Portalwelt24 gehackt

Portalwelt24 wurde heute schon zum Dritten Mal gehackt.

Wer sich eingeloggt hat und sich im Portal informieren wollte,
wurde mit einer Einblendung Turkey Rulez konfrontiert.

PW24 Admin Schwammal wird nun aller Vorraussicht nach das Board für eine Weile Offline stellen, um es abzusichern.

:( Scheinbar gibt es Leute, die mehr Zeit als Verstand haben und anderen nur Schaden wollen :(

Da ich Schwammal kenne, habe ich ihm geraten, sich zu registrieren und um fachliche Hilfe zu fragen.

Ich bitte auch darum, ihm mit Rat und Tat zur Seite zu stehen.

LG
SevenSpirits
 
Zuletzt bearbeitet:
Ja Brummelchen, das habe ich auch schon gelesen.

Schwammal versucht verzweifelt seine Seite abzusichern -
deshalb meine Bitte ihm bei Fragen zu helfen.

Habe ihm auch geraten, sich rechlich zu wehren.
 

Schwammal

Herzlich willkommen!
Jo dann erstmal Hallo in Eurer Runde und merci an Seven ;)

folgendes passiert nun in immer kürzeren abständen.
Über die Moderator-Portal-Panel Seite (HM-Portal) wird folgendes in eine Box gespeichert (im Anhang).

Vielleicht hat es ja wer von Euch schon mal gesehen.
Das ganze ist immer mit einem Video und Türkischer Musik.

Wenn sich jemandumschauen möchte, hier ein Testaccount:

User: Falke
PW: test

Danke schon mal für Euer Interesse

Gruß
Schwammal
 

Anhänge

  • hack 3.txt
    6,2 KB · Aufrufe: 259

SoKoBaN

B.Ohlsen der alte Schwede
Teammitglied
Auf die schnelle, den Zugriff auf die Editierfunktion sperren.
Liegen die Adminscripte in einem eigenen Ordner? Dann mit htaccess schützen.
Wenn nicht, kannst du das Script auch vorerst sperren in dem du eine .htaccess mit folgendem Inhalt anlegst
Code:
<FilesMatch "admin_script_name.php" >
deny from all
</FilesMatch>
Dann kann niemand mehr irgendwas damit anstellen.

Hast du Zugriff auf Logfiles des Webservers?
Dann finde raus, von welcher IP Adresse die Zugriffe kamen und sperre diese wiederum mit htaccess
Code:
order deny, allow
deny from XXX.XXX.XXX.XXX
Ist aber nur sinnvoll, wenn es immer die selbe IP war.
In den Logs kannst du auch rausfinden, mit welchem Querystring eingebrochen wurde. Irgendein SQL Inject oder PHP Hook wirds schon gewesen sein.

Wenn du kein htacces auf dem Server einsetzen kannst, bennenne die kritischen Scripte vorerst um.

Das ist doch ein WBB? Dann solltest du dich mal schlau machen, ob es diesbezüglich schon Informationen über diese Sache gibt und ob evtl. Bugfixes vorliegen.

Ansonnsten brauchts mehr Infos bezüglich der Ordnerstuktur und der Scripte, über welche eingebrochen wurde.
 

caschy

fühlt sich hier wohl
Brummelchen hat es ja gelinkt: Es lag bei uns an den fehlenden Securityfixes für IPB 1.3.1 - wir sind von der Software weg und sind auf SMF konvertiert.
 

SoKoBaN

B.Ohlsen der alte Schwede
Teammitglied
Aber hier gehts doch um ein WBB nicht ein IPB ;)

Im übrigen wären noch alle möglichen Infos zur Konfiguration des Webservers und PHP hilfreich.
PHP und Apache Versionen wirst du ja rausbekommen.
Mehr erfährst du bei deinem Hoster http://greatweb.de/.
 

SoKoBaN

B.Ohlsen der alte Schwede
Teammitglied
Hmm..PHP Version 4.3.9
Das hat schon lange bekannte schwere Sicherheitslücken.
Du solltest deinen Hoster mahnen das auf eine aktuelle Version zu bringen.

Der bei dir in Frage kommende PHP Bug könnte dieser sein.
Auch noch mal bei Heise nachzulesen. Das Datum der Newsmeldung beachten!
 

SoKoBaN

B.Ohlsen der alte Schwede
Teammitglied
Nice...kein Feedback, dafür ist die Site nimmer da.
Also so wichtig scheint es ja nicht gewesen zu sein :eek:

Ich schreib ja heute wieder mal komisches Zeug :rolleyes:
Einfach garnicht ignorieren :angel
 
Zuletzt bearbeitet:
Schwammal hat die Seite auf mehrfaches Anraten hin vorläufig vom Netz genommen.

