Meine Homepage wurde schon wieder gehackt und missbraucht! Was tun?!

Meine Homepage wurde schon wieder gehackt und missbraucht! Was tun?! (170 Beiträge, 4496 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hi All!

Hab ein schwerwiegendes problem das vor ein paar Monaten das erste mal aufgetreten ist.
Meine seite wurde das erste mal gehackt. Vor ca 4 Wochen das 2 mal und heute Nacht das 3 mal! Nun hat mir diesmal mein Provider alles aus sicherheitsgründen gesperrt.

Hier die mail warum dies mein Provider gemacht hat!
Könnte echt kotzen! Das den *PIEP* Hacker idioten so fad ist! GRRRR!

**********************************************************
**   Achtung! Bei Antwort/Reply auf diese E-Mail bitte   **
** NICHT das Subject/Betreff verändern, da eine weitere **
**   Bearbeitung sonst nicht möglich ist. Vielen Dank!  **
**********************************************************
Sehr geehrter Herr xxxxxxxxxxxxx

wir wurden darauf aufmerksam gemacht, das über Ihre Seite Pishingmails
verschickt werden.  Es handelt sich hierbei um den Ordner :
http://www.xxxxxxx.xxx.xxx.xxx.xx

Bitte sorgen Sie umgehend dafür, das diese Mails nicht mehr verschickt werden
können, und geben Sie uns Bescheid über Ihre Maßnahmen.

Wir haben die Seite aus Sicherheitsgründen zunächst temp. gesperrt, damit kein
weiterer Mißbrauch berieben werden kann.

Mit freundlichen Grüßen

xxxxx xxxxxxxxxx
Kundenservice Webhosting
- Privat- und Geschäftskunden -

Ich finde es allerhäftigst von den verfluchten hackern was die da treiben.
So hat bis vor kurzem noch meine index seite ausgesehen!

http://forum.geizhals.at/files/2542/index.html

KÖNNTE KOTZEN DIESE PENNER!

Was kann ich dagegen machen ausser alles neu draufspielen und darauf achten das ich noch sichere scripte verwende?!?!?!?!?!?!

LOL und in nem Ordner hab ich schon nen Sicherheitsbackup von den *PIEP*n enteckt! GRRR! Am besten alles Löschen und neu drauf damit!

http://forum.geizhals.at/files/2542/index2.html

27.06.2006, 13:36 Uhr - Editiert von Moertel4u, alte Version: hier

Wenns Apache ist würd ich mod_security dringenst empfehlen.

"Diese Wolke sieht aus wie ein Pudel!" (O-Ton M$ in Werbekampagne für Server-OS)

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

hatte ich noch nie in verwendung!
Was kann das?

Sozusagen eine Firewall für Apache..

guckst Du hier: http://www.modsecurity.org/

"Diese Wolke sieht aus wie ein Pudel!" (O-Ton M$ in Werbekampagne für Server-OS)

Alles klar hoffe das teil ist nicht all zu schwer zu begreifen.

ne ich hab das auch nur mit *TRÖT*-settings installiert ohne probs

"Diese Wolke sieht aus wie ein Pudel!" (O-Ton M$ in Werbekampagne für Server-OS)

Cool danke. Nur mühsam wird es jetzt erst mal weil ich jeden ordner durchsuchen muss nach hacker dreck. dann muss ich die order vom provider zum löschen freigeben.. grrr
#
Kannst dir gar ned vorstellen wie mich das ärgert und dann auch noch meine seite benutzen um bei ebay betrügerein zu machen das ist ja das allerschlimmste!

Gibts da eigentlich eine Art Internet Polizei gegen solche Idioten?

Hrhrhr, aber glaub mir würde3st du auf diese Art und weise gehackt werden. Würdest dich über sowas freuen!

dann bist du der erste der gesperrt wird.
_________________________________________________________________
Na Server's heast...

Doch kenn ich.. bei mir sinds mal via phpBB (ich weiss, selbst schuld) eingedrungen..

Man könnt sich da soviel ärgern, aber es bringt schlußendlich nix.. hauptsache wenn man aus so Fehlern gelernt hat

"Diese Wolke sieht aus wie ein Pudel!" (O-Ton M$ in Werbekampagne für Server-OS)

sind über das beliebte VWAR reingekommen. Hab jetzt auf VWAr überhaupt verzichtet und den Ordner komplett gelöscht.

weiters werde ich jetzt schaun das ich mein php kit 1.6.1 absichere!

LOL jetzt haben sie die ip die ich selbst benutze gecloned und mir eine andere für meine seite verpasst. LOOOL!

10.9.0.8 <---- HABE INODE UND DAS IST SICHER NED MEINE IP LOL! Weil meine fängt mit 85 grad eben an! EUDA!

Was soll denn bitte IP-Cloning sein?!
Sorry aber ich empfehle dir DRINGENDS jemanden Deinen Server einrichten zu lassen, der sich damit wirklich auskennt.

www.rechenkraft.net Rechne um dein Leben!

Ich bitte um Erklärungen:
1.) Was ist eine geclonte IP
2.) Was meinst Du mit "mir eine andere für meine seite verpasst."
3.) Da waren 192.168er-Adressen im Log, oder ? Du wirst also auch aus dem lokalen LAN angegriffen ?
4.) Nimm lieber die IPs raus oder Xel sie... Sonst plonkt ein mod (ja, ich halte das auch für bescheuert

)

wenn die phishing mails über ein kontakt formular versendet wurden dann würd ich das formular gegen email_injection prüfen, in php könnte das so aussehen:

function email_injection($var) {
(eregi("\r",$var) || eregi("\n",$var)) ? $return=1 : $return=0;
(eregi("MIME-Version: ",$var)) ? $return=1 : $return=0;
return $return;
}

dabei solltest du alle daten die übers formular kommen (absender, empfänger, content) durch die funktion schicken.

es gibt nur 10 arten von menschen. diejenigen die das binärsystem verstehen, und die die es nicht tun.
Smartforum.at

Wenn man keine Ahnung hat was man tut sollte man es lieber lassen ....

na die klugscheisser sprüche scheinst gepachtet zu haben

"I believe that everything that you do bad comes back to you. So everything that I do that's bad, I'm going to suffer from it. But in my mind, I believe what I'm doing is right. So I feel like I'm going to heaven."

