Seite 1 von 1
Meine Sicherheitslücke TEIL II
Verfasst: Do 13.Jul, 2006 20:48
von Rabi
*grummel*
Meine Seite wurde gehackt! ¦9
Die Schwachstelle scheint meine config.php zu sein.
Beim Aufrauf meiner URL bekam man einen "404"er.
Beim Blick in die config.php ergab sich folgendes:
Code: Alles auswählen
<html>
<head>
<title>Hacked By PowerCobra</title>
<body>
<p><embed><noembed></noembed></p>
</body>
<P><b><font>PowerCobra Was Here</font></b></P>
<br>
<center><img>
</font>
</html>
Ich habe bei mir "phpBB Security" als Safe-Guard am laufen. Hat ansich auch gut funktioniert, nur heute eben nicht.
Wie kann ich mich nun besser schützen?
Gibt es einen speziellen schutz der config.php?
Was sollte ich nach diesen Hacker-Angriff unbedingt noch machen / checken?
Verfasst: Do 13.Jul, 2006 22:25
von AmigaLink
Was sollte ich nach diesen Hacker-Angriff unbedingt noch machen / checken?
Restlos
all deine Passwörter (Forum, Datenbank, FTP, ...) und nach möglichkeit auch noch den Namen der DB ändern!!!
Die Schwachstelle scheint meine config.php zu sein.
Nein, nicht wirklich.
Das die config.php geändert wurde, bedeutet nur das die Hacker FTP zugriff erlangt haben oder die Zugriffsrechte (der Datei) ändern konnten.
Verfasst: Fr 14.Jul, 2006 11:51
von oxpus
Ich habe bei mir "phpBB Security" als Safe-Guard am laufen. Hat ansich auch gut funktioniert, nur heute eben nicht.
Ob Du den laufen hast oder in China ein Sack Reis umfällt, ist beinahe das gleiche.
Neben der jeweils aktuellen PHP- und phpBB-Version solltest Du den CrackerTracker von CBack installieren, da aktuell nur dieser umfassend Schutzt bietet!
Verfasst: Do 31.Aug, 2006 15:56
von Rabi
Nun ist es mal wieder soweit!!!
Meine Seite ist am Samstag 2 mal gehackt worden. Danach gab es diverse patches.
http://integramod2.com/forum/viewtopic. ... 4453#14453
Habe die sofort installiert.
Gestern zwischen 14:00 und 15:00 Uhr hat ein Hacker wieder zugeschlagen.
Beim Aufruf meiner URL bekomme ich nun eine weisse Seite (ohne Fehlermeldung).
In der Browserzeile steht "Fertig".
Bin auf den Server gegangen und habe gesehen, dass diesmal nichts gelöscht worden ist.
Die index.php, portal.php und .htaccess scheint OK zu sein.
Die Datenbank ist auch vorhanden.
Was kann nun der Grund dafür sein, dass ich die Website nicht richtig aufrufen kann?
Ich bin nun schon relativ genervt.
CrackerTracker soll es erst ab der Version 1.41 geben.
Hat jemand einen Tipp???
Verfasst: Do 31.Aug, 2006 16:35
von oxpus
Vergiss den phpBB Security MOD, der ist alles andere als sicher.
Verwende immer das neueste phpBB, prüfe alle installierten MODs, verwende den Cracker Tracker (heute erst in der Version 5 neu herausgekommen) und schau auch auf phpbb.de in der Knowledge Base die Sicherheitstipps an.
Wenn Du einen eigenen Root-Server hast, wäre auch modsecurity als "Sicherheitssiegel" für den Apache absolut empfehlenswert.
Verfasst: Fr 01.Sep, 2006 11:33
von Rabi
Die kommen mit der neuen Version noch nicht raus!
Ich versuche mal. ob ich das trotzdem in meine Version eingebaut bekomme!
Danke für die rasche Hilfe!
Verfasst: Fr 01.Sep, 2006 12:36
von AmigaLink
Wenn Du einen eigenen Root-Server hast, wäre auch modsecurity als "Sicherheitssiegel" für den Apache absolut empfehlenswert.
Vorsicht mit mod_security !!!
Wenn man da nicht weiss was man tut, kann das übel in die Hose gehen (siehe
hier)!
Verfasst: Fr 01.Sep, 2006 13:11
von oxpus
@AmigaLink
Das weiß ich bereits und habe auch nur die Regeln eingestellt, also in meinem ModSecurity, die eine Grundsicherung darstellen.
So werden z. B. Texte per POST nicht geprüft, was dann auch nicht zu einer spürbar hohen Einbusse führt.
Aber auch hier lassen sich die Regeln schnell anpassen, wenn man was klemmt und auch die Logs geben immer eine Menge Material über nicht vorhandene oder zu straffe Regeln.
Profi muss man da auch nicht unbedingt sein, sondern nur etwas Erfahrung um Umgang mit HTTPD haben...