[Erledigt] Hilfe, mein Bord wurde gehackt!!!

[maxl]

Hallo,

ich brauche dringend eure Hilfe!

Habe eben von meinem Provider folgende Nachricht bekommen:

Wir mussten Ihre Website dringend vom Netz nehmen, da ein Hack versucht hat über irgendein unsicheres Skript von Ihnen eine DDOS attacke auf einen andere Sever zu starten, dieses Skript muss dringend entfernt werden von Ihrer Domain, blos welches, müssen sie wissen, dürfte ein php script sein, wo als GET eine URL eingebunden wurde.

Da ich fast ausschließlich php-Skripts für das Forum installiert habe gehe ich davon aus, daß es eines von phpbb sein könnte!

Ich verwende 2.0.10 seit dem Erscheinen des Updates und es lief bisher ohne Probleme!

Hat jemand von euch eine Idee, welche(s) Skript(s) in Frage kommen, bzw. wie ich danach suchen könnte?

Ich bräuchte zumindest einen Ansatz, wie ich vorgehen muß!

Bitte, bitte helft einen kleinen PHP-Würstchen wie mir!

Vielen Dank schon mal!

Maxl

[Underhill]

Ist dein Board wirklich geloescht worden? Oder kann das nur eine Hoax-Mail sein?

Gruss
Underhill

PS: Solche Aussagen und Rechtschreibfehler sollten von keinem Provider kommen...

***
Nachtrag:
In der Hoaxliste habe ich noch nichts gefunden...
http://www.tu-berlin.de/www/software/hoax.shtml
***

[danysahne333]

laut des schreibens ist das imho ein hoax. ich denke nicht das so einen text ein hoster bzw deren support verfasst hat.

[maxl]

Leider ist das kein Hoax!

Die komplette Homepage ist unter "Quarantäne" gestellt worden, also derzeit nicht Online!

Über das FTP-Programm habe ich Zugriff auf den Quarantäneordner, wo ich auch schon einen Ordner entdeckt habe, der mit Sicherheit nicht von mir oder vom Provider stammt!

Den Support meines Providers erreiche ich leider erst morgen, aber ich möchte mich schon jetzt auf die Suche machen! Könnte sowieso nicht wirklich schlafen mit dem Problem!

Also wenn ihr eine Idee habt, dann bitte her damit!

Vielen Dank!

Maxl

[larsneo]

welche zusatzmodule sind installiert?
laufen auf deiner seite sonstige anwendungen?

[Underhill]

...
Die komplette Homepage ist unter "Quarantäne" gestellt worden, also derzeit nicht Online!
...

Gut - dann kann ja erstmal nicht mehr passieren...

Aendere aber zur Sicherheit alle Passwoerter... (FTP, SQL usw) - Man kann nie wissen...

...
ich auch schon einen Ordner entdeckt habe, der mit Sicherheit nicht von mir oder vom Provider stammt!
...

Was ist denn in dem Ordner?


Gruss
Underhill

[maxl]

welche zusatzmodule sind installiert?
laufen auf deiner seite sonstige anwendungen?

Hallo Larsneo!

Ich gehe davon aus, du meinst mit Zusatzmodule MOD's und Hacks:

- Quiz-Hack
- Recent
- Upload (Bilder) für Moderatoren und Admin's
- Report-Hack
- Statistik-Mod
- Forum-Spy
- .htaccess für URL-Umwandlung in html

Glaube, das ist alles!

Sonstige Anwendungen? Was meinst du damit?

Maxl

[maxl]

Was ist denn in dem Ordner?

Gruss
Underhill

Hallo Underhill!

Danke mal an alle, daß ihr euch so um mich bemüht!!!

Tja, was in dem Ordner alles ist, kann ich noch nicht genau sagen, aber ich lade jetzt mal den kompletten Quarantäneordner runter, um mir den Schei... mal anzusehen!

Der Provider meint ja, es würde ein Skript von mir unsicher und da ein GET mit URL vorhanden sein - gibt es da eine halbwegs bequeme Methode das zu suchen oder muß ich das alles "händisch" durchsuchen?

Ich werde den Ordner halt mal mit der Windows-Suche nach www.* absuchen lassen!

Maxl

[maxl]

So, jetzt habe ich mal einen Teil von dem Sch... runtergeladen und da hat auch schon das Antivirenprogramm Alarm geschriehen...

Gefunden wurde u.a. "Linux.Jac.8759" und "Hacktool.Rootkit"

Jetzt weiß ich zwar, daß dieser Ordner gelöscht werden muß, aber