Das is echt kacke

www.it-scene.com

Also ich finde es eher eine Frechheit, dass sich nciht dein Provider um dieses Problem kümmert. Schließlich sind dessen Server so anfällig auf Hackattacken. Du kannst für sowas am wenigsten, außer du hast Code auf deiner Seite, der den Hackern ermöglicht auf deinen Account zuzugreifen.

Greez :GraMan

der provider hat sich eh um das problem gekümmert
er hat die website vom unfähigen webmaster gesperrt..

was soll er denn mehr machen ....

Es ist halt die Frage wie die Hacker auf den Account kommen. Über den Provider, oder über den Account.

Greez :GraMan

Über die SEITE würd ich sagen...

Na dann ist er an der Sache schuld. Das ist schon klar.

Greez :GraMan

Ach so? Warum sollte er? DAS ist nicht das Problem des Providers...

Na wenn die einen unsicheren Server haben, dann ist das sehr wohl ihr Problem. Aber wie geschrieben, es ist halt die Frage wie die Hacker in die Dateistruktur kommen. Über den Account vom Benutzer oder über eine Unsicherheit des Providers/Servers

Greez :GraMan

Steht eigentlich alles im Thread...

Du kennst dich doch aus...
Kannst mir da helfen ?
http://forum.geizhals.at/t428475,3490503.html#3490503
???

Was ist ne geclonte IP ???
Wie können die Hacker seine IP verwenden und ihm eine andere geben ? *Nix Versteh*

Liegt doch eh auf der Hand was passiert ist - noch lustiger wär ja das komplette Log...

neee, steh' grad echt auf der Leitung...

Was ist nun eine geclonte IP ?
und Was meint Er mit "mir eine andere IP für meine seite verpasst." ?
???

Hörns Herr LinuxIsSoLeiwand...schau Dir die Fehlermeldung an...

Echt...

Kennst das nicht, daß man manchmal den Wald vor lauter Bäumen net sieht ? Also mir geht's grad so

Welche Fehlermeldung meinst ? *heute_nix_check*

und - WAS IST EINE GECLONTE IP ????

Da WIRD keine IP "geclont"...aber wenn man schon PHP benutzt, sollte man auch wissen was man tut...

Da WIRD keine IP "geclont"..

Du irrst

http://forum.geizhals.at/t428475,3488694.html#3488694

Nein - er kann sich nur nicht korrekt ausdrücken...

Nein - er kann sich nur nicht korrekt ausdrücken...

Ich glaube, du kennst dich doch nicht aus

Aber ich verstehe ja nicht einmal ungefähr, was

LOL jetzt haben sie die ip die ich selbst benutze gecloned und mir eine andere für meine seite verpasst. LOOOL!

10.9.0.8 <---- HABE INODE UND DAS IST SICHER NED MEINE IP LOL! Weil meine fängt mit 85 grad eben an! EUDA!

bedeuten soll.... WAS ????!!!?

Ich mein, daß ich net viel von EDV versteh', war mir eh klar - nur das ich mal so überhaupt nur Bahnhof verstehe - und das bei einem tendenziell einfachen Thema - macht mich grad fertig

Tja, so ist das halt mit den Linux-Fuzzis...

Tjup... Linux-Fuzzies kennen weder geclonte IP's (außer am RTR

), kennen keine 10er-Adressen, mit denen man sich übers Internet anmeldet, ... Eigentlich wirklich traurig *schäm*

Kann ich diese ganzen Feinheiten dann bei Dir lernen ? Oder bekommen das die Windowser "so automatisch" mit ?

Natürlich - wir clonen minütlich IPs...

Hehe...

War da nicht diese 1c-M$-Werbung ?

Könnte ich mir vorstellen, daß in der nächsten Werbecampagne
- einer rumhoppelt, grinst und "1 cent, ! 1 cent ! Wir sparen einen cent" ruft
- jeder sieht in komisch an...
- er rennt wieder rum und ruft "1 cent! Wir sparen uns einen Cent pro geclonter IP!!!"
- und dann kommt der allwissende Chef und meint "1 cent ? Wir clonen 2 Millionen IPs im Monat!!!"
- und abschließend halt "Windows Server 2003" oder so ?

Könntest du ihm net so eine enterprisy-Lösung anbieten ?
Ich stelle mir ein cooles .Net-Applikatiönchen vor, daß so alle 5 Sekunden
- auf dem Server per (s)fto(s) einsteigt
- alle seine Files löscht und
- seine Files neu am Server installiert.

Ist zwar ein bißchen ne Race-condition, wenn wer grad auf die Seiten zugreifen will und sie gerade gelöscht sind - aber hey, EDV ist das dauernde Eingehen von Kompromissen

Das geht aber auch mit einen cronscript...

transclear /gammel/OldShit /gammel/HackedShit....

Er ist ja Windowser... Bei uns Linuxern clonst ja eben keine IPs "mal so eben", dadurch hat er sich verraten

Es gibt keinen IP-Clone ...
Es gibt eine Funktion, welche MAC-Clone heißt ... aber von IP-Clone habe ich noch nie gehört.

Es kann sein, das der Hacker mit gefakten IP-Adressen arbeitet ... allerdings, sind die verwendbaren IP Adressen sehr stark vom Provider und somit vom Standort abhängig.
Außerdem bekommt man da unter windoff so eine Meldung, dass die IP Doppelt vergeben worden ist.

Dein wahres Problem liegt aber soweit ich das beurteilen kann nicht am Server ... sondern auf deinen Router oder deinen lokalen PC.
Vermutlich kann der "Hacker" direkt mitlesen, welche Passwörter du eingibst ...

Also meine Empfehlung:
1. Router checken
2. System nach Viren und Trojaner durchsuchen (nachdem du Ihn von einer anderen Installation gestartet hast)
3. Server auf 0 setzen ... (Passwörter ändern, etc. etc.)
4. Daten nicht per ftp sondern per sftp oder scp übertragen.

