mein Forum wurde unterwandert

[King Vidor]

Hallo,

seit der Neuinstallierung meines Forums habe ich ein Problem, das mich derzeit sehr überfordert. Am Freitag habe ich das Forum auf meinem Webhost installiert, in eine nagelneue Datenbank. Aber nicht mit dem Standartstyle prosilver, sondern achik. Die Sicherheitseinstellungen habe ich von Anfang an sehr hochgeschraubt, das es ein reines Familienforum sein sollte. Gäste und Bots sind von vorn herein ausgeschlossen. Neue Mitglieder mussten von mir erst aktiviert werden.
Am Samstag, nachdem sich einige Mitglieder angemeldet hatten, erschien mir morgens das Forum in der Ansicht auf meinem HD-Monitor bildschirmfüllend. Die Schrift war Daumendick, das ACP war, bis auf die Links zur Admin- bzw Forumsansicht komplett weggefräst. Eine Überprüfung der Dateien auf meinem ftp-Host ergab, das sämtliche index.html - Dateien in 3/4 aller Ordner die diese Dateien enthalten, mit einem javascript versehen waren, das definitiv einen Tag vorher nicht existierte. Dasselbe Script fand ich auch in diversen php-Dateien, wie z.B. ucp, config und index. Nachdem ich sämtliche mühselig Dateien von diesem Script befreit hatte, funktionierte das Forum wieder einwandfrei.

Heute Früh dasselbe wieder. Die Forumsansicht übergroß, das ACP zerhackstückelt, das javascript stand wieder in den oben genannten Dateien - alles so, als hätte ich seit dem letzten Mal nichts gemacht. Es dauerte wieder eine Stunde, bis es vollkommen funktionierte. Nur der "Mitglieder"-Link im Header des Forums, verwies - warum auch immer - auf eine, mir unbekannte Webseite: 1stpov.com/traf.php. Seltsamerweise funktioniert die Umleitung nur im Firefox. Logge ich mit mit anderen Browsern ein - Opera, IE, Chrome - werde ich normal in die Mitgliederliste geschickt. Selbst das leeren des Caches im Firefox und das Löschen sämtlicher Cookies brachte kein Erfolg. die Linkumleitung steht wie eine Eins.

Was mich wundert:
1. Woher weiss der Angreifer, wo mein Forum ist. Das wissen derzeit nur zwei Mitglieder meiner Familie, deren PC absolut virenfrei sind. Genau wie meiner. Das Forum ist weder in einen phpBB3 - Standardordner installiert, noch wurde der Link zum Forum weitergegeben. Das Einzige, was bei einer "Standartinstallation" Installation des Forums anders war, ist, das ich seit Beginn "achik" als Standartstyle installierte.

2. Wie macht der Angreifer es, auf meinem ftp-Host herumzufummeln und die javasripts einzuschreiben? Über die Anmeldung gehts nicht. Sämtliche Familienmitglieder die sich registriert haben, werden von mir per Hand freigeschaltet, darüberhinaus ist es derzeit deaktiviert. Desweiteren gibt es, wegen der Angriffe, bis jetzt nur 2 Beiträge und keinerlei, von mir oder Mitgliedern geuploadete Dateien irgendwelcher Art. Ja, man könnte es so sagen, es ist jungfräulich.

3. Wie kommt es zu der Linkumleitung, wenn ich im Firefox auf den Link "Mitglieder" klicke (und was zum Geier ist 1stpov.com/traf.php), obwohl der Cache und sämtliche Cookies gelöscht sind?

Bitte helft mir, wie gesagt, es überfordert mich.

LG
Vidor

[SarahUV]

guck mal hier rein >> https://www.phpbb.de/kb/gehackt

lg

sarah

und frohe weihnachten

[Mahony]

Hallo
Wenn bei dir (im Forum) Dateien geändert wurden, dann liegt es mit großer Wahrscheinlichkeit daran, dass DU dir (auf deinem PC) einen Virus/Trojaner/Malware eingefangen hast. Die erste Maßnahme sollte also lauten, dass du deinen PC nach Viren|Trojanern|Malware scannst. Natürlich sollten im gleichen Zuge auch alle Passwörter geändert werden und frische phpBB3.0.x-Dateien verwendet werden.


Grüße: Mahony

[FRvN]

Meiner Meinung nach wurde der FTP-Zugang gehackt, hatte dies nämlich leider auch einmal letztes Jahr mit den selben Auswirkungen.
Es muß also nicht immer der eigene Rechner infiziert sein

[King Vidor]

Zunächst einmal danke schön, für die Antworten.

@Mahony

Mein PC ist virenfrei. Es wäre schon absonderlich, das ich ausgerechnet einen "Schläfer" auf meinem PC haben sollte, der nur darauf wartet das ich irgendwann ein phpBB-Forum installiere, um dann lozulegen. Andere ftp-Hosts , die ich benutzte(auf denen u.a. ein CMS, ein Blog und ein etwas älteres Gästebuch lagern, die teilweise auch mit DB-Anbindung arbeiten), sind nicht befallen. Nur halt das Verzeichnis des Forums. Mein PC wird regelmäßig gewartet und kontrolliert.

