uplad in pfile durch hacker

Powie · 04. Dezember 2006, 14:43:55

kannst du mal phpinfo zeigen?

efcidstein · 04. Dezember 2006, 14:48:12

mach einfach
http://efc.admin-web.net/phpinfo.php\" rel=\"external nofollow\">http://efc.admin-web.net/phpinfo.php

Powie · 04. Dezember 2006, 14:55:41

ich hatte noch eine idee ... welche vielleicht bei register_globals = on eine Möglichkeit geboten hätte, aber ich habe das bei register_globals=on getestet und daraus ergab sich keine Sicherheitslücke, zudem ist es bei dir auch auf OFF....
Also LOG Einträge wären da jetzt das interessante

efcidstein · 04. Dezember 2006, 15:08:22

sobald ich was habe sage ich bescheid...erst mal vielen dank

Powie · 05. Dezember 2006, 07:57:04

und wie siehts aus?

efcidstein · 05. Dezember 2006, 08:01:03

bisher noch keine rückmeldung...der server gehört einem bekannten....hab das gefühl das der gestern den sieg gegen aachen zu sehr gefeiert hat..

/uploads/emoticons/icon_e_biggrin.gif.1a84f5257b36e14b36d04985314f877f.gif\" alt=\":-D\" /> .bisher ward er nicht mehr gesehen auf der hp und per mail antwortete er auch nicht...ich melde mich...

05. Dezember 2006, 11:10:22

Das sieht danach aus, dass das Admin-Passwort nicht zu Beginn von admin/admin auf ein anderes geändert wurde. Oder bem Serverbetreiber (ein Bekannter des Admin) hat sich jemand die Logindaten geborgt...

Powie · 05. Dezember 2006, 11:27:20

Software ist nie fehlerfrei, es gibt so auch für pFile keine Garantie. Aber alles was ich überprüfen konnte habe ich durchgesehen und nichts gefunden. Um nachvollziehen zu können was da gelaufen ist benötige ich wie gesagt unebdingt die LOG Files. Da es diese nicht gibt, und die Tatsache das das File nicht wahllos hochgeladen war, sondern korrekt mit DB Eintrag angelegt und dem Admin User zugeordnet, gehe ich einfach davon as das dem vermeintlichen hacker einfach nur das Admin Passwort bekannt war.
Auf den \"Serverbetreiber\" sowas schieben zu wollen ist schlich und ergreifend .... :gaga: . Wozu hat der einen root Zugriff.

/uploads/emoticons/icon_e_wink.gif.c059000ae48ff64afa53be0962c021f2.gif\" alt=\":wink:\" />

05. Dezember 2006, 11:39:09

@Powie: Du hast da wohl etwas überlesen oder missverstanden.

Powie · 05. Dezember 2006, 11:52:32

hmm.... wie wolltest du das denn ausdrücken?

05. Dezember 2006, 12:22:41

Er schrieb, der Server gehört einem Freund (oder so ähnlich). Freunde sind die häufigsten Schabernackanwender!

/uploads/emoticons/icon_e_wink.gif.3167d127940f44558fbf1ccd9b6d60a9.gif\" alt=\";-)\" />

/uploads/emoticons/icon_e_surprised.gif.a8707b3f35a569cb4cfe563fc72ef78d.gif\" alt=\":-o\" />

efcidstein · 05. Dezember 2006, 12:42:03

da muss ich mich mal einmischen...also das der bekannte da unfug getrieben hat schliesse ich zu 100% aus.
1. hätte er nichts davon, denn aus dem alter der bösenbuben-streiche is er raus und gehört genau so zu dem efc wie wir alle. is also an einem einwandfreien funktionieren der seite genauso interessiert wie wir alle.
2. er is \"capo dei capi\" von dem server...wenn wer böses wollen würde, dann könnte er es viel geschickter anstellen und mit viel einfacheren mitteln.
ich vermute das jemand mein password gehackt hat.....mit etwas ausprobieren wäre es möglich gewesen an dieses zu kommen.
da ich wohl auch der einzige bin, dem solche probleme passiert sind, geh ich mal davon aus.
wenn ihr keine andere möglichkeit seht, wie der hacker die datei auf den server bekommen hat, dann wird es wohl so sein....nichts desto trotz hab ich inzwischen rückmeldung vom server-betreiber. er schaut nach den log-files....sobald sie vorliegen und analysiert wurden schick ich sie powie zur sicherheit nochmals zu...sofern bis dahin noch keine gesicherten ergebnisse vorliegen

Powie · 05. Dezember 2006, 13:17:22

ok....
Aber ich glaube ich kann dich beruhigen. Das passiert nicht nur dir!
Mir ist vor einiger Zeit ähnliches wiederfahren. Es war weitaus schlimmer, bei mir war auf einer Maschine plötzlich die gesammte HTML Docroot verschwunden. Ein Blick in die Shell Historie zeigte einen Move in ein lustiges Verzeichniss. War also alles noch da. Der \"Bösewicht\" hatte mein root Passwort geknackt. Das war auch daran festzumachen das ich in anderen LOG Files feststellen konnte das es vorher unzählige erfolglose Anmeldeversuche an der SSH gab. Mein passwort war zwar nicht zu erraten, aber offensichtlich gibt es genug klevere Tools die auch sowas \"kombinieren\" konnten.
Seitdem sind meien Passwörter nur noch absolut sinnlose Zeichen/Zahlenfolgen in denen keinesfalls irgendein sinnvolles Wort steckt.

mahe · 05. Dezember 2006, 18:33:12

Zum Thema SSH:
den SSH-Dämon auf einem anderen Port laufen lassen, einen eigenen User anlegen der sich gerademal per SSH anmelden darf und dann per \"su\" als root anmelden :ugly:

07. Dezember 2006, 23:44:51

den SSH-Dämon auf einem anderen Port laufen lassen[/quote]
Hilft begrenzt. Es ist zu beobachten, dass die Scanner nun auch andere Ports scannen.
einen eigenen User anlegen der sich gerademal per SSH anmelden darf[/quote]
PermitRootLogin ist ein guter Schritt. Bitte noch mit Key-Authentifizierung kombinieren.
dann per \"su\" als root anmelden[/quote]
Schlechte Idee. Lieber Befehle per sudo aufrufen. Wer ständig root ist macht leicht kritische Sachen kaputt.
nb:
Man sollte gelegentlich ein Backup von Files und deren Meta-Infos machen. aide oder tripwire sind auch nicht übel.

powie.de Tech Forum

Neuigkeiten:

uplad in pfile durch hacker

Powie

efcidstein

Powie

efcidstein

Powie

efcidstein

Powie

Powie

efcidstein

Powie

mahe