Es kann übrigens durchaus sein, dass du eine 10.n.n.n IP am Rechner aber eine 80.n.n.n IP im Internet hast.

So um kurz zum unfähigen webmaster zu kommen. Den Script der unsicher war und den die hacker anscheinent als lücke benutzt haben wurde von mir bereits entfernt.

SCRIPT = bzw. WAR: VWAR ein tool für online games mit Liga funktion usw..

Habe das Php Kit das ich benutze jetzt aktualisiert und die neuesten patches draufgespielt.
Jetzt könnte ich mich nur noch auf die Suche nach einem noch sicheren Phpkit machen.
Oder überhaupt einer andren Lösung. Dazu habe ich aber nur bedingt Lust.

Dadurch das der Server nicht meiner ist sondern der von http://www.hosteurope.de kann ich keine Firewall oder sonst was für meine Hp verwenden

Also das sind meine grossartigen unfähigen möglichkeiten.

Tja, ich verstehe sowieso nicht warum man SOWAS nimmt...

Das lustige ist ja, daß er von mindestens 2 gleichzeitig gehackt wurde...

Denn der, der die Phishing-Mails verschickt hat, wollte ja sicher net, daß er auffliegt - und hat wohl sicher net die Seite defaced

Kurz: Hast du einen Root Server oder nur Webspeicherplatz ?

nur webspeicher

wird ein hosting produkt sein, da stellt der Provider nur den Server+"Infrastruktur" zur verfügung. Es kann nicht sein da der Provider bei jedem Kundenklump ständig einen Securityaudit macht.

Wenn da Leute ungepatchte Sachen hochladen oder sich einfach nicht auskennen ist das ganz allein deren Problem
_________________________________________________________________
Na Server's heast...

Hallo???? 4 Jahre zu spät?????????? Gibt es ja nicht! Klar das bei dir nix weiter geht!

ich schau nie aufs postingdatum.
_________________________________________________________________
Na Server's heast...

Mach den Thread halt zu, is ja deiner!

So banal es klingt - aufs Passwort aufpassen - sollt' in keinster Weise auch nur irgendwie etwas mit der Website oder deren Thema zu tun haben und ausreichend konfus sein.
---------------
Silence

Das Passwort für den Ftp war sicher ned schuld

Glaub eher das sie über den unsichern Script und mit Hilfe von einem Google bot reingekommen sind.

Du schickst deine Files per ftp hoch ? ROTFL.
Warum pinnst deine Kennwörter net gleich am Webserver an ?

reicht ein 128 bit ssl verschlüsselter ftp ned? wusste ich nicht verzeih oh grosser meister!
bevor du blöde sprüche klopfst gib besser lösungen und ratschläge!

SSL-FTP ?

Maaaa, ich check's echt net mehr - ich steh' heute echt an:
1.) Was bedeutet, daß sie deine IP geclont haben
2.) Was bedeutet, daß sie Dir eine andere IP gegeben haben ?
Und...
3.) Seit wann kann FTP SSL ???

das sie sich zb. mit 1 und der selben IP doppelt auf der seite herumtreiben.
Das 2 te war seltsam. Im admin bereich wurde meine IP mi9t 10.9.0.8 angezeigt obwohl ich aktuell mit einer anderen ip online war. jedoch war meine aktuelle ip auch online. versteh ned ganz wie das geht aber soll wohl so sein.
mein provider bietet mir einen gratis ssl proxy an. somit kann ich daten verschlüsselt mit dem ftp programm übertragen.

1.) Dir ist aber schon klar, daß die 10er-IP eine private Class-A-IP ist, oder ? Genauso wie die 192.168er eine private Class-C-IP... finde ich ja überraschend.
1a.) Du meinst aber eh nicht, daß deine IP eine 10er hätte sein können, oder ?
1b.) Wieso gibt's sowohl 10er als auch 192.168er-IPs in den Logs?

2.) Wie klappt das mit dem SSL-Proxy ???? Was machst du am Client genau, damit du per ftp-SSL was hinschickst ????
EDIT:
Oder verwendest du ftps statt ftp ? oder sftp ?

28.06.2006, 13:00 Uhr - Editiert von gepeinigter_aon_neukunde, alte Version: hier

schauts ich hab übers hacken keinen dau. intressiert mich eigentlich auch ned die bohne wie ein hacker das macht. das ich auf meiner eigenen hp mit der original ip als gast und einmal mit der 10.0.9.8 eingeloggt war ist so gewesen. wie das pfunziwunzifunztatatut ka ist mir auch wurscht!

FTPS

da geht mal auf die seite und ihr werdet den massensport websites hacken kennenlernen.

http://www.zone-h.org

dürlich tummeln sich auch die idioten die meine site missbrauchen hier herum.

28.06.2006, 14:35 Uhr - Editiert von Moertel4u, alte Version: hier

intressiert mich eigentlich auch ned die bohne wie ein hacker das macht

Solle Dich aber - denn du solltest ja Gegenmaßnahmen ergreifen.

Mit 10.0.9.8 eingeloggt war

Also nochmal:
Du (oder der pöse Hacker) ist also von seinem Rechner 10er-IP übers Internet auf deinen Rechner eingestiegen ? Sorry, aber vielleicht bin ich als eher Linux-Anwender zu blöd - aber ich glaub' Dir das mal net

Ich finde es aber toll, daß du Dir die IP des Hackers aufgeschrieben hast. Ich würde sofort Anzeige gegen den Inhaber der 10.0.9.8-IP machen!!! (Pervasive, lach' net

). Laß dich nicht abwimmeln und forsch' den Inhaber aus.

FTPS... ok, also net FTP - paßt dann eh...

28.06.2006, 14:40 Uhr - Editiert von gepeinigter_aon_neukunde, alte Version: hier

verarscht mich nur habt schon recht! pfiat! thx 4 HELP!!

28.06.2006, 14:48 Uhr - Editiert von Moertel4u, alte Version: hier

Nun ja, die 10er- und 192er-Adressen sind schon seltsam oder nicht ?

http://www.rfc-editor.org/rfc/rfc3330.txt

   10.0.0.0/8 - This block is set aside for use in private networks.
   Its intended use is documented in [RFC1918].  Addresses within this
   block should not appear on the public Internet.

