Neuigkeiten:

still alive...

Hauptmenü

uplad in pfile durch hacker

Begonnen von efcidstein, 20. November 2006, 12:37:47

Vorheriges Thema - Nächstes Thema

Powie

kannst du mal phpinfo zeigen?


Powie

ich hatte noch eine idee ... welche vielleicht bei register_globals = on eine Möglichkeit geboten hätte, aber ich habe das bei register_globals=on getestet und daraus ergab sich keine Sicherheitslücke, zudem ist es bei dir auch auf OFF....
Also LOG Einträge wären da jetzt das interessante

efcidstein

sobald ich was habe sage ich bescheid...erst mal vielen dank

Powie


efcidstein

bisher noch keine rückmeldung...der server gehört einem bekannten....hab das gefühl das der gestern den sieg gegen aachen zu sehr gefeiert hat.. /uploads/emoticons/icon_e_biggrin.gif.1a84f5257b36e14b36d04985314f877f.gif\" alt=\":-D\" /> .bisher ward er nicht mehr gesehen auf der hp und per mail antwortete er auch nicht...ich melde mich...

Das sieht danach aus, dass das Admin-Passwort nicht zu Beginn von admin/admin auf ein anderes geändert wurde. Oder bem Serverbetreiber (ein Bekannter des Admin) hat sich jemand die Logindaten geborgt...

Powie

Software ist nie fehlerfrei, es gibt so auch für pFile keine Garantie. Aber alles was ich überprüfen konnte habe ich durchgesehen und nichts gefunden. Um nachvollziehen zu können was da gelaufen ist benötige ich wie gesagt unebdingt die LOG Files. Da es diese nicht gibt, und die Tatsache das das File nicht wahllos hochgeladen war, sondern korrekt mit DB Eintrag angelegt und dem Admin User zugeordnet, gehe ich einfach davon as das dem vermeintlichen hacker einfach nur das Admin Passwort bekannt war.
Auf den \"Serverbetreiber\" sowas schieben zu wollen ist schlich und ergreifend ....  :gaga: . Wozu hat der einen root Zugriff.  /uploads/emoticons/icon_e_wink.gif.c059000ae48ff64afa53be0962c021f2.gif\" alt=\":wink:\" />

@Powie: Du hast da wohl etwas überlesen oder missverstanden.

Powie

hmm.... wie wolltest du das denn ausdrücken?

Er schrieb, der Server gehört einem Freund (oder so ähnlich). Freunde sind die häufigsten Schabernackanwender! /uploads/emoticons/icon_e_wink.gif.3167d127940f44558fbf1ccd9b6d60a9.gif\" alt=\";-)\" />/uploads/emoticons/icon_e_surprised.gif.a8707b3f35a569cb4cfe563fc72ef78d.gif\" alt=\":-o\" />

efcidstein

da muss ich mich mal einmischen...also das der bekannte da unfug getrieben hat schliesse ich zu 100% aus.
1. hätte er nichts davon, denn aus dem alter der bösenbuben-streiche is er raus und gehört genau so zu dem efc wie wir alle. is also an einem einwandfreien funktionieren der seite genauso interessiert wie wir alle.
2. er is \"capo dei capi\" von dem server...wenn wer böses wollen würde, dann könnte er es viel geschickter anstellen und mit viel einfacheren mitteln.
ich vermute das jemand mein password gehackt hat.....mit etwas ausprobieren wäre es möglich gewesen an dieses zu kommen.
da ich wohl auch der einzige bin, dem solche probleme passiert sind, geh ich mal davon aus.
wenn ihr keine andere möglichkeit seht, wie der hacker die datei auf den server bekommen hat, dann wird es wohl so sein....nichts desto trotz hab ich inzwischen rückmeldung vom server-betreiber. er schaut nach den log-files....sobald sie vorliegen und analysiert wurden schick ich sie powie zur sicherheit nochmals zu...sofern bis dahin noch keine gesicherten ergebnisse vorliegen

Powie

ok....
Aber ich glaube ich kann dich beruhigen. Das  passiert nicht nur dir!
Mir ist vor einiger Zeit ähnliches wiederfahren. Es war weitaus schlimmer, bei mir war auf einer Maschine plötzlich die gesammte HTML Docroot verschwunden. Ein Blick in die Shell Historie zeigte einen Move in ein lustiges Verzeichniss. War also alles noch da. Der \"Bösewicht\" hatte mein root Passwort geknackt. Das war auch daran festzumachen das ich in anderen LOG Files feststellen konnte das es vorher unzählige erfolglose Anmeldeversuche an der SSH gab. Mein passwort war zwar nicht zu erraten, aber offensichtlich gibt es genug klevere Tools die auch sowas \"kombinieren\" konnten.
Seitdem sind meien Passwörter nur noch absolut sinnlose Zeichen/Zahlenfolgen in denen keinesfalls irgendein sinnvolles Wort steckt.

mahe

Zum Thema SSH:
den SSH-Dämon auf einem anderen Port laufen lassen, einen eigenen User anlegen der sich gerademal per SSH anmelden darf und dann per \"su\" als root anmelden :ugly:

http://blog.mahe.at\" rel=\"external nofollow\">http://blog.mahe.at/wp-content/uploads/2007/06/88x31_1.jpg\" alt=\"88x31_1.jpg\">


Ja, diese Signatur dient zur Werbung!


Und dass ich meine Posts wiederfinde ...


den SSH-Dämon auf einem anderen Port laufen lassen[/quote]
Hilft begrenzt. Es ist zu beobachten, dass die Scanner nun auch andere Ports scannen.
einen eigenen User anlegen der sich gerademal per SSH anmelden darf[/quote]
PermitRootLogin ist ein guter Schritt. Bitte noch mit Key-Authentifizierung kombinieren.
dann per \"su\" als root anmelden[/quote]
Schlechte Idee. Lieber Befehle per sudo aufrufen. Wer ständig root ist macht leicht kritische Sachen kaputt.
nb:
Man sollte gelegentlich ein Backup von Files und deren Meta-Infos machen. aide oder tripwire sind auch nicht übel.

all your base are belong to us / Discord