[|-Husky-|]

Hallo Freunde,

ich bin Opfer eines Kindes mit zu viel Zeit und schlechter Erziehung geworden und somit ist mein Forum gehacked wurde.

Da ich keinerlei Erfahrung oder Ahnung damit habe, bin ich auf Euch und Eure Hilfe angewiesen!

Hier die Infos, die ich hatte und die Euch hoffentlich helfen:
URL: http://forum.atleticomadrid.de/index.php
Fehlermeldung:
*SoRrY AdMiN*

!!!Hacked By Dr.higher & Dr.Beckham!!!



Kann mich mit meinem Admin Account nicht einloggen im Admin Panal unter
http://forum.atleticomadrid.de/admin

Fehlermeldung:
You are either not a valid administrator or have not logged in.
Please login below.


Das Forum müsste Up-to-Date sein, also neuste Version!

Ich habe per FTP die Daten überprüft und es gab nur eine Datei, die verändert wurde (laut Datumsabgleich)

Und zwar die Settings.php.

PHP-Code:

<?php
/*********************************\ 
  DO NOT EDIT THIS FILE, PLEASE USE
  THE SETTINGS EDITOR
\*********************************/

(...) gekürzt
$settings['boardclosed'] = "yes";
$settings['boardclosed_reason'] = "<html>
<head>
<script language=\"JavaScript\"> <!--
var left=\"[\";
var right=\"]\";
var msg=\"HackeD By Dr.Higher & Dr.Beckham         \";
var speed=300;

function scroll_title() {
document.title=left+msg+right;
msg=msg.substring(1,msg.length)+msg.charAt(0);
setTimeout(\"scroll_title()\",speed);
}
scroll_title();

// End --> </script>

<title>This Site Hacked</title>
<meta http-equiv=\"Content-Type\" content=\"text/html; charset=windows-1251\">
</head>
<body bgcolor=\"#000000\" text=\"#FFFFFF\" link=\"#CCCCCC\" vlink=\"#FFFFFF\" alink=\"#FF0000\">
<div align=\"center\"> 
<h1><pre><b><font size=\"7\">*SoRrY AdMiN*</font></pre></b></h1>


<pre><b><font size=\"6\" color=\"#FF0000\">!!!Hacked By Dr.higher & Dr.Beckham!!!</a></font></b></pre>
<div align=\"center\">
  <p align=\"center\"><b><font color=\"#FFFFFF\" size=\"7\"><img src=\"http://i27.tinypic.com/1rx2eq.png\"></font></b></p></div>
  
 
</body>
</html>
";
$settings['boardmsg'] = "";
$settings['bbname'] = "AtléticoForum - All about Atlético Madrid";
$settings['bburl'] = "http://forum.atleticomadrid.de";
(...) gekürzt

?>

Den "bösen" text habe ich rausgenommen und verändert die Passage sieht nun so aus:

PHP-Code:

(...) gekürzt
$settings['switchbdaym'] = "plain";
$settings['boardclosed'] = "no";
$settings['boardclosed_reason'] = "test";
$settings['boardmsg'] = "";
(...) gekürzt 


Eingeloggt in PHP my admin und geguckt in der User Table fand ich keinen "fremden" Admin ... auch hatte alle die USer Guppe 4.


Ich habe die Hilfeforen gelesen, aber konnte nichts für mich finden, also ich hoffe Ihr rettet mich.

PS: Kann man rausfinden wer das war und diesen Benutzeraccount löschen und wie konnte das passieren, wie kann ich mich schützen?!

Mein letztes Update der Datenbank ist zu alt zum einspielen, da es mind. 4 Wochen her ist.

DANKE EUCH

Husky

[NetHunter]

Hallo |-Husky-|
Ohne aktuelles Backup sieht es finster aus. Ich empfehle dir zukünftig minimum Täglich ein Backup anzulegen. Am besten automatisiert via cronjob. Nun hilft dir das im Moment natürlich nicht weiter. Eine Chance besteht jedoch noch. Ein guter Provider zieht selbst ständig Backups um Kunden vor Schaden durch Servercrash zu bewahren. Wenn du weist wann der Angriff stattfand, was den Logfiles des Servers zu entnehmen sein sollte, wende dich an deinen Hoster und bitte ihn darum das letzte vorhandene Backup vor dem Angriff wieder einzuspielen. Viel Glück!

Um den myBB zusätzlich zu schützen siehe Wie kann ich mein myBB absichern?

[|-Husky-|]

Und das vor Ostern !!!