Schau selbst!

http://forum.geizhals.at/files/2542/ipadresse.jpg

Trotzdem ist eine 10er-IP eine Private - die kann net im INet geroutet werden.
Was ist also passiert:

10.0.0.1: SRV1==|
10.0.0.2: SRV2==|==FIREWALL(einige gültige public IPs) === INET ==== Dein PC (gültige publicIP, zB 5.6.7.8).
10.0.0.3: SRV3==|

Die Fireall muß jetzt wissen, wie sie eingehende und ausgehende Pakete weiterleitet.
Wenn dein PC zB auf http://www.meineseite.at geht, und die die IP 1.2.3.4 hat - so kann die FW zB wissen, daß 1.2.3.4 auf Server3 liegt, also leitet sie es an 10.0.0.3 weiter. (=er macht ein DNAT - ins generierte Packerl schreibt er 10.0.0.3 statt dem 1.2.3.4 rein).

wenn dein Server antwortet, so sendet er ja als 10.0.0.3 - die eben net geroutet wird. Daher muß die Firewall ein SNAT machen - sie trägt die 1.2.3.4-Adresse als Absender ein (und überschreibt damit 10.0.0.3. Dadurch kann dein PC darauf wieder antworten (weil nur gültige Packerl auf der Leitung)).

Problem ist jetzt folgendes:
dein Server kann nie wissen, welche IP der PC hat - daher muß die Firewall zusätzlich statt der eigenen IP diejenige des PC's in die Packerl eintragen, die sie dem Server schickt - und das haben's scheinbar temporär vergessen.

Das hat aber nix mit Hacken zu tun, dein Provider macht einfach einen Shiße im Produktionssystem...

die Frage ist wohl eher welcher kranke Provider diese gefälschten Pakete rauslässt (und auch reinlässt)

So gefälschte Pakete würden ja net zu ihm kommen können...
denn den 3way-Handhake muß es ja gegeben haben, bevor der GET-Request kommt...

Ich denke eher, daß sein Provider da einen Shaß bei seiner Firewall gedreht hat - und ein NAT vergessen hat...

Den Handshake zu überlisten ist nicht so schwer, wenn nicht vorher schon etwas dagegen unternommen wird.

Du meinst also, daß /ohne Handshake/ eine TCP-Verbindung zum Server entstehen konnte ? Das hoppelst mir vor, ich glaube kein Wort

Wenn du aber standard-Spoofing meinst - so tonnenweise RST-Pakete, ... - das klappt net mit gespoofter /private/-IP... oder ich steh' wieder mal auf der Leitung

Neinnein, das Problem ist dass man die ISN rausfinden und berechnen kann, sodass der Zielhost glaubt der Handshake wäre wirklich abgeschlossen.

???
Wie sollte das gehen ?
Aaaalso mal so, wie es klein-gepeinigter sieht:
1.) Client schickt SYN
2.) Server antwortet mit SYN/ACK
3.) Client schickt ACK
4.) Client schickt Daten (HTTP/1.1, host: http://www.meineSeite.at , GET /djsflkjdsl, ...)

Der Server prüft aber ab, ob SYN/ACK durchgelaufen ist.

Das SYN selbst dient ja gerade zum Synchronisieren der ISNs, ein Faken würde da ja keinen Sinn machen.
Abgesehen davon: Wenn du SYN/ACK ausläßt - wie sollte der Server das einem Prozeß zuordnen können ?

Ich glaube, mindestens einer von uns liegt grad schwer falsch - und ich glaube nicht, daß ich es hier bin

EDIT:
Ich bin echt überzeugt, daß die 10er-Adresse einfach sein Gateway ist...

28.06.2006, 15:49 Uhr - Editiert von gepeinigter_aon_neukunde, alte Version: hier

1. client schickt syn mit falscher ip

2. server schickt syn/ack an falsche ip -> kommt nirgends an (weiss der server aber nicht, da kein rst zurückkommt)

3. client schickt berechnetes ack an server -> verbindung steht

4. client schickt requests mit falscher ip

gecheckt?

Ääääh - nein

1.) Syn-Cookies verhindern ja nun schon echt seit 10+ Jahren diesen Angriffsvektor
http://de.wikipedia.org/wiki/SYN-Cookies
2.) Wenn du auf die klassische Blindflugmethode anspielst (die wegen (1) nicht mehr klappt) - dann würdest ja net eine private Adresse fälschen, weil die Chance hoch ist, daß sie weggeworfen wird, sondern eine gerade unbenutzte öffentliche, oder ?)

1. Ich rede hier nicht von syn-flood, aber lassen wirs

2. Ja ich würde eine öffentliche nehmen wenn ich soetwas vorhätte, aber wo steht geschrieben dass alle Menschen logisch handeln?

1.) Ist schon klar, daß Syn-cookies eine andere Zielsetzung haben - eben den Flood.
Trotzdem schalten sie den Vektor aus - aus dem Wiki-Link

Bei dem Prinzip der SYN-Cookies speichert der Server keine Information über ein SYN-Paket, sondern schickt diese als Cookie, genauer eine zufällig erzeugte Sequenznummer des Servers, an den Client. Falls nun der Client antwortet, was bei SYN-Flood Angriffen nicht der Fall sein wird, schickt er den Cookie wieder zurück. Über die im Cookie enthaltene Information kann der Server nun feststellen, dass es ein Client ist, der bereits ein SYN-Paket an ihn geschickt hat und stellt die Verbindung her.

Wegen der 2 markierten Punkte kann dein Angriff net klappen - denn (1) ist die ISN nicht mehr predictable, (2) kannst keinen Cookie "faken".

2.) Spoofing-Angriffe sind aufwändig. Wenn man sich da schon was bastelt - dann sicher net dämlich mit grad einer 10er-Adresse

Und jetzt überprüf mal wieviele server die syncookies aktiviert haben

Immer mehr...

Ich bin eh schon frustriert, daß ein

nmap -sI zombiehost -P0 zielhost

praktisch nicht mehr klappt....

je nachdem auf welcher Seite der Macht man steht

Euer wissen hätt ich gern. Könnt ihr mir das mal auf meinen usb stick laden damit ich es mir ins HIRN BRENNEN kann!!!!

