Forum gehackt - neuinstallation, doch Probleme mit acp

[rosbuster]

Nachdem das Forum auf dem phpBB3.00 lief gehackt wurde und nichts mehr angezeigt wurde, habe ich erstmal den install Ordner wieder hoch geladen aber dann wird auch nur Blödsinn angezeigt
http://sas-ries.de/Forum/phpBB3/forums/install/

Also dann hab ich eben eine neues Forum hochgeladen und installiert.
Das konverten der alten Einstellungen wollte nicht so ganz (ich habs aber von vers2 auf 3 schon mal gemacht), deswegen habe ich dann einfach nach der Installation die config.php runtergeladen und den db prefix einfach dem des alten Forums angepasst.

Dann klappt auch soweit alles, nur kann ich mich nicht im Admin Bereich einloggen mit folgendem Fehler:

"Du kannst deine Anmeldung nicht mit einem anderen Benutzerkonto bestätigen."

Ich hab schon gegoogelt aber da kamen nur so Sachen, dass Skins inkompatibel sind..., doch da halfen bei mir die Lösungsvorschläge nicht.

[markus giersch]

Umpf...
Ist ja übel, ich würde mal das ganze Verzeichniss vom Forum löschen,
Anschliesend würde ich meine Festplatte formatieren und neu aufsetzen,
danach würde ich die ganzen Sachen von phpbb.de neu runterladen und neu installieren.
Sieht ja so aus als hätte jemand ein Scrippt in dein altes Forum eingebaut.

Also, das du das Verzeichniss platt machen musst ist dir klar?
Und inwieweit der Rest dener HP verseucht ist kann ich nicht beurteilen.

Ich kann dich nur insofern beruhigen, das zur Zeit kein Virus oder ein Schädliches Script läuft -> wurde nichts in meiner Firewall angezeigt.

Wie die deinen Installordner Hacken konnten ist mir ein Rätsel.
Aber warte mal lieber auf professionelen support!

PS: Mir fällt gerade auf das in deinem Instal Ordner keine phpbb dateien vorhanden sind.

PS2: Bedank dich bei diesen Leuten: www.birdir.com
Das ist übrigens der Port von wo aus der angriff gekommen sein sollte: 85.17.231.216

PS3 Bitte lösche die Verzeichnisse:
"Bitte stelle sicher, dass du die Verzeichnisse install/ und contrib/ gelöscht hast."

[rosbuster]

Ich hab auf dieser Seite das gefunden
http://www.joomlaportal.de/sicherheit/1 ... acker.html
Die machen sich da wohl n spaß draus und hacken denk ich mal alles was ihnen über den weg läuft, wobei ich deswegen ausgehe, dass sie es nicht speziell auf mich/seite abgesehen haben.
Sie haben ja Seiten geändert, also müssten sie dann ja auch die ftp daten haben?
Und wie bekomm ich mein Board jetzt schnellst möglich wider ordentlich zum laufen.
Install Ordner war gelöscht

[Würzi]

Moin,

wie wäre es mit Backup einspielen und anschließend alle Passwörter ändern

[markus giersch]

Jetzt steht bei dir auch das da:
"
Sorry, aber dieses Board ist im Moment nicht verfügbar. Probier es bitte später wieder."

Das heist es ist deaktiviert

Zum anderen, ja, die müssen meines wissen deine FTP zugangsdaten haben. Deswegen:
Festplatte löschen, neu aufsetzen (sofort danach die firewall installieren und aktivieren), anschliesend alles downloaden -> neu installieren

Nach der neuinstallation kannst du das präfix in der conig.php ändern und deine bneiträge werden wieder angezeigt aus deiner alten DB.
Deine Styles sind dann allerdings alle futsch.

PS: Erstatte anzeige gegen den Betreiber der Seite. so wie es aussieht ist dies eine .de domain. damit kannst du die an den "eiern" packen.
Scherzeshalber kann ja phpbb einen Contest veranstallten wer von uns phpbb usern am meisten deren ihre seite hacken kann *lol*

[rosbuster]

Jetzt steht bei dir auch das da:
"
Sorry, aber dieses Board ist im Moment nicht verfügbar. Probier es bitte später wieder."

Das heist es ist deaktiviert

Das ist von ner alten phpbb2 version, die du da gefunden hast.
Denkt ihr, dass er evtl über diese an die Daten gekommen ist?
Mein PC ist clean und hab eigentlich auch gute Antivirensoftware...

[markus giersch]

Wie ich es gelesen habe machen die es über sogenannte "selbstinstallierende Mods".
Das andere ist, die Laden bei dir ein Bild hoch welches ein Scrippt enthält. Dieses script liest alles aus.
Das heist du musst nach der neu installation folgendes ändern:
Sämtliche Passwörter (auch User, FTP, SMTP, Outlook usw...),
Und naja, passieren kann es immer wieder, da es keinen "Mod" gibt der das automatische installieren von "Mods" verhindert.
Allerdings braucht man dazu auch deine FTP Zugangsdaten.

Also es lief so:
1. Ein Hacker hat ein Bild in dein Forum upgeloadet mit script
2. Das Script hat eine Zeit lang alle Zugangsdaten ausgelesen
3. Anschliesend mit den Passenden Daten ein Modul eingefügt und installiert
4. Ergebniss liegt dir vor.

Also, unbedingt ALLE passwörter ändern

PS: Hast du ein Backup deiner DB?

PS: Ich hatte gerade die Möglichkeit in deinen Adminbereich zu gelingen

Also, lösche bitte das install verzeichniss (es ist immernoch vorhanden)
anschliesend lade eine neue SAUBERE version des install ordners auf deinen Server.

[rosbuster]

von meiner db ja,
aber von meinem Forum nicht

[markus giersch]

von meiner db ja,
aber von meinem Forum nicht

Also, lösche bitte das install verzeichniss (es ist immernoch vorhanden)
anschliesend lade eine neue SAUBERE version des install ordners auf deinen Server.

Solange du ein Backup von deiner DB hast ist alles in Butter.
Damit hast du alle Beiträge gesichert.

Rein Theoretisch könntest du jetzt auch das ganze Forum so wie es ist aus denem Webspace löschen und komplett neu installieren in der version in der du es auch installiert hattest. anschliesend ändern wir den präfix in der config.php und dein forum ist wieder da. das aussehen und die mods kann man immernoch nachträglich installieren (die daten sind ja in der DB gesichert - geht also nichts verloren)

Aber bevor du das machst mach malö folgendes:
http://sas-ries.de/Forum/phpBB3/forums/ ... /index.php
Diese Index.php ist verseucht.

DIE INDEX IST VERSEUCHT - löschen, neu laden

Hier die gehackte Version der Index.php fürs phpbb.de Support Team - zum nachschauen:

Code: Alles auswählen

Zuviel Code entfernt - Dr.Death

[rosbuster]

Also jetzt hab ich phpbb2 und das gehackte phpbb3 gelöscht,
Alle Passwörter geändert (ftp, mysql)
und jetzt eine neue phpbb3.02 aufgespielt und meine alte Datenbank eingebracht.
Funktioniert jetzt auch alles und ich hoffe mal, dass ich jetzt meine Ruhe habe
Danke für eure schnelle Hilfe *THUMBS UP*