Benutzeraktivierung geht an ALL User?!!! Gehackt?

MCBurner · Beitrag von **MCBurner** » 03.03.2009 10:05

Hallo Leute.

Mein Problem ist relativ dringend. Ich habe die SuFu zwar benutzt, aber sehr knapp und auch nichts gefunden. Ich will nicht viel Zeit verlieren, da ich davon ausgehen muss, das es einer dritten Partei gelungen ist Teile meiner phpbb3 Installation zu manipulieren.
Ich habe bis zum späten gestrigen Abend eine Kombination von Joomla und phpBB3 benutzt. Ich vermute das derjenige auch über die Joomla Schiene gekommen ist. Ich habe mittlerweile die Adminpasswörter geändert. Die DB auf angebliche neue Admins kontrolliert und sämtliche Core-Dateien von phpBB3 gelöscht und mit den empfohlenen Einstellungen neu installiert. Dennoch bleibt das folgenden Problem:

wenn sich jetzt ein User neu registriert, wird die "Aktivierungsmail" (in der ja Benutzername UND Passwort stehen) an ALLE registrierten User verschickt. Sprich: wenn der Hacker noch einen Account im System haben sollte den ich bisher nicht identifizieren sollte, kriegt der die auch. Natürlich ist mein Forum momentan gesperrt.

Aber wie werde ich das wieder los? Wo hat der mir reingepfuscht?

BaerchenHH · Beitrag von **BaerchenHH** » 03.03.2009 11:06

Vorläufige Lösung: Ändere die Bestätigungs-eMail und ersetze "{passwort}" (o.s.ä.) in z.B. "*"

Wer sich registriert, kennt sein PW, andere hat es nicht zu interressieren -

IMHO

Ich hatte schonmal ein ähnliches Thema, allerdings, daß die ursprüngliche (Admin-)eMail verschickt wurde - anstatt dei von mir geänderte...
Zugangs-PWs (DB & FTP) neu, Alle Dateien (außer die User-Uploadbaren Ordner) gelöscht und durch lokale Backups ersetzt - Thema durch...
Danach die Logs des Hosters angeguckt, und was sehe ich da Die fehlerhafte Datei hatte irgendwie ich hochgeschoben... Anzeichen für einen Angriff waren nicht zu entdecken - Also wohl eher ein L8-Problem

MCBurner · Beitrag von **MCBurner** » 03.03.2009 12:43

BaerchenHH hat geschrieben:Vorläufige Lösung: Ändere die Bestätigungs-eMail und ersetze "{passwort}" (o.s.ä.) in z.B. "*"

Wer sich registriert, kennt sein PW, andere hat es nicht zu interressieren - IMHO

Wir reden also davon die Vorlage der Datei am PHP Code selbst zu ändern?

BaerchenHH · Beitrag von **BaerchenHH** » 03.03.2009 12:50

Ja, aber es ist eine txt-Datei in "language/xxx/email/"... keine php-Datei.

_roger_ · Beitrag von **_roger_** » 03.03.2009 13:03

MCBurner hat geschrieben: Ich habe bis zum späten gestrigen Abend eine Kombination von Joomla und phpBB3 benutzt. Ich vermute das derjenige auch über die Joomla Schiene gekommen ist.

MCBurner hat geschrieben:
Aber wie werde ich das wieder los? Wo hat der mir reingepfuscht?

Joomla 1.5
http://www.joomlaportal.de/sicherheit-j ... ungen.html

Joomla 1.0x
http://www.joomlaportal.de/sicherheit.html

MCBurner · Beitrag von **MCBurner** » 03.03.2009 13:21

Danke für die Info-Links. Ich werd sie allerdings nicht mehr brauchen. Joomla fliegt aus all meinen Seiten raus und wird auch nicht mehr verwendet. Ich fand das CMS noch nie sonderlich gut. Viel zu viel drin das man nicht braucht. Und nun dass. Ich werde versuchen die betroffene Seite nur noch mit phpbb3 zu realisieren.

Ärgerlich ist allerdings, dass in dem einen Artikel meine Vermutung zur Lösung des Problems bestätigt wird: ich muss nicht nur das Dateisystem löschen und komplett neu einspielen, sondern auch die Datenbank. Schade. Das wird Arbeit bedeuten....
Aber offensichtlich ist der Witzbold an meine Datenbank herangekommen. Da bleibt nur "alles neu".

_roger_ · Beitrag von **_roger_** » 03.03.2009 13:27

Hi!
Das tut mir leid.

Für Joomla! gibt es mehr oder weniger ständig Updates. Auch für die 1.5.x
Zusätzlich sollte man sich genau überlegen welche Erweiterungen /Module man einbaut, bzw. sollte man den gesamten Adminbereich (Backend) per .htaccess (zusätzlich) schützen.

http://www.joomlaportal.de/sicherheit-j ... steme.html

http://www.heise.de/newsticker/Einladun ... ung/133590

Grüße,
Roger

P.S.: Aktuelle Versionen für Joomla!

Download Joomla! 1.5.x
1.5.9

Download Joomla! 1.0.x
1.0.15

MCBurner · Beitrag von **MCBurner** » 03.03.2009 15:54

Wie gesagt, Joomla ist für mich vorerst Geschichte. Zwar wurden auch schon auf andere CMS Systeme erfolgreiche Attacken ausgeführt (und werden wohl auch in Zukunft), aber ich hab auch andere Gründe.

Ich frage mich jetzt nur, wie ich weiter verfahren soll. Ich hab die Datenbank und alle Dateien jetzt erstmal gelöscht und starte komplett neu. Mit neuen Passwörtern und allem was dazu gehört. Ich höre aber schon die User schreien.... nach den alten Threads und Posts. Wie verfahre ich jetzt wohl, um diese möglichst elegant wiederherzustellen? Ich denke nach einer Attacke sollte man nicht wahllos alle Mitgliederaccounts zurücksetzen oder? Einer davon könnte ja die Hintertür beinhalten?

_roger_ · Beitrag von **_roger_** » 03.03.2009 16:44

Ich persönlich trenne lieber Systeme statt sie mit einer Bridge zu verbinden, aber das nur am Rande.
Man braucht eine aktuelle, "saubere" Datenbank, zumindest dann, wenn man nicht alles verlieren will.
Ich würde vermutlich ein neues, aktuelles System aufsetzen mit der letzten Sicherung einer "sauberen" DB.
Diese dann einspielen (mySQL Datenbank dumpen, oder per SSH übertragen /sofern Rootzugriff) und danach mal testen.

(Testaccount anlegen)

Grüße,
Roger

phpBB.de

Benutzeraktivierung geht an ALL User?!!! Gehackt?

Benutzeraktivierung geht an ALL User?!!! Gehackt?

Re: Benutzeraktivierung geht an ALL User?!!! Gehackt?

Re: Benutzeraktivierung geht an ALL User?!!! Gehackt?

Re: Benutzeraktivierung geht an ALL User?!!! Gehackt?

Re: Benutzeraktivierung geht an ALL User?!!! Gehackt?

Re: Benutzeraktivierung geht an ALL User?!!! Gehackt?

Re: Benutzeraktivierung geht an ALL User?!!! Gehackt?

Re: Benutzeraktivierung geht an ALL User?!!! Gehackt?

Re: Benutzeraktivierung geht an ALL User?!!! Gehackt?