Dann hätt ich sicher nimmer so schnell probs mit hackern

aja im übrigen zu meinen traffic limit. Ist gar ned mal so schlimm.

Traffic
Verbrauchtes Volumen im May     874,71 MB
Verbrauchtes Volumen im Jun    1.562,49 MB
Inklusiv Volumen               512.000,00 MB

Da hättens noch ein paar mails verschicken können.

Aber darauf will ich es echt nimmer ankommen lassen.....!!!!!!!

28.06.2006, 23:56 Uhr - Editiert von Moertel4u, alte Version: hier

diese Diskussion zuletzt war eigentlich OT, da sie mit deinem Problem nichts zu tun hat

Achte bei fertigen Scripten immer auf Sicherheitsupdates, das ist sehr wichtig, alles andere wurde eh schon gesagt

Hab nicht dran gedacht das es bei scripten wie phpkit.de auch schon so extrem ist das man sich jedes sicherheitsupdate laden muss damit man helbwegs sicher ist im i-net. Ist ja schon bald so wie am desktop Rechner wo man auch immer up2date sein muss.

obwohl das letzte update bei phpkit ist ja auch aus dem jahre schnee

naja mal schaun was mir in zukunft so passiert. schätze die sind damals only über das vwar reingekommen. soll ja ein unsicherer script sein. laut diverser foren........... damit hat sich so hoffe ich mein problem sonsten schau ich mich nach einem neuen script um. was ich aber ungern mache weil der echt geil ist, wie ich finde!

Das habe ich auf http://www.zone-h.org gefunden. Grunde warum man eine HP hackt! LOL!
Ist kein funlink. zone-h.org unterstützt meiner meinung nach hacker weltweit!

MUST SEE!

http://forum.geizhals.at/files/2542/LOL.jpg

Würd gern wissen was der pisser bei mir als grund angegeben hat.........

wenn ich mal hacken kann LOL .......... ist die seite als erstes dran...... LOL

29.06.2006, 03:19 Uhr - Editiert von Moertel4u, alte Version: hier

Warum bist eigentlich grad in diese Script-Kiddie-Seiten so verschossen ???

Ach, schau einfach auf http://www.rfc-editor.org und lies die alle RFC's durch

Hier könntest starten:
http://www.rfc-editor.org/cgi-bin/rfcdoctype.pl?loc=STD&letsgo=1&type=ftp&file_format=txt

Dann hast mal ne solide Basis

Naja, Hacken ist ja nun wirklich nix neues...

3.) Seit wann kann FTP SSL ???

http://www.ietf.org/html.charters/tls-charter.html

Seit Jänner 1999.

"Diese Wolke sieht aus wie ein Pudel!" (O-Ton M$ in Werbekampagne für Server-OS)

Nein, leider falsch... FTP kann kein SSL. FTPS hingegen schon

TLS ist nicht FTPS
Sondern ein eigener Layer über die Controll/Datenconnection.

"Diese Wolke sieht aus wie ein Pudel!" (O-Ton M$ in Werbekampagne für Server-OS)

FTPS =~ ftp over TLS/SSL.
mit eigener Portnummer, .... (989,990 statt 20,21) - und daher IMHO was anderes...

Jo und hast Dir schonmal die Dependencies angeschaut von dem TLS ?

=> libssl bzw. ssl.dll

Daher ganz normale Verschlüsselung die sich nur einem zusätzlichen Layer implementiert ("Transport Security Layer")...gibts praktisch schon für jedes Protokoll, in jeder Schlüsselstärke..

Vorteil liegt aber Hauptsächlich an der Programmierung da ein normaler (unverschl.) FTP-Server relativ einfach zu einem FTP-TLS umfunktioniert werden kann (Clientcode ist gradmal ~200 Zeilen)

"Diese Wolke sieht aus wie ein Pudel!" (O-Ton M$ in Werbekampagne für Server-OS)

Ja eh...

Es ist - wie oft zwischen uns - ein Detailpunkt.

Natürlich ist FTPS nix anderes als FTP über TLS.

Trotz allem ist FTP auf TLS eben was anderes als FTP...
Es geht also ums Naming. FTP kann eben kein TLS/SSL - denn ein FTP-Client, der TLS/SSL verwendet, ist dann eben in seiner Rolle als FTPS-Client

"Diese Wolke sieht aus wie ein Pudel!" (O-Ton M$ in Werbekampagne für Server-OS)

völlig irrelevant.
Die Klartextpasswörter sind nicht das Problem. Da müsste der Angreifer schon am Übertragungsweg bzw. im Subnetz eines Rechners am Übertragungsweg sitzen.

Diverse Injection Methoden sind viel leichter.

Irrelevant ist - sorry - Stuß...
Ein bißchen DNS Poisoning und du wirst bequem derjenige in der Mitte...

1.) Vor ein paar Monaten hattest echt eine saudumme Idee.
- Da ist also wer eingebrochen - und hat bei Dir was verändert (also wohl deine Seite defaced).
- Du stellst wieder den Ursprungszustand her
- und betreibst den Server gleich weiter...
Sorry, aber das war echt saudumm. Denn es gab ja den Hacker, der einbrechen konnte - also kann er es immer wieder. Jetzt hast eh was geändert - besser.
2.) Überprüfe unbedingt /sofort/ deinen traffic so du nach Volumen zahlst... Denn wenn der Hacker ein paar hundert Mio Mails von deinem Server losgelassen hat - könntest lockerst mal (so er schnell angebunden ist) mit ein paar (10-100) Gigabyte an Traffic rechnen... Bei den tpischen 70 Euro pro Gigabyte über dem vereinbarten Rahmen ist das dann nicht einmal mehr ganz günstig.

