MyBB.de Forum
[Hacked] Brauch dringend Hilfe! - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Archiv (https://www.mybb.de/forum/forum-57.html)
+--- Forum: MyBB 1.2.x und älter (https://www.mybb.de/forum/forum-27.html)
+---- Forum: Allgemeiner Support (https://www.mybb.de/forum/forum-36.html)
+---- Thema: [Hacked] Brauch dringend Hilfe! (/thread-9030.html)

Seiten: Seiten: 1 2 3


RE: [Hacked] Brauch dringend Hilfe! - |-Husky-| - 21.03.2008

support at mybboard (punto) de

Die ging heute raus um 10:58!

Egal, ich schicke sie noch einmal!

Auch von einem anderen Account aus.

Sie hat knapp über 2MB ...

DANKE DIR!


RE: [Hacked] Brauch dringend Hilfe! - Michael - 21.03.2008

Danke. In zwischen sind alle Mails angekommen. Wink

In den Logdateien kann ich nichts außergewöhnliches erkennen, außer dass auf die PHP-Datei im Ordner upload zugegriffen wurde. Mit 99%iger Sicherheit kann ich sagen, dass über diese Datei dein Forum komprommitiert wurde. Hinzu kommt, dass mein Virenscanner beim Download der E-Mail angeschlagen hat: http://www.antiviruslab.com/description.php?virus=1468742&lang=gb

Wie gesagt, möglich war das über eine Sicherheitslücke, die inzwischen geschlossen wurde.


RE: [Hacked] Brauch dringend Hilfe! - |-Husky-| - 21.03.2008

Ok ...also Danke Dir vielmals ...

Also nur damit ich jetzt alles richtig mache ...


WAS MUSS ich nun als nächstes tun?!

Wie bekomme ich mein Forum zurück ... Und wie kann ich mich in der Zukunft schützen?!

Soweit ich das verstanden muss die Datei gelöscht werden ... (GEMACHT!)

Muss/soll ich alle Passwörter ändern?!
Wie bekomme ich wieder Zugang zu meinem Forum?!
Der Freund von gestern ist heute nicht da! Sad

Also bin für Tipps Dankbar! Smile

Drücke aber schon einmal den erledigt Button!


Apropos ...
In dem Ordner Uploads sind folgenden Dateien:
post_103_1160928707.attach
...

Die sind aber unkritisch, oder?


RE: [Hacked] Brauch dringend Hilfe! - Michael - 21.03.2008

Die Dateien mit der Endung .attach sind über das Forum hochgeladene Attachments, die sollten natürlich da sein. Wink

Um dein Forum zuurückzubekommen gehe per phpMyAdmin in die Datenbanktabelle users und setze bei dir bei usergroup 4 ein. Dann bist du wieder Administrator. Sollte es weitere Probleme geben, kannst du dich hier natürlich wieder melden.

Welche Maßnahmen du ergreifen kannst, um dein Forum zu sichern, findest du in der FAQ. Zusätzlich kannst du eine .htaccess-Datei in den Ordner uploads legen, um PHP hier zu deaktivieren. Die Sicherheitslücke ist zwar geschlossen, aber Vorsicht ist doch besser.
Code:
php_flag engine off



RE: [Hacked] Brauch dringend Hilfe! - |-Husky-| - 23.03.2008

Sooooooooo ich bin es wieder ...

Das Forum ist wieder gehacked, diesmal mit einem redirect.

Im Upload Folder waren folgende Dateien:
post_459_1203367046.attach1.php
post_459_1203367046_thumb1.jpg

Daher die erste Frage:
Wie genau muss die .haccess Datei aussehen?!

Der Angriff auf unseren Server erfolgte, so glaube ich, über eine Sicherheitslücke in unserer Bildergalerie.

Dies werde ich am Dienstag prüfen.


Ich habe die Serverlogs und die beiden Datein noch einmal an Dich (Michael) geschickt und hoffe auf Deine Hilfe!


So langsam entnervt mich die ganze Geschichte, insb. weil ich übe Ostern niemanden von unserem Webhostinganbieter erreichen kann.


RE: [Hacked] Brauch dringend Hilfe! - |-Husky-| - 23.03.2008

Nachtrag:

Wir benutzen die Gallery von 4 Images!

Ich habe die eben komplett gelöscht und neu aufgesetzt!
Dank Datenbankbackup kein Problem!

Sie funktioniert wieder stabil!

http://gallery.atleticomadrid.de

Nun nur noch (mit Eurer) Hilfe das Forum und dann Dienstag mit dem Provider sprechen.

Das wird schon!

DANKE EUCH!


RE: [Hacked] Brauch dringend Hilfe! - Michael - 24.03.2008

Die von dir geschickten PHP-Dateien sind leer. Bitte stelle sicher, dass sich neben der Galerie auch alle Dateien des MyBB auf dem aktuellen Stand befinden. Wie der Inhalt der .htaccess aussehen muss findest du am Ende meines vorherigen Beitrags.


RE: [Hacked] Brauch dringend Hilfe! - Gondlar - 24.03.2008

Ich habs das jetzt mal bei mir probiert und festgestellt, das das entsprechende Modul bei meinem Hoster deaktiviert ist. Bietet folgender Code den selben Schutz oder wäre es besser den Hoster zu bitten das zu aktivieren?
Code:
<Files *.php>
order deny,allow
deny from all
</Files>



RE: [Hacked] Brauch dringend Hilfe! - CoolRunner - 24.03.2008

Am besten auch die Versionsnummer im Footer abschalten sowie das Admin Verzeichniss umbennen.
Dann melde Dich z.B. bei http://www.4stats.de an und binde mal den Code ein, dann siehst du wo die Leute hinklicken. Evtl. hilft dir das weiter.
Wichtig ist auch das du safe_mode auf on stellst.


RE: [Hacked] Brauch dringend Hilfe! - Michael - 24.03.2008

@Gondlar: Diese Konfiguration bietet den gleichen Schutz.