Einmal um sein Board zu sichern und möglicherweise auch um einen Provider zu suchen, welcher bessere Sicherheitsfeatures bietet.

Ich danke euch, daß ihr ihm helft und werde mal versuchen, ob ich über Umwege ihn kontaktieren kann.

Gruß
SevenSpirits
 

SoKoBaN

B.Ohlsen der alte Schwede
Teammitglied
SevenSpirits schrieb:
Schwammal hat die Seite auf mehrfaches Anraten hin vorläufig vom Netz genommen.
Einmal um sein Board zu sichern und möglicherweise auch um einen Provider zu suchen, welcher bessere Sicherheitsfeatures bietet.
Hellseherei ist mir noch nicht gegeben :angel

Es ist nicht das Board, es ist dieses HM-Portal.
Das Board "absichern" ist sinnfrei. Wennschon, dann den Portalaufsatz.
Entweder gibt es dazu ein Update oder man will den Source selber cleanen.
Und trotzdem ist es einzig der Bug in dieser steinalten PHP Version. Wenn die Site so wie sie war wieder online geht, passiert genau das selbe wieder.
Es wird da Code von einer fremden Site injiziert und ausgeführt, mehr nicht.

Ich hab mir den Hoster näher angesehen, das ist eine Debian woody Standartinstallation von vor 2 Jahren. Da glaube ich mit meiner persönlichen nur einzig mir vorbehaltenen Meinung, das dem "Hoster" einfach das Wissen fehlt, wie sowas wie ein Update überhaupt geht, denn der Bug ist hinreichend berühmt / berüchtigt.
Ich würde da mit sofortiger Wirkung, wegen grober Fahrlässigkeit seitens des Hosters, kündigen und gescheiten Webspace holen.
Und grobe Fahrlässigkeit ist in diesem Fall keine üble Nachrede oder Verleumdung sondern eine feste Tatsache, die jeder Serveradmin bestätigen wird.
 

Schwammal

Herzlich willkommen!
Hallöle,

erst mal vielen vielen Dank für Eure Hilfe.

Hab mich wie Seven schon erwähnt gleich dazu entschlossen den Hoster zu wechseln, nach dem ich mehrfach gehört habe der Hoster ist die Lücke.
Anders würde es kein Ende nehmen. So hab ich auch SoKoBaN verstanden.

Tut mir leid das ich mich nicht eher gemeldet hab, war dabei alles zu sichern und Backups zu machen.

Aber noch mal, herzlichen Dank an Euch.

Gruß
Schwammal
 

SoKoBaN

B.Ohlsen der alte Schwede
Teammitglied
Anderer Hoster ist gut.
Hier z.B. bekommst du alles für 5 Euro. Weniger sollte dir der sichere Ablageplatz deiner Site auch nicht wert sein.
Es geht sicher auch viel günstiger, aber zu welchem realem Preis, das hast du ja erfahren.
Bis dahin solltest du aber wenigstens eine index.html mit ein paar Infos auf dem alten Space hinterlegen.
So ein Apache Error sieht nach Schluss, Aus, Ende aus ;)
 

Schwammal

Herzlich willkommen!
Hallo SoKoBaN,

hab heute Nacht schon zu allinkl.com gewechselt.
Ist auch alles superschnell über die Bühne gegangen, vor einer Stunde war dann auch die Domian da.

Danke für den Tipp.

LG
Schwammal
 

SoKoBaN

B.Ohlsen der alte Schwede
Teammitglied
Na dann scheint ja alles nochmal gut gegangen zu sein (y)
Bleibt mir noch, dir weiterhin viel Erfolg mit deiner Site zu wünschen und wenn du wieder mal ein Anliegen hast, kannst du jederzeit hier wieder fragen :)
 

Schwammal

Herzlich willkommen!
Hallo,

ja dank der Hilfe einiger "Profis" konnte ich das ganze als: "siehste, hab was gelernt" verbuchen.

Werd mich gerne wieder melden, und das nicht nur bei Problemen, war ein sehr nettes Willkommen hier.

LG
Schwammal :)
 

Maranello

treuer Stammgast
Hallo!

Eure Seite war übrigens nicht die erste und nicht die letzte, das bundeswehr-forum wurde beispielsweise auf ähnliche Weise gehackt! (Resultat türkische Musik und Text)
 
Oben