: 01.05.2006 13:13

das Tracking molul hab ich mir wieder installiert. Wo finbdet man den Serverlog?

Ich weiss ihr müsst Euch vorkommen wie Lehrer die nem begriffstutzigen Schüler versuchen etwas beizubringen "fg" Aber wo das Forum schonmal so gut besucht ist...


Zitieren Druckerfreundliche Darstellung nach oben
Webschmied

Registriert: 02.09.2001
Beiträge: 540
Wohnort: Dresden


Sende eine Private Nachricht an Webschmied Besuche die Homepage von Webschmied
ICQ
Geschrieben: 01.05.2006 13:36

darksweetys schrieb am 01.05.2006 um 13:13:16 Uhr folgendes:

das Tracking molul hab ich mir wieder installiert. Wo finbdet man den Serverlog?

Ich weiss ihr müsst Euch vorkommen wie Lehrer die nem begriffstutzigen Schüler versuchen etwas beizubringen "fg" Aber wo das Forum schonmal so gut besucht ist...


Nicht in OPN Das stellt dein Anbieter zur Verfügung, aber mit Webalizer ist glaube ich nicht viel Staat zu machen in der Beziehung. Auf vielen Servern findet sich, vom Provider bereitgestellt, ein Verzeichnis stats oder plesk-stat oder statistics. Dort sollten Logdateien drin sein, meist für eine Woche, der Rest in der Regel komprimiert. Aber wie gesagt, nur einmal am Tag aktualisiert, und im Textformat, du solltest also zur Auswertung noch ein Programm hinzuziehen.



W.E.B.S.C.H.M.I.E.D.: Wireless Electronic Battle and Sabotage Construct/Humanoid Manufactured for Infiltration and Efficient Destruction

Zitieren Druckerfreundliche Darstellung nach oben
darksweetys
Registriert: 28.12.2005
Beiträge: 638


Sende eine Private Nachricht an darksweetys Besuche die Homepage von darksweetys
MSNM
Geschrieben: 01.05.2006 13:43

aha, danke, hab ich gefunden, hilfe ist das ne Menge.

Aber wieder was dazugelernt.


Zitieren Druckerfreundliche Darstellung nach oben
McBright
Registriert: 21.09.2004
Beiträge: 149
Wohnort: Wien


Sende eine Private Nachricht an McBright Besuche die Homepage von McBright
Geschrieben: 01.05.2006 14:51

Salve

@stefan, ich verlange nicht das jemand zaubert. Wir sind alle Menschen und das mit Plesk ist oder war unglücklich. das war nicht gegen Dich oder andere gemeint, ich meinte wirklich ernsthaft das man das Hotfix vielleicht anpassen sollte. Ist geschehen und das ist auch gut so.

Wie ich bereits schrieb, ich hatte den Hack nicht und kam aber halt in den Genuß das dafür die Seite down war. Außnahmsweise hatte ich tatsächlich mal kein Backup gemacht und ich Danke nochmals für die rasche Hilfe.

Wie gesagt, es war auch eigentlich eine Nachfrage. Gut, ist alles geklärt und Danke nochmals, hauptsache ist der Fix hilft den Leuten.








Zitieren Druckerfreundliche Darstellung nach oben
Froeschchen

Registriert: 01.05.2006
Beiträge: 6


Sende eine Private Nachricht an Froeschchen
Geschrieben: 01.05.2006 16:10

hi

2 meiner Seiten sind betroffen:

* bei der ersten sind alle Dateien vom Server gelöscht.

* bei der 2ten erscheint ein Schriftzug: "Here Arabic Saudi Virus For Hack" und "No no Virus jcJI Was here" --- im Hintergrund ein *.jpg und Musik...

Kann es sein, dass mein Virus ein anderer ist?
Ich hatte auf der ersten (kompl. gelöschten Seite) eine Diskussion zum Thema Karrikaturenstreit.

hmmmm... ich spiel mal Backup ein...


Zitieren Druckerfreundliche Darstellung nach oben
sortieren nach
Seite 1 2 3 4 vorherige Seite nächste Seite 

Hilfe anzeigen
Hilfe anzeigen
Vorheriges Thema:  bitte schnelle - Update-Problem
Nächstes Thema:  Update pre subversion 2.3.0 und release 2.3.0

Gehe zu:

Benutzername:
 
Sicherheits-Code
Sicherheits-Code
Neu laden