Ich bin wie FRvN der Meinung, das mein ftp-Zugang gehackt wurde. Durch den von SarahUV empfohlenen Link, habe ich mir einige der Tipps zu Gemüte geführt und sämtliche Passwörter der DB, des ftp-Zugangs, des ACP und weiss der Geier noch alles, geändert. Außerdem habe ich den "achik"-Style deinstalliert, komplett vom Host gelöscht und benutze prosilver wieder als Standart. Seitdem scheint Ruhe im Verzeichnis zu herrschen. Ich beobachte das natürlich, aber ich bin voller Hoffnung, das es so bleibt. Eine Neuinstallation des Forums ist keine Option.

lG
Vidor

[SarahUV]

...
Eine Neuinstallation des Forums ist keine Option.
...

wäre aber ohne Datenverlust möglich. dazu mache folgendes:

• Backup deines bestehenden Forums (Datenbank und kompletter Inhalt auf deinem Server)
• den style "prosilver" als Standard einstellen
• alle Dateien auf dem Server löschen außer .\config.php, .\files, .\store, .\images\avatars\upload, und eigenen ordnern, wo sich noch andere hoch geladenen Dateien befinden (wie eigene Grafiken usw.)
• dann das aktuelle phpbb3.11 herunterladen
• packst das Paket aus und lädst das ganze OHNE die config.php auf deinen Server hoch
• dann führst du die ./install/database_update.php aus
• das Verzeichnis ./install löschen
• mit dem Support Tool Kit die Datenbank bereinigen

schöne Feiertage


lg

Sarah


fertig.

wie neugeboren

[Mahony]

Hallo

Mein PC ist virenfrei. Es wäre schon absonderlich, das ich ausgerechnet einen "Schläfer" auf meinem PC haben sollte, der nur darauf wartet das ich irgendwann ein phpBB-Forum installiere, um dann lozulegen.

Gut, dann reden wir mal Tacheles.
Durchschnittlich erscheinen ca. 2300 Viren pro Stunde, 38 pro Minute und ein neuer Schädling alle zwei Sekunden (Tendenz steigend). Das glaubst du nicht? Dann lies dich mal schlau...zum Beispiel hier http://www.pcwelt.de/news/Malware-Flut- ... 55227.html
Bei dieser Masse an Viren kannst du davon ausgehen, dass unzählige Varianten noch nicht einmal in eine Virendatenbank aufgenommen wurden und jederzeit deinen PC befallen können (ohne dass dein Virenprogramm den Schädling erkennen kann).
Des weiteren werden täglich Sicherheitslücken in Programmen und Betriebssystemen gefunden. Die Hersteller veröffentlichen zwar dann auch Patches gegen die öffentlich bekannten Sicherheitslücken, jedoch gibt es auch zig Zero-Day Lücken gegen die es eben noch keine Patches gibt.

Es gilt also zumindest alle Programme, die auf deinem PC installiert sind, auf dem neuesten Stand zu halten.

Du schreibst

Nur der "Mitglieder"-Link im Header des Forums, verwies - warum auch immer - auf eine, mir unbekannte Webseite: 1stpov.com/traf.php. Seltsamerweise funktioniert die Umleitung nur im Firefox. Logge ich mit mit anderen Browsern ein - Opera, IE, Chrome - werde ich normal in die Mitgliederliste geschickt.

Das deutet schon einmal auf einen Schädlings-Befall deines Browsers hin (muss nicht sein, sieht mir aber verdächtig danach aus).

Des weiteren geht die Wahrscheinlichkeit, dass jemand deinen FTP-Zugang über den verwendeten Style gehackt hat so ziemlich gegen null. Der Style achik basiert auf prosilver und enthält lediglich HTML und CSS Dateien (und eben die normalen Javascript-Dateien) über die man nun eben keinen FTP-Zugang hacken kann. Der Style ist bis auf Änderungen in den CSS-Dateien (und eventuell minimale Änderungen an den HTML-Dateien) so ziemlich mit prosilver identisch.
Dass deine anderen Zugänge nicht (oder noch nicht) betroffen sind, muss nichts bedeuten. Es gibt Schädlinge die darauf warten, dass du deinen FTP-Zugang öffnest (verwendest) und greifen dann entweder die Zugangsdaten ab, oder sie schleusen über den offenen FTP (den du dann gerade verwendest) Schadcode in deine Dateien auf dem Server.

Eine weitere Möglichkeit wäre, dass eine andere Software auf dem gleichen Host läuft und eine Sicherheitslücke enthält und der Schädling über eben diese Sicherheitslücke eingeschleust wurde.

Es kann aber auch sein, dass der Server selbst verwundbar ist und der Schädling direkt vom Server kommt.

Sicherheit, woran es denn tatsächlich liegt, bringt nur ein Blick in die Server-logs und genaueste Auswertung der zur fraglichen Zeit stattgefundenen Aktionen. Du solltest sicherheitshalber mal deinen Hoster informieren und die Angelegenheit klären lassen.

Grüße: Mahony

[King Vidor]

Hi Leute,

ich wollte nur kurz noch Rückmeldung geben. In meinem Forum ist endlich Ruhe eingekehrt. Seit meinem letzten Beitrag hier, ist nichts mehr passiert.
Danke schön, für die Hilfe. Ich werde sie, wenn ich sie brauche, gerne wieder in Anspruch nehmen.

lG
Vidor