Session-ID geklaut, Hacking-Versuch

[Fnord]

Hallo,

gestern hat jemand versucht, in unseren Admin-Bereich einzudringen und ein Backup der Datenbank zu machen.

Ich war als Admin angemeldet, jedoch nur im Frontend. Verwendet hat der Angreifer meine Session-ID.

So wie ich das Szenario bislang durchgespielt habe, kann es ihm nicht gelungen sein, ein Backup der DB runterzuziehen, da ich nicht im Admin-Bereich angemeldet war? Richtig?

[Dufftown]

gestern hat jemand versucht, in unseren Admin-Bereich einzudringen und ein Backup der Datenbank zu machen.

Hallo,

woher weisst Du das eigentlich alles? Sind das alles Vermutungen oder gibt es irgendwelche Aufzeichnungen, Tatsachen, Indizien?

Weswegen sollte man in den Admin-Bereich wegen der Datenbank? Da kommt man auch ohne das Forum dran.
Daher kommt mir Dein Satz irgendwie unlogisch und faktenlos vor.

[Fnord]

gestern hat jemand versucht, in unseren Admin-Bereich einzudringen und ein Backup der Datenbank zu machen.

Hallo,

woher weisst Du das eigentlich alles? Sind das alles Vermutungen oder gibt es irgendwelche Aufzeichnungen, Tatsachen, Indizien?

Weswegen sollte man in den Admin-Bereich wegen der Datenbank? Da kommt man auch ohne das Forum dran.
Daher kommt mir Dein Satz irgendwie unlogisch und faktenlos vor.

Nun, mir nicht. Auf einem Webserver werden Logfiles angelegt und daraus ist klar ersichtlich, was geschehen ist.

adm/index.php?i=database&sid=xxxxxxxxxxxxxxxxxxx&mode=backup&action=download

Session-ID war die, des im Frontend angemeldeten Admins. Der Aufruf kam jedoch von einem US-Server.

[HJW]

Hallo,

wird bei dir die SID im Browser angezeigt?

[Fnord]

Hallo,

wird bei dir die SID im Browser angezeigt?

Nein, wie er genau rangekommen ist, konnten wir noch nicht herausfinden.

[Dufftown]

Nun, mir nicht. Auf einem Webserver werden Logfiles angelegt und daraus ist klar ersichtlich, was geschehen ist.

Das hast Du aber für Dich behalten.

Also eindeutig zu wenig Infos verteilt. Man soll hier raten? deshalb meine erste Frage.

[Fnord]

Nun, mir nicht. Auf einem Webserver werden Logfiles angelegt und daraus ist klar ersichtlich, was geschehen ist.

Das hast Du aber für Dich behalten.

Also eindeutig zu wenig Infos verteilt. Man soll hier raten? deshalb meine erste Frage.

Sorry, aber ich dachte eigentlich, dass man in die Logfiles schaut ist selbstverständlich, wenn man ein Forum führt.

[Dufftown]

Mal ne andere Frage: warum quotest Du eigentlich immer den KOMPLETTEN VORHERIGEN Beitrag?


Nein, das ist nicht selbstverständlich. Nicht jeder der es kann tut es wirklich. Und es gibt durchaus aus User die das gar nicht können. Kann je nach ANgebot bzw. Hoster verschieden sein.

[Fnord]

Mal ne andere Frage: warum quotest Du eigentlich immer den KOMPLETTEN VORHERIGEN Beitrag?

Ist das jetzt wirklich relevant?

Nein, das ist nicht selbstverständlich. Nicht jeder der es kann tut es wirklich. Und es gibt durchaus aus User die das gar nicht können. Kann je nach ANgebot bzw. Hoster verschieden sein.

Ok, mal von Billig- oder Freehostern abgesehen, hast du denn auch etwas Sachdienliches zum Thema beizutragen?

[Tim]

Also rein theoretisch dürfte derjenige nicht in den Adminbereich kommen können, wenn du dich darin noch nicht eingelogt hattest, dafür ist die zweite Authentifizierung ja da. 100% sicher ist das aber nicht, denn man fragt sich eben auch, wie der Hacker an die Session-ID kommen konnte.

Was du auf jeden Fall noch machen solltest ist, den Ordner adm mit einem htaccess-Passwortschutz zu sichern, habe ich auch gemacht und dann kann man selbst mit Adminrechten noch nicht viel anstellen, wenn man das htaccess-Passwort nicht kennt. LG Tim