EDIT:

Das warst aber schon Du vor ein paar Tagen, der sich über schlecht aufgesetzte Rechner mokierte und daß du das alles lieber sauber, perfekt und kompetent selbst machst, oder

Ich setzte meinen Pc zuhaus selber auf. Würde niemals zu einem Händler maschieren der mir den Pc aufsetzt. Dies vermutlich einen Lehrling machen lässt der einen drecks Lohn verdient und genau 0 Bock auf die Arbeit hat. Der Pc ist dan halbherzig aufgesetzt und die kiste würde besser laufen hätt ich sie als privatperson aufgesetzt.

http://forum.geizhals.at/t425177,3457000.html#3457000

28.06.2006, 15:02 Uhr - Editiert von gepeinigter_aon_neukunde, alte Version: hier

Was hat das mit einer Homepage zu tun? Mit hardware kenne ich mich wesentlich besser aus

Würde meinen Pc nie wieder zum Händler tragen damit die was an meinem Pc herumfummeln!!!

@
Jo sicher war es eine Saudumme Idee! Das bin ich mir auch bewusst. Nur wurde ich zuvor noch nie gahackt. Dadurch das er damals nur im hauptverzeichniss eine index.html eingefügt hatte dachte ich das war ein schlechter witz von irgendwelchen halblustigen. War froh das ned mehr passiert ist und hab auch gar ned weiter nach geschaut ob sonst was ned passt.

sicher grober fehler von mir.
Das mit dem Traffic tja da hast recht ich hoffe da hab ich mir nicht eine fette rechnung aufgebrummt!

Aber danke für die hilfe!

28.06.2006, 15:08 Uhr - Editiert von Moertel4u, alte Version: hier

was ich da noch immer alles für müll auf meinem Webspace finde... löl

http://forum.geizhals.at/files/2542/ebay.jpg

Also ich hätt da ne Idee:

Du gehst über einen Proxy hast du gesagt.
Der Proxy steht beim Provider.

Könnte es nicht sein das die 10.x.x.x - IP im Webinterface die interne IP des Proxy-Servers ist?
Denn sobald du über einen Proxy gehst bist du nicht mehr mit deiner eigenen IP unterwegs sondern es scheint die IP vom Proxy auf.

Und da der Proxy wahrscheinlich im selben INTERNEN Netz ist wie der Webserver.... scheint diese komische private Adresse auf

02.07.2006, 00:22 Uhr - Editiert von dadaniel, alte Version: hier

Mit hardware kenne ich mich wesentlich besser aus

und was hat Hardware mit einer PC (Software)Installation zu tun die du nicht dem Händler überlassen willst?

betreiber wechseln. der muss sich schließlich um die sicherheitsupdates kümmern.
___________________________

Athlon 64 3000+ @ 2475 MHZ, asyncroner Speicher PC400 @ 266, Geforce 7600GT ergibt 5916 Punkte unter 3D Mark 2005 (1024x768, Optimal Filtering).
___________________________
Multi Boot: Suse 10.1, Windows XP, Fedora Core 5

Aber klar, ist ja kein Problem die Scripte jedes Kunden auf Security-Bugs hin zu überprüfen...

so wie er es dargestellt hat, war der provider schuld.
___________________________

Athlon 64 3000+ @ 2475 MHZ, asyncroner Speicher PC400 @ 266, Geforce 7600GT ergibt 5916 Punkte unter 3D Mark 2005 (1024x768, Optimal Filtering).
___________________________
Multi Boot: Suse 10.1, Windows XP, Fedora Core 5

Und was genau veranlasst dich zu dieser Überlegung?

@all:

Habe gestern dasselbe Problem bekommen und stehe nun etwas ratlos da. Ich habe die Vermutung das alles mit Updates meines Forums (phpBB 2.0.20 + Orion 2.3.x) zu tun hat. Kann das sein?

@Moertel:
Hast Du eigentlich ein Schreiben von der Staatanwaltschaft bekommen? Mir wurde soetwas heute schon angekündigt.

haha...ganz ehrlich, anders lernt ihr ja nie dazu.
_________________________________________________________________
Na Server's heast...

hostest du den server selber oder hast einfach webspace beim provider

Ich habe Webspace bei nem Provider.

Sind alle Bugfixes installiert? Auch die von den Add-Ons?

was meinst du mit bugfixes? die von meinem forum?

Na sicher, ohne die wär dein Problem kein Wunder

Nein hat er nicht ... Vorhin schrieb er was von phpBB 2.0.20 - die neueste Version ist aber 2.0.21.
Sieht nach "selbst schuld" aus

Dann gibts auch kein Mitleid

fassen wir zusammen:

du hast einen webspace, der wurde gehackt. die maschine selbst wurde eventuell auch gehackt. und du versteifst dich da auf irgendwelche angeblich geklonten ip adressen etc.

ehm bitte lass das jemanden machen, der sich damit auskennt. was in gottes namen bringt dich zur annahme, dass in deinem logfile noch irgendwas aufgezeichnet sein könnte, was der wahrheit entspricht.

meinst du nicht, dass jemand, der dir den webspace knacken kann und für grossangelegtes phishing vorbereitet, in der lage ist auch deine sogenannten logfiles und applikationen zu manipulieren?

Ich finde es allerhäftigst von den verfluchten hackern was die da treiben.
So hat bis vor kurzem noch meine index seite ausgesehen!

http://forum.geizhals.at/files/2542/index.html

Lustig:

From: "***********" <team@cert.at>
Subject: [CERT.at #21485] Defacement auf 'forum.geizhals.at' / http://forum.geizhals.at/files/2542/index.html
Date: Fri, 22 Jan 2010 17:25:40 +0100
...
English version below)

Sehr geehrtes Abuse-Team, sehr geehrte Damen und Herren!

Sie erhalten dieses Mail, da sie einer der eingetragener Ansprechpartner
für Belange der Domain forum.geizhals.at sind.

CERT.at stieß beim routinemäßigen Durchsuchen einschlägiger
Webseiten und -Foren auf einen Hinweis, daß auch ihre Website Opfer
eines "Defacements" wurde. Beim Aufruf der Adresse
sahen wir, dass dies zutrifft (siehe Screenshot im Anhang).
Aktuell wird forum.geizhals.at auf 85.124.84.240 gehostet.

Wir möchten sie daher bitten, diese Seite dringend anzusehen und
geeignete Maßnahmen zu treffen.
...
We tried to open the address
   http://forum.geizhals.at/files/2542/index.html
in a web browser (see attached screenshot) and to us it looks like the
actual content is probably not what you want to display.

