u4u|Wizz
Hi Leute,
ich brauche dringend Hilfe, und zwar wurden wir gerade gehackt.
Unsere Index.php wurde ausgetauscht, es stand nur "hacked by skry" dran. Es ist eigentlich ein user von uns, aber der wäre sicher nicht so blöd und würde das machen, vor allen dingen ist er stammuser und sehr aktiv.
Ich habe schon vorher festgestellt dass 3 gäste mit unterschiedlichen IPs (ohen Browserangabe) bei WIW unter "Registrierung" angezeigt wurde. Eine dieser IPs ist in unserem IP gewesen und hat wohl den Account eines Admins gehackt, denn dessen Namen steht dabei.
1. wie kommt er an das passwort? der hat ein frei erfundenes gehabt
2. wie kommt er dann auf den server, damit er die index tauschen kann? templates sind korrekt, nur die php wurde getauscht
bitte helft mir mal, ich weiß grad echt nicht, was ich machen soll.
die pws für FTP und SQL etc. habe ich erst vergangene woche geändert. benutze ich sonst auch nirgendwo, absolut nirgends.
hier mal ein screenshot
Samwan
Ihr solltet dringend auf 2.2.2 updaten. Die Version 2.2.1 hat sehr wahrscheinlich ein Sicherheitsloch, auf das ich nicht weiter eingehen will.
Tipp: Updaten oder manuell anpassen. Besser aber updaten.
Malbaer
Jetzt frag ich mich was daran falsch ist xD
u4u|Wizz
Skry (06:28 PM) :
neoxan
Skry (06:28 PM) :
irc.ber.de.euirc.net
so heißt der typ, in diesem irc, der meinte, dass er wbbs hacken kann.
es wäre nen xploit oder sowas.
kann man sich da irgendwie sichern?
wie komme ich an den ran? habe nur die ips, die sicher ins leere führen und nur diesen namen, der mir auch nix bringt. auf jeden fall möchte ich dem seine eier auf einem tablet... wenn ihr versteht
Lorini
Schon aufgefallen, dass der Gast 2 die gleiche IP hat, wie dein Gast 6? Somit kannst du schon sehen, mit welchem Browser jener da gewesen war
Edit: IP`s führen selten ins Leere, seeeehr selten
Fireman2005
Hi
Das mit dem Update kannste vergessen das ist in meinem wbb 2.3.2 auch der Fall,die haben einen Trick wo über die index.php geht und das in allen wbb.
Bisjetzt noch keine lösung in sicht.
mfg
u4u|Wizz
ja, wir haben es glaube ich raus.
cache/template da kann man die index tauschen, das geht über die user. da ist man machtlos.
das kann doch aber eigentlich nicht wahr sein, dass da von woltlab noch nix kam
hab jetzt noch ne adresse
www.it-security23.net (server ist off), die sollen sowas scheinbar ziemlich gut können. aber naja, hab jetzt nur die ips und den namen und den irc, mehr nicht. damit komme ich nicht weiter.
24Bytes
| Zitat: |
Original von u4u|Wizz
ja, wir haben es glaube ich raus.
cache/template da kann man die index tauschen, das geht über die user. da ist man machtlos.
|
könntest du vielleicht genauer erklären?
Samwan
| Zitat: |
Original von Fireman2005
Hi
Das mit dem Update kannste vergessen das ist in meinem wbb 2.3.2 auch der Fall,die haben einen Trick wo über die index.php geht und das in allen wbb.
Bisjetzt noch keine lösung in sicht.
mfg |
Sorry, aber red keinen Stuss
u4u|Wizz
mein teammember, der sich da bissle besser auskennt, meint, dass es über den ordner cache/templates einfach wäre, die index.php auszutauschen. da dieser ordner irgendwie von den usern genutzt wird oder irgendwas darüber läuft. keine ahnung so genau, sorry. ich kenn mich mit dem technischen kram leider nicht so aus
auf jeden fall ist es traurig, dass es da keine lösung gibt oder das sowas überhaupt möglich ist.
Lorini
Normalerweise würde ich jetzt einfach mal behaupten, dass das nur möglich ist, wenn die betreffende Person ftp Zugang zu deinem Space hat, also da wo du es hochgeladen hast. Grundsätzlich kann man nur sagen, Trau-schau-wem. Solche Passwörter zum hochladen behält man einfach für sich
mor_dark
also die index php sollte keine rechte haben änderbar zu sein demnach kann ie auch nicht auser vom eigentübmer
sprich wenn du alles richtig configuriert hast ist die aussage deines board members (der ahnung hat) schwachsin
mach ein update und fertig ich habe dir eine pn geschickt was du dringent updaten must (-; wo die sicherheits lücke ist
mfg mor_dark
u4u|Wizz
@lorini: zugang haben neben mir nur 2 andere personen, die ich seit mehreren jahren kenn und schon immer zusammenarbeite. bei denen ist dicht und das passwort ist auch absolut freierfunden
@mor: danke für die pm, hab bereits geantwortet
nibble
du wirst doch sicher Logfiles über den fraglichen Zeitraum haben, von daher sollte es sich doch nachvollziehen lassen, wer was wann wie verbrochen hat.
mor_dark
das bild oben sagt schon aus was gemacht wurde (-;
ps du solltest dein pw ändern (-;
ESmazter
| Zitat: |
Original von mor_dark
das bild oben sagt schon aus was gemacht wurde (-;
|
Bin ich der einzige, der das nicht versteht?
edit: aso, versteh jetzt ^^
Fireman2005
@Samwan
Sorry ich habe es gezeigt bekommen der jenige der das kann hat mein board für 30 sec down gelegt,und nur weil du das nicht kennst nuss des doch nicht gleich müll sein.
Die sicherheits lücke besteht und das in allen Versionen,ok.
Er sagt mir das er mir nicht verrät was das loch ist,weil es sonst geschlossen wird.
Also jedes Board auch das hier kann down gemacht werden.
Denkt mal nach und sagt was man dagegen machen muss und keine PN an einzelne Personen sondern Postet es hier weil es jeden betrifft.
mfg
hammond00
| Zitat: |
Original von Samwan
| Zitat: |
Original von Fireman2005
Hi
Das mit dem Update kannste vergessen das ist in meinem wbb 2.3.2 auch der Fall,die haben einen Trick wo über die index.php geht und das in allen wbb.
Bisjetzt noch keine lösung in sicht.
mfg |
Sorry, aber red keinen Stuss
|
ich misch mich nur ungern ein, aber ich kenn auch sql injections von denen woltlab nichts weiß... :doof
slnet
| Zitat: |
Original von nibble
du wirst doch sicher Logfiles über den fraglichen Zeitraum haben, von daher sollte es sich doch nachvollziehen lassen, wer was wann wie verbrochen hat. |
Welche Logfiles meinst du denn? Gibt es im WBB den auch Logfiles?
mor_dark
nein aber vom webserever (-;