Das wird ja nie was ...

ahhhhhhhhhhhhhhhhhhhhhhhhhhhh

Aber mal Spaß bei Seite, ich glaube kaum, dass er in meiner Datenbank was verändert hat.
Da sieht alles ganz gut aus, auch wenn mir der komplette Überblick fehlt.

Gibt es da keine andere Lösung und wie ist er daran gekommen?!

[NetHunter]

Wie er dran gekommen ist kann ich nicht sagen. Passwort erraten oder erschlichen. Wenn die Datenbank tatsächlich OK ist, lade das aktuelle Paket runter und spiele es über die vorhandenen Dateien. Außer inc/config.php
Die vorhandene inc/settings.php ist ja verändert worden. Deshalb wird dir nichts anderes übrig bleiben als alle Einstellungen dafür erneut vorzunehmen.

[|-Husky-|]

KEINE AHNUNG WIE ....

Aber ein Kumpel hat es mir wieder heile gemacht!!!


Der Typ nannte sich "sun_of_god"

Also wenn sich so einer bei Euch anmeldet, OBACHT!

[|-Husky-|]

Und da geht es WIEDER los ...

http://forum.atleticomadrid.de/admin/index.php


Die müssen irgendwo einen Zugang haben ... eine Idee woran es liegt?!

[Sebastian1990]

Also wenn ich auf die Seite gehe, komme ich immer zur Startseite.

[Michael]

Kannst du mal bitte nachsehen, ob im Ordner uploads oder uploads/avatars/ PHP-Dateien liegen? Falls ja, sichere diese bitte in einem Zip-Archiv, schicke dieses an support[at]mybboard[punkt]de und lösche sie umgehend vom Webspace. In einer vorherigen MyBB-Version gab es eine Sicherheitslücke, durch die diese Dateien erstellt werden konnten.

Verwendest du das Mod "Custom Pages" von Nickman? In diesem wurde eine schwerwiegende Sicherheitslücke gefunden. Falls ja aktualisiere bitte auf die aktuelle Version.

Hast du Zugriff auf die Logdateien des Servers? Falls ja, packe die entsprechenden Dateien bitte ebenfalls in ein Zip-Archiv und schicke dieses an oben genannte Adresse.

Und zum Schluss: Ändere die Passwörter der Admin-Accounts, der Datenbank und auch des FTP-Zugangs.

[|-Husky-|]

Also wenn ich auf die Seite gehe, komme ich immer zur Startseite.

Ja, weil ich es schöner fand, wenn man nicht dieses "Hacked by" sieht ...

Da ich über die Nacht nicht daran arbeiten konnte, wir aber Gäste aus anderen Zeitzonen haben.

Kannst du mal bitte nachsehen, ob im Ordner uploads oder uploads/avatars/ PHP-Dateien liegen? Falls ja, sichere diese bitte in einem Zip-Archiv, schicke dieses an support[at]mybboard[punkt]de und lösche sie umgehend vom Webspace. In einer vorherigen MyBB-Version gab es eine Sicherheitslücke, durch die diese Dateien erstellt werden konnten.

Im Ordner Uploads liegt nur eine .php Datei
attach_post.php

Im Avater Ordner liegen keine .php Dateien.

Attach_post.php wurde an die von Dir genannte Adresse geschickt und gelöscht!

Die aktuellste Forum Software ist aufgespielt!

Verwendest du das Mod "Custom Pages" von Nickman? In diesem wurde eine schwerwiegende Sicherheitslücke gefunden. Falls ja aktualisiere bitte auf die aktuelle Version.

Nein, verwende ich nicht!

Hast du Zugriff auf die Logdateien des Servers? Falls ja, packe die entsprechenden Dateien bitte ebenfalls in ein Zip-Archiv und schicke dieses an oben genannte Adresse.

Ich glaube ja, ich habe sie Dir wie gefragt mit geschickt!
Ich habe davon zu wenig Ahnung, aber vielleicht siehst Du das Problem.

Falls Du auch die Admin Logs aus dem Forum brauchst, sag mir, wie ich daran komme ohne das Admin Panal.

Und zum Schluss: Ändere die Passwörter der Admin-Accounts, der Datenbank und auch des FTP-Zugangs.

Ich glaube fast sicher, dass der Typ NICHT die FTP Passwörter und oder Datenbank Passwörter kennt.
Was mit den Admin PW's ist weiß ich nicht, aber die lasse ich zur Sicherheit ändern!


Danke für Eure Mühen und Eure Hilfe!!!

DANKE!

[Michael]

Leider ist die E-Mail bisher nicht eingetroffen. Da es aber eine PHP-Datei im Ordner uploads gab, ist das als Ursache sehr wahrscheinlich.