Statistik |
Beiträge: 144.533 (Täglich: 19,19 )
Themen: 16.700
Mitglieder: 13.209
Neuestes Mitglied: zitronentee.
Ausl. d. letzten Minute: 908%
Ausl. d. letzten 5 Minuten: 942%
Ausl. d. letzten 15 Minuten: 921%
Aktulle Uhrzeit: 01:49
Freier Webspace: 4.04 TB
PHP-Version: 7.4.33
|
|
|
|
|
Was tun bei gehackter Webseite. |
Pierre
VGFoto
Dabei seit: 22.02.2007
Beiträge: 398
0 Filebase-Einträge
Alter: 60 Jahre
Herkunft: NRW wBB-Version: wBB2.3
Bewertung:
Level: 41 [?]
Erfahrungspunkte: 2.485.207
Nächster Level: 2.530.022
|
|
|
30.07.2015 20:37 |
|
|
Dr.Doom
wBB2-User
Dabei seit: 21.09.2009
Beiträge: 184
0 Filebase-Einträge
Alter: 44 Jahre
wBB-Version: wBB2.3
Bewertung:
Level: 36 [?]
Erfahrungspunkte: 975.646
Nächster Level: 1.000.000
Themenstarter
|
|
Hab jetzt jemand das machen lassen. Der aktuelle Stand, es wurde auf das wbb 4.1 update weil wir davon ausgegangen sind, das schadecode über den avatar upload rein kam. Wir haben passwörter alle geändert, im wartungsmodus mit dem 4.1 hat sich versucht jemand anzumelden mit 2 zuvor gehackte admin accounts und zwar genau dann wo denen adminrechte geben wurden, es waren die gleichen ips aus frankreich auf 2 accounts. das forum ist jetzt online seit gut 3 stunden und zumidnest ist bis jetzt nichts passiert. Gehackt sind bei uns accounts (meiner auch), aber scheinbar nicht alle, zumindest nicht die des einzigen Admins, der zuvor kein Admin war, also neue erstellter Account. Es wurden zuvor auch alle Passwörter gelöscht und neue generiert.
Wir brauchen da auf jedenfall einen Experten. Es wurde wie gesagt alle Pw geändert alles gelöscht und dann nur die useracounts und beiträge aus älteren backup ins wbb 4.1 übernommen und trotzdme ist dieser freak noch im system. Der hatte zuvor mit dme wbb 2.3 rundummail geschickt und auf andere domain weiter verlinkt um dort die domain zum zusammenbruch zu bringen. Es war übrigends der selbst hacker der uns vor paar monate schon mal attackiert hatte und zwar mit iframes am ende der php und schadecode über image und avatar upload. Der war dann gut 5 monate weg, ich hatte von Zeitstempel her alles gelöscht was der drauf gesetzt hatte und den mqldumper gelöscht. Gleich dannach kam plötzlich in unserer Shout ein unbekannter der damit drohte unsere datenbank zu veröffentlichen. Der war dann aber wie vom erdboden verschwunden. Erst wo ich den mqldumper mit neuem Passwort wieder drauf gemacht hatte, war der plötzlich stundne später nach monaten wieder da. (Hatte vorher mit Myadminphp gearbeitet ohne probleme. Nur die Backups sind da nicht so ideal.) Erst hatte er wieder versucht iframes zu erstellen und schadecode war auf dem ftp, was aber schnell gelöscht wurde als es auf gefallen ist und dann wurde er "wütent" und hat totales chaos angerichtet. den dumper zu löschen hat nichts mehr gebracht, er hat sich accounts gekriffen, rundumail geschickt, alles gelöscht, im acp manipuliert und auf die webseite gegenhund.org verlinkt, wo er zuvor schon nicht auffällige iframes davon drauf machte. Unfassbar sowas. Der admin von gegenhund.org hat mich damals informiert das iframes eingebunden sind, die zu denen leiten, dass ist über gut 2 monate nicht aufgefallen, weil es nur iframes waren und wir sonst ja keine langen ladezeiten hatten wo das evtl. auffallen könnte. Damals sind wir noch von einen robot ausgegangen, es ist aber ein Krimineller dahinter, seine Absichten nicht wirklich klar für uns.
Wir müssten wissen, wo dessen Script sein könnte. Der Admin dr das aktuell machtu und der auch zumidnest beim Umgang mit dem wbb Ahnung hat, kann sich das nicht erklären.
Dieser Beitrag wurde 11 mal editiert, zum letzten Mal von Dr.Doom: 01.08.2015 00:59.
|
|
01.08.2015 00:38 |
|
|
|
Schon mal dran gedacht, dass vielleicht bereits das Backup kompromittiert wurde?
Wurde denn in einer Datei Quelltext hinzugefügt?
Ist die Datenbank sauber oder wird z.B. html-Text aus einem Feld geladen, wo keiner sein sollte (sprich: steckt da was in der DB, was da nicht sein sollte?)
Du sagtest, du hast 5 Monate den IFRAME nicht gemerkt (wie auch immer so etwas möglich sein kann), wie hast du das Forum danach gesäubert?
Mal von der anderen Seite:
Ist dein Server aktuell (OS, Webserver, PHP, MySQL)?
Sind in PHP Erweiterungen aktiviert, die du nicht brauchst und die ggf. Lücken hervorrufen könnten?
Sind deine Passwörter für FTP und MySQL wirklich sicher (mind. 20 Zeichen, große und kleine Buchstaben, Zahlen, Sonderzeichen)?
Verschlüsselst du die FTP-Verbindung oder schickst du alles im Klartext rüber?
Aus dem letzten heraus --> Schon mal dein System gescannt, ob nicht ein Keylogger oder irgendwas mitliest? Virenscan, Malwarescan gemacht?
Irgendwie muss der ja immer wieder reinkommen
__________________
WBB2.3.6 unter PHP 5.6 | WBB2.3.6 unter PHP 7.1
Update ASAP! | Warum?
Kein Support mehr für PHP-Versionen <7.1!
meine Hacks auf Github | mich unterstützen
Vor dem Melden eines Fehlers: Fehler so genau wie möglich beschrieben? Fehlermeldung kopiert? Auszüge aus den Logs gepostet? Betroffene Datei angehangen?
|
|
09.08.2015 22:09 |
|
|
Dr.Doom
wBB2-User
Dabei seit: 21.09.2009
Beiträge: 184
0 Filebase-Einträge
Alter: 44 Jahre
wBB-Version: wBB2.3
Bewertung:
Level: 36 [?]
Erfahrungspunkte: 975.646
Nächster Level: 1.000.000
Themenstarter
|
|
Wir sind aufs 4.1 gezogen, dann hatte er nur noch die Datenbank und die Pw und einige E-Mail Adressen mussten noch geändert werden. Seit einigen Tagen haben wir nun Ruhe. Das 4.1 ist auch nicht so schlecht, nur die Suchfunktion ist dort eine Katastrophe.
|
|
10.08.2015 12:54 |
|
|
|
|
|
|