[frostschutz]

Wenn dein Datenbankkennwort lang (im Sinne von so lang wie möglich, 8 Zeichen ist zu wenig) und zufällig ist, dann ist eine mir (und den Entwicklern) seit Dezember bekannte Lücke wahrscheinlich nicht daran schuld.

Wenn das Log wirklich alles ist, dann ist dieser "Angriff" ja in weniger als 5 Minuten gelaufen und das geht eigentlich nur wenn der Angreifer entsprechende Vorkenntnisse speziell zu dir und deinem Account hat, etwa weil er dich kennt oder deine Verbindung abhören kann o.ä, oder wenn MyBB oder dein Host irgendwo ein offenes Scheunentor hat. Unmöglich ist es nicht.

Hast du ein schwaches Passwort für deinen Admin-Account gehabt, oder diese Daten irgendwem anvertraut?
Oder sonst noch irgendwelche Infos zu der Sache?

---

Um deine Frage zu Mitgliederaccounts zu beantworten:

In der Datenbank stehen die E-Mail-Adressen der Mitglieder drin, erhöhtes Spamaufkommen ist also möglich.

Theoretisch ist es auch möglich die Passwörter der User per Brute-Force zu knacken. Das wird in der Praxis aber nur schwer oder sehr langsam umsetzbar sein da MyBB jeden User-Passwort-Hash mit einem zufälligen Salz versieht, Rainbow-Tables und ähnliche Scherze helfen hier also nicht weiter. Schwache Passwörter einzelner User lassen sich damit natürlich trotzdem knacken, ein Salz verhindert Brute Force nicht, es verhindert nur daß man die Passwörter aller User gleichzeitig fischen kann.

Ein Hacker mit Datenbankzugriff würde hier eher eine Backdoor einbauen die ihn das Passwort mitlauschen läßt. Über das Template-System dürfte es leicht möglich sein, sich da irgendwo einzuklinken.

[brestling]

Hast du ein schwaches Passwort für deinen Admin-Account gehabt, oder diese Daten irgendwem anvertraut?
Oder sonst noch irgendwelche Infos zu der Sache?

Mir fällt nichts ein. Meine Kennwörter sind lang und niemals Wörter, die in irgendeinem Lexikon vorkommen, auch nicht rückwärts oder falsch geschrieben. Sollte eigentlich sicher sein. Hundertprozentig sicher ist natürlich nie was...

Die Daten hat niemand, ist allein in meinem Kopf gespeichert und der Rechner ist augenscheinlich sicher. Erklären kann ich mir nicht, wieso die so schnell da reingekommen sind. Mithören kann höchstens der Webhoster - eine mittelgrosse Firma ohne Auffälligkeiten.

Jedenfalls vielen Dank für die Tips. Kennwort hab ich natürlich sofort geändert, den IP-Block ausgesperrt von dem der Angriff kam, für Gäste die Mitglieder- und Online-Liste gesperrt (da hat der Einbrecher laut Log zuerst drauf zugegriffen) und den Admin-Ordner werde ich noch umbenennen.

[frostschutz]

Geh auf jeden Fall auch die Templates durch (auch das, was MyBB für die unveränderten Master-Templates hält) und die Dateien. Ebenso Benutzer und Gruppen, nicht daß sich da jemand einen heimlichen Admin-Account eingerichtet hat. Das Problem bei Computergeschichten ist, wenn es einmal kompromittiert ist, kannst du nichts mehr vertrauen. Gehackte Rechner und Webserver installiert man am besten von Grund auf neu. Ist bei einer Datenbank natürlich schwierig zu bewerkstelligen.

[Nik101010]

Als zusätzlichen Tipp - Antivirenprogramme mitlaufen zu lassen kannst du im Prinzip vergessen, da wird so gut wie nie ein Alarm ausgelöst.
Wichtig ist, dass du regelmäßig einen vollständigen Systemcheck machst - da wird fast immer mehr gefunden, wie wenn das Programm einfach nur passiv läuft.

Gruß

[Michael]

Abschließend noch dazu: Ich bin die Logfiles durchgegangen, aber es lassen sich keine Auffälligkeiten finden. Der Angriff scheint tatsächlich direkt erfolgt zu sein, d.h. mit einem einzigen Login-Versuch. Wie jemand an deine Zugangsdaten gekommen ist, kann ich leider auch nur vermuten.

[StefanT]

Man sieht auch, was er im ACP gemacht hat. Diese Bereiche sollten geprüft werden. Zugang zur Datenbank oder zum Webspace kann er dadurch nicht erlangt haben. Die eMail-Adressen der Mitglieder hat der Hacker aber.