Please investigate yourself and take appropriate measures.

Kind regards,
CERT.at

Unser blühendes Land. Nacktscanner? Aber denkt denn niemand an die Kinder??!!11

» skinflint failblog pictureisunrelated

Köstlich!

Das wirst nicht mehr lustig finden, wenns Euch die Seite sperren.

_______________________________________________________________

http://www.xlprints4you.de http://www.privat-print-shop.de
_______________________________________________________________

Zitat von \\ H //: wenn i Probleme will kauf ich online und zahl per Vorkasse
Quelle: http://forum.geizhals.at/t591666,5002602.html#5002602

http://www.willarbeit.at

Das wirst nicht mehr lustig finden, wenns Euch die Seite sperren.

Den Anwälten ist eh so fad in letzter Zeit.

Ich würde aber schon annehmen, daß die sich das genauer anschauen, bevor sie sich in ein finanzielles Risiko begeben (bzw. die ISPs, die ihren Empfehlungen u.U. folgen). Der Werbeeffekt wäre aber sicher toll.

Unser blühendes Land. Nacktscanner? Aber denkt denn niemand an die Kinder??!!11

» skinflint failblog pictureisunrelated

Naja...

Wir möchten sie daher bitten, diese Seite dringend anzusehen und
geeignete Maßnahmen zu treffen.

Die Frage ist, ob einfach "nichts tun" die richtige Maßnahme ist und ob sie dann nicht sehr wohl die Seite sperren könnten...

Außerdem "Anwälte, denen fad ist" - kann ich mir nicht vorstellen

Auch der Werbeeffekt könnte fraglich sein... Wenn "GH wurde wegen Defacements gesperrt" die Runde macht (was ja sogar real wäre) - könnte das doch etwas an Vertrauen der Kunden reduzieren... Und die Tatsache dahinter - die interressiert eh keine Sau

Die Frage ist, ob einfach "nichts tun" die richtige Maßnahme ist und ob sie dann nicht sehr wohl die Seite sperren könnten...

Ich halte es für eine geeignete Maßnahme, da ihre Diagnose falsch ist (was beim Betrachten der Google-Suchergebnisse für die URL offensichtlich ist - siehe https://startpage.com/do/search?hl=en&client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&hs=0Z4&q=http%3A%2F%2Fforum.geizhals.at%2Ffiles%2F2542%2Findex.html&btnG=Search erster Link, kostet ein paar Sekunden).

Ich glaube nicht, daß ich mir jetzt einen Haxn ausreißen muß nur weil ich mit Mails von der Qualität einer Musikindustrie-Drohmail (falls sich noch jemand erinnern kann) zwangsbeglückt werde.

Ich find's ja nett, daß die so etwas machen, aber die angebliche Überprüfung war halt nicht so das Gelbe vom Ei.

"GH wurde wegen Defacements gesperrt"

Medienrechtlich heikel, falsche Behauptungen in die Welt zu setzen. Und das wollen dann sicher viele sehen => traffic.

was ja sogar real wäre

nein, real wäre "wegen Diskussion über defacement".

könnte das doch etwas an Vertrauen der Kunden reduzieren

Glaube kaum, daß einem Kunden eine Richtigstellung entgehen würde.

Unser blühendes Land. Nacktscanner? Aber denkt denn niemand an die Kinder??!!11

» skinflint failblog pictureisunrelated

nein, real wäre "wegen Diskussion über defacement".

Und genau hier bin ich mir unsicher...

Denn deine Seite würde dann ja wegen eines Defacements gesperrt werden... Niemand würde ja sagen, dass deine Seite defaced wurde

. Im Endeffekt wurde irgendeine Seite defaced und i.d.F. deine gesperrt. Also bleibt der Satz "GH wurde wegen Defacements gesperrt" real

Das Problem ist nun, dass man wegen wahrer Aussagen nur schwer belangt werden könnte - außer du bist was terroristisches wie ein Tierschützer oder so oder zeigst Terroristen (also Tierschützern), wie sie ein VPN benutzen....

Aber JA, die Diskussion ist mühselig. Eine -zugegeben geringe- Gefahr besteht, dass deine Seite gesperrt werden könnte... Und es besteht ebenfalls die -wieder zugegeben geringe- Gefahr, dass sich die Nachteilig für deine Seite auswirkt.

Also _irgendeine_ Antwortmail hätte ich denen schon geschickt

Eine -zugegeben geringe- Gefahr besteht, dass deine Seite gesperrt werden könnte...

Das Risiko wäre es mir wert... Allein schon weil's so lustig ist und sich so viele Leute dabei blamieren würden.

Unser blühendes Land. Nacktscanner? Aber denkt denn niemand an die Kinder??!!11

» skinflint failblog pictureisunrelated

Hehe... Dachte ich mir auch

Erm, Ja`???°!!!!

Ist das nicht schon lange her und was soll das?

Ich hab das damals gar nicht lustig empfunden. Das ganze war für mich auch mit kosten verbunden! Datenbank Wiederherstellung. Also bitte entweder intern blöd lachen oder gar nicht! Danke!!!! Pfffff.... MONKS!

Lustig war, daß wir wegen deinem Posting eine Warnung bekommen haben, daß unsere Seite möglicherweise gehackt wurde.

Unser blühendes Land. Nacktscanner? Aber denkt denn niemand an die Kinder??!!11

» skinflint failblog pictureisunrelated

Ach so sorry, war eben sehr genervt deshalb.

Ich hab das damals gar nicht lustig empfunden. Das ganze war für mich auch mit
kosten verbunden! Datenbank Wiederherstellung.

Na hoffentlich hast du was daraus gelernt und lässt deine Webseite jetzt von einem Profi betreuen und nicht von einem dahergelaufenen Script-Kiddie.

von einem Profi betreuen

Wie soll denn ein Laie einen Profi erkennen können? Unter all jenen, die sich LAMP ins CV schreiben oder irgendein CMS installieren können ...

Unser blühendes Land. Nacktscanner? Aber denkt denn niemand an die Kinder??!!11

» skinflint failblog pictureisunrelated

naja und einige dieser experten sind wohl auch bei cert.at tätig

Naja, was man dort so sieht, handelt es sich vor allem um Leute, die sich schon für Spielregeln im Usenet eingesetzt haben...

Unser blühendes Land. Nacktscanner? Aber denkt denn niemand an die Kinder??!!11

» skinflint failblog pictureisunrelated

das ist natürlich richtig, heisst aber noch lange nicht, dass die personen somit automatisch für alles qualifiziert sind. eine einfache überprüfung der site und alles wäre gut gewesen. so sieht das ganze eher lächerlich aus.

Österreich *PIEP*ei-0623029.ece">verlogen verschis.sen | Sie wollen eure Daten

Ganz einfache Loesung: Du willst etwas benutzen, ohne Ahnung davon zu haben. Wenn Du das abstellst, HTML und bei Bedarf PHP lernst, hast Du im Handumdrehen eine Seite, die fuer Skriptkiddies unangreifbar ist.

Viel Spass bei der Weiterbildung.

So ein Bledsinn...

Ich tippe mal drauf, dass jede Seite, die jeder mal als Erstlingswerk mit frisch gelerntem HTML, PHP, einer DB dahinter, ... weitaus schneller offen ist als jedes Standard-Framework.

absolute zustimmung!

Ich _nenne_ es nicht Bledsinn, es _ist_ Bledsinn.

DAUs an Rechner, die ihre ersten Seiten mit PHP und einer DB dahinter bauen sind genau die Musterbeispiele, wo Du mit simpelsten SQL-Injections sofort reinkommst...

Oder es sind besonders krasse Seiten wie die vom BZÖ, wo sogar das Kennwort im Klartext drinstand

Ich tippe mal drauf, dass jede Seite, die jeder mal als Erstlingswerk mit
frisch gelerntem HTML, PHP, einer DB dahinter, ... weitaus schneller offen ist
als jedes Standard-Framework.

Du tipps falsch. Angreifbar, und zwar ganz leicht, sind Standard-PHP-Werke wie z.B. die allseits beliebten PHP-Foren.

Erstens sind die mit sovielen erkannten und gut dokumentierten (und auch noch mit vielen unerkannten) Schwachstellen versehen, dass es auch für Skript-Kiddies bereits fertige Tools gibt, diese Schwachstellen auszunutzen.

Zweitens sind von solchen Skripts so viele in Verwendung, dass sich Scans lohnen. Skript-Kiddies wollen sich doch nicht mühsam durch individuellen Code quälen; dazu fehlen Ihnen in der Regel auch Wissen und Können. Sie wollen in kurzer Zeit möglichst viele Seiten "aufmachen" und mit ihrer Signatur versehen, um "berühmt" zu werden.

Ernsthafte Hacker hingegen beschäftigen sich in der Regel mit Seiten, auf denen etwas zu holen ist. Ernsthafte Hacker sind aber eine verschwindende Minderheit.

Euer CWsoft
persönlich erreichbar unter +43 676 587 8890

Das siehst Du zu einfach.

Wir müssen trennen in die Wahrscheinlichkeit eines Angriffs (die ist bei weit verbreiteten Bugs natürlich höher) und die Möglichkeit eines Angriffs.

Ich habe dediziert davon gesprochen, dass man eine Anfänger-Seite schneller offen hat.
Dass die Wahrscheinlichkeit eines Angriffs auf eine Standard-Gschicht mit bekannten Bugs höher ist, ist davon unabhängig.

Ich habe dediziert davon gesprochen, dass man eine Anfänger-Seite schneller offen hat.

Und auch das ist nicht richtig. Eine Seite, deren Angriffspunkte bekannt sind, ist nach ein paar Klicks offen. Bei individuell programmierten Seiten muss ein Angreifer erst mal nach Schwachstellen suchen. Anfänger, so sie selbst programmieren, setzen aber selten z.B. PHP ein, wo Sicherheitslücken des Systems häufig vorkommen und andauernd gestopft werden müssten.

Dass die Wahrscheinlichkeit eines Angriffs auf eine Standard-Gschicht mit bekannten Bugs höher ist, ist davon unabhängig.

Von Skript-Kiddies werden ausschließlich Seiten mit altbekannten Sicherheitslücken angegriffen. Und die findest du eben z.B. bei Standard-Foren bzw. in viel veröffentlichen PHP-Skripts.

Und genau um solch einen Fall dürfte sich der Thread drehen. An privaten, selbstgestrickten Seiten hat ein Skript-Kiddy keinerlei Interesse.

Euer CWsoft
persönlich erreichbar unter +43 676 587 8890

Anfänger, so sie
selbst programmieren, setzen aber selten z.B. PHP ein, wo Sicherheitslücken
des Systems häufig vorkommen und andauernd gestopft werden müssten.

DAS halt ich für eine gewagte aussage. erst eine serverseitige skriptsprache kann wirklich die tür für angreifer öffnen - und da ist php nach wie noch die 1. wahl für programmieranfänger! böse zungen behaupten gar, dass PHP fast nur von anfängern verwendet wird. größere, inbesondere kommerzielle web-projekte greifen da lieber auf andere lösungen zurück...

02.02.2010, 00:01 Uhr - Editiert von chillbear, alte Version: hier

und da ist php nach wie noch die 1. wahl für programmieranfänger! böse zungen
behaupten gar, dass PHP fast nur von anfängern verwendet wird.

Gut, dann wurde meine Meinung soeben geändert.

Ich dachte das ganz anders an. Ich meinte nicht "Anfänger", die tatsächlich ihre Homepage selbst erstellen, nicht Anfänger, die so dämlich sind, ein System bzw. eine Programmiersprache zu verwenden, die sie nicht mal ansatzweise kennen.

Und ich bin mir, wenn ich mir den Subthread so ansehe, noch immer der Meinung, dass das der entsprechende Gegensatz zu "bewährten, großen Systemen" ist bzw. wäre, den auch mein Widerpart kombipaket meinte.

Aber das Leben ist so kurz...

Euer CWsoft
persönlich erreichbar unter +43 676 587 8890

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung