Forum

Ich beobachte zur Zeit wieder Angriffsversuche auf OPN.

Gescannt wird nach den Google-Queries:

inurl:alltopics.php
allinurl:alltopics.php
systemarticlealltopics.php
inurl:systemarticlealltopics.php

Ist OPN nach dem letzenen Sicherheitsupdate auf OPN 2.3.6 (Revision 5490) geschützt?

Also ich weuss nicht obs dazu passt, aber vor einigen Tagen erschien bei mir auch ganz kurz anstatt meiner Seite ein schönes Bild mit "hacked by-Vermerk" Komischerweise war das nach paar Min. wieder weg und alles ging wieder normal.

Könnte evtl ein Versuch gewesen sein, auch wenn ich nicht weiss wie das gehen soll, kann mir nicht vorstellen dass es solche temporären Erscheinungen gibt.

Servus,
seit dem letzten Update sind keinerlei Probleme diesbezüglich aufgetreten, dem zu Folge ist es nach wie vor sicher.
Gruß Tine

Hi,
laut logs gesucht nach:

- inurl:/system/user/index.php

Aber ansonsten keine Auffälligkeiten.

Ciao,
Mike

naja in der kommenden 2.3.7 sind son ne paar sachen drin die nicht unwichtig sind. allerdings spiele ich auch gerade mit leuten die opn scheinbar nicht mögen ping pong. dabei ändere ich auch langsam die strategie.

in der vergangenheit war opn passiv. hat also maximal braf gesagt das es das oder jenes nicht gibt und fertig.

dieses passive verhalten wird langsam in ein aktives verhalten geändert. dabei werden 2 neue strategien verwendet.

a) ist ein tool entwickelt worden das mit verschiedenen strategien automatisch versucht eine opn webseite anzugreifen. zeigt sich dabei ein schwachpunkt wird dieser beseitigt.

b) wird opn angegriffen so geht es zum gegenangriff über

@darksweetys

Das würde ich trotzdem nicht auf die leichte Schulter nehmen, hatte deinen Beitrag gelesen, dann war er plötzlich weg.
So etwas kommt nicht von nichts, ich würde schon Tracking einschalten, Referer der fraglichen Zeit prüfen, sehen, ob noch andere Scripte auf dem Webspace laufen, die womöglich ein Türchen geöffnet haben, Verzeichnisse auf dem Server mit unklaren Inhalten prüfen, usw.

Und natürlich regelmäßig sichern!

Ja, Webschmied, ich hatte den Beitrag wieder gelöscht, regelmäßige Backups hab ich mir nun endlich auch angewöhnt. die Referer hab ich auch immer im Auge, schon rein aus Neugier.

Tracking hab ich aktiviert, weiss aber net woran man einen Angriff konkret erkennt. Ich kann auch nicht weit zurückgehen beim Tracking, Server-Fehler 500. Liegt bestimmt auch an den 16 MB Php Speicher.

So ganz sicher kann man ja leider nie sein...

[ Diese Nachricht wurde bearbeitet von: darksweetys am 31.08.2006 16:50 (Originaldatum 31.08.2006 16:41) ]

Angriffe, oder die Suche nach Schwachstellen, erkennt man im Tracking an der Ausgabe "unbekannter Vorgang" in Verbindung mit wirren Parametern, oft wird versucht Scripte von fremden Seiten nachzuladen, um z.B. einen FTP-Zugang zu installieren. Alte "Nukes" waren wunderbar dafür geeignet, diese Scripte zu wrappen.

Aus dem Referer kann bei Scriptkiddies die Suchanfrage, meist von Google, über die der Angreifer reinkommt, ausgelesen werden. "Powered by OpenPHPNuke" kam in letzter Zeit darin öfters vor.

Aha, ja ich glaube ich erinnere mich dass bei dem Bild (hacked by) damals auch etwas von Google stand. Hatte mich auch etwas gewundert. Leider war ich so erschrocken dass ich mir die Seite nicht genau angeschaut habe. Später war sie ja wieder wech.

Was Stefan geschrieben hat klingt ja schon mal wirklich sehr gut.

Mal schaun wie es weiter geht.

//Stephan