Meine Sicherheitslücke TEIL II

Sicherheit des Webservers, der Server und rund um phpBB
Antworten
Benutzeravatar
Rabi
Beiträge: 233
Registriert: Fr 16.Sep, 2005 15:00
Wohnort: Kiel

Meine Sicherheitslücke TEIL II

Beitrag von Rabi »

*grummel*

Meine Seite wurde gehackt! ¦9

Die Schwachstelle scheint meine config.php zu sein.

Beim Aufrauf meiner URL bekam man einen "404"er.

Beim Blick in die config.php ergab sich folgendes:

Code: Alles auswählen

<html>

<head>

<title>Hacked By PowerCobra</title>

<body>

<p><embed><noembed></noembed></p>

</body>

<P><b><font>PowerCobra Was Here</font></b></P>

<br>

<center><img>

</font>

</html>
Ich habe bei mir "phpBB Security" als Safe-Guard am laufen. Hat ansich auch gut funktioniert, nur heute eben nicht.

Wie kann ich mich nun besser schützen?

Gibt es einen speziellen schutz der config.php?

Was sollte ich nach diesen Hacker-Angriff unbedingt noch machen / checken?
Zuletzt geändert von Rabi am Do 31.Aug, 2006 15:50, insgesamt 1-mal geändert.
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Was sollte ich nach diesen Hacker-Angriff unbedingt noch machen / checken?
Restlos all deine Passwörter (Forum, Datenbank, FTP, ...) und nach möglichkeit auch noch den Namen der DB ändern!!!
Die Schwachstelle scheint meine config.php zu sein.
Nein, nicht wirklich.
Das die config.php geändert wurde, bedeutet nur das die Hacker FTP zugriff erlangt haben oder die Zugriffsrechte (der Datei) ändern konnten.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ich habe bei mir "phpBB Security" als Safe-Guard am laufen. Hat ansich auch gut funktioniert, nur heute eben nicht.
Ob Du den laufen hast oder in China ein Sack Reis umfällt, ist beinahe das gleiche.
Neben der jeweils aktuellen PHP- und phpBB-Version solltest Du den CrackerTracker von CBack installieren, da aktuell nur dieser umfassend Schutzt bietet!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Rabi
Beiträge: 233
Registriert: Fr 16.Sep, 2005 15:00
Wohnort: Kiel

Beitrag von Rabi »

Nun ist es mal wieder soweit!!!

Meine Seite ist am Samstag 2 mal gehackt worden. Danach gab es diverse patches.

http://integramod2.com/forum/viewtopic. ... 4453#14453

Habe die sofort installiert.

Gestern zwischen 14:00 und 15:00 Uhr hat ein Hacker wieder zugeschlagen.

Beim Aufruf meiner URL bekomme ich nun eine weisse Seite (ohne Fehlermeldung).
In der Browserzeile steht "Fertig".

Bin auf den Server gegangen und habe gesehen, dass diesmal nichts gelöscht worden ist.
Die index.php, portal.php und .htaccess scheint OK zu sein.

Die Datenbank ist auch vorhanden.

Was kann nun der Grund dafür sein, dass ich die Website nicht richtig aufrufen kann?

Ich bin nun schon relativ genervt.

CrackerTracker soll es erst ab der Version 1.41 geben.

Hat jemand einen Tipp???
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Vergiss den phpBB Security MOD, der ist alles andere als sicher.
Verwende immer das neueste phpBB, prüfe alle installierten MODs, verwende den Cracker Tracker (heute erst in der Version 5 neu herausgekommen) und schau auch auf phpbb.de in der Knowledge Base die Sicherheitstipps an.
Wenn Du einen eigenen Root-Server hast, wäre auch modsecurity als "Sicherheitssiegel" für den Apache absolut empfehlenswert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Rabi
Beiträge: 233
Registriert: Fr 16.Sep, 2005 15:00
Wohnort: Kiel

Beitrag von Rabi »

Die kommen mit der neuen Version noch nicht raus!

Ich versuche mal. ob ich das trotzdem in meine Version eingebaut bekomme!

Danke für die rasche Hilfe! ;)
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Wenn Du einen eigenen Root-Server hast, wäre auch modsecurity als "Sicherheitssiegel" für den Apache absolut empfehlenswert.
Vorsicht mit mod_security !!!
Wenn man da nicht weiss was man tut, kann das übel in die Hose gehen (siehe hier)!
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

@AmigaLink
Das weiß ich bereits und habe auch nur die Regeln eingestellt, also in meinem ModSecurity, die eine Grundsicherung darstellen.
So werden z. B. Texte per POST nicht geprüft, was dann auch nicht zu einer spürbar hohen Einbusse führt.
Aber auch hier lassen sich die Regeln schnell anpassen, wenn man was klemmt und auch die Logs geben immer eine Menge Material über nicht vorhandene oder zu straffe Regeln.
Profi muss man da auch nicht unbedingt sein, sondern nur etwas Erfahrung um Umgang mit HTTPD haben...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten