"hacked by sam2k"

Dies ist eine vorgefertigte Schablone.
Bitte fülle soviel aus, wie dir nur Möglich ist, du kannst auch gerne noch mehr Angaben machen.


Problembeschreibung:
Unser Forum wurde heute gehackt, ist es bekannt wie man diesen Hackangriff umgehen kann und die ACP Rechte zurückbekommt oder muss man eine Sicherung einspielen?

Hab in Mysql schon nachgeschaut ob er nur bei den Groupid ein Value verändert hat jedoch ist hier alles beim alten.

Da mein letztes Backup leider schon ca. ein Monat zurückliegt wäre es mir natürlich recht wenn es hier schon andere Lösungen geben würde?

Falls es keine andere Möglichkeit geben sollte wie spiele ich das Backup ein?

Link zum Forum oder Screenshot:

http://www.vwscene-forum.de/wbb2/index.php

erstmal scheint das nicht gehackt worden zu sein, sondern hat irgendjemand der die admin rechte hatte was angestellt. Order jemand der das passwort und usernamen hatte.

niemand hackt ein vw forum, wer so dumm ist, der hat echt nix zu tun. Also empfehlenswert wäre erstmal die sessions vom acp zu sichern, die ips zu sichern, screens zu machen und dann ggf Anzeige zu erstatten.

Dann solltest du erstmal überprüfen ob du noch ins forum kommst oder nicht. ob du in die datenbank kommst.

ansonsten scheint ja noch alles da zu sein, solltest also versuchen selbst ins forum zu kommen und den wartungsmodus zu beenden.

Solltest du einfach aus der Admingruppe entfernt worden sein ist das Skript "readmin" (6ter Link von oben) auf dieser Seite nützlich http://www.woltlab.de/de/forum/thread.php?threadid=51966

Hab da jetzt mal ein wenig rumgesucht in phpmyadmin

Der "sam2k" ist eigentlich ich sieht man z.B. daran dass er die selbe Signatur hat. Er hat sich also meinen AdminNick gehackt und die Zugriffsrechte abgeschaltet denke ich mal.

Ich kann mich aber auch nicht mit seinem Namen+Passwort einloggen, ebenfalls ist bei dem User acpmode auf 2 gestellt die groupcombinationid war auf 1 jedoch hat die umstellung auf 11 nichts gebracht

Wenn ich mir aber die User anzeigen lassen unter bb1_user ist nur er drin und sonst niemand, ist das jetzt dann überhaupt noch sinnvoll weiter zu suchen oder sind die anderen Mitglieder noch vorhanden?

BTW.
Suche die ganze Zeit schon nach verwertbarem für eine Anzeige, wo finde ich den z.B. die IP-Adresse von ihm?

wenn nur noch er drin ist, dann hat er den rest gelöscht, dann müsstest du die user neu einfügen aus dem backup und die beiträge wahrscheinlich auch.

allerdings sichere die sessions vorher, sofern du in erwägung ziehst, diesen user anzuzeigen, wenn er dumm war, dann hat er seine ip hinterlassen und du kannst anzeige erstatten, ist schließlich eine Straftat.

Wie komme ich den dahinter welche IP schlussendlich zu ihm gehört hat?

Bei den Sessions sieht es z.B. so aus

hm, das ist nicht so einfach, erstmal die userid muss stimmen, dann natürlich ab wann es nicht geht, also muss voher jemand eingeloggt gewesen sein, mit der ip, jedenfalls sichere diese datenbank komplett.

dann vergleiche eventuell mit deinem ips die du hast.

und den anhang würde ich entfernen, das posten von Ips ist nicht sehr gern gesehen.

btw: http://www.woltlab.de/news/405_de.php

Zitat:

Neben Darstellungsfehlern behebt Version 2.3.2 mehrere potenzielle Sicherheitslöcher. Wir empfehlen dringend die sofortige Durchführung des Updates.

edit³ xD""
=> selbst schuld oO


edit4
joa, das war ein riesen danke an den vermeintlichen "hacker" (aber nur an den )

Werden den weitere Sessions gespeichert wenn das Forum im Wartungsmodus ist.

Irgendwie sind mir das nämlich zu wenig Sessions für diesen Tag, hab ja täglich 300-600 Besucher? Hab da nämlich nur 33 Sessions drin

EDIT
Toller Beitrag

Ja am besten loben wir noch alle den Hacker das er das so fein gemacht hat - Leute gibts

Zitat:

Original von Broken Sword btw: http://www.woltlab.de/news/405_de.php Zitat: Neben Darstellungsfehlern behebt Version 2.3.2 mehrere potenzielle Sicherheitslöcher. Wir empfehlen dringend die sofortige Durchführung des Updates. edit³ xD"" => selbst schuld oO

danke fürs Geräusch

das hilft jetzt auch nicht weiter, zumal man sich davor nicht schützen kannst, selbst bei wbb 2.3.4 nich.

Hmm ich glaub der ist nicht mehr drin, er hat ja die UserId 1 bei den Sessions haben aber alle UserId 0

Suche ich jetzt da einfach falsch oder ist er wirklich nicht drin, den wie oben schon gesagt kommen mir den wenigen Einträge etwas komisch vor.

Wo sind den die ACP Sessions gespeichert?

bbn_adminsessions

Das hab ich direkt überlesen und siehe da es sind IP-Adresse drin

Kann mir noch jemand sagen wie ich hier noch die Zeit rausbekomme?

Bei lastactivity steht dann z.b. 1145871937 was soll das den bitte für eine Einheit/Zeit/Datum sein?

http://tools.semsym.com/index.php?tool=t...tamp=1145871937

edit:
ok....vergiss das xD"""

1145871937 == Montag 24.04.2006 11:45:37

-> http://www.webstyleboard.de/wsb/gen_time.php

Ha ha geil ich hab ihn heute um 5:45 war ich mit Sicherheit nicht im ACP und da ich der einzige Admin bin muss er das wohl sein oder nicht?

Kann man das 100%ig sagen wenn sicher ist das ich es nicht gewesen bin?

Die normalen Sessions scheint er schon gelöscht zu haben jedoch die fürs ACP scheint er übersehen zu haben, was freu ich mich wenn ich rausbekomme wer das ist dann bekommt er erstmal äh ich meinte

Ist ja kein Wunder. Du solltest vielleicht mal updaten!

freu dich mal nicht zu früh,

vllt. hat es das ganze über'n proxy veranstaltet ...

teste doch einfach mal die IP mit

http://www.fafworx.de/?fafworx=ipchecker.html

Wenn ich eine Telefongesellschaft z.B. Telekom rausbekomme kann es kein Proxy sein oder?

Wollte nicht updaten weil ich sehr viele Zusätze drin hab und 2 Skins das wäre eine Woche arbeit gewesen wo kein Fehler unterlaufen darf.

hm bei telekomm her nicht, dann wirds vielleicht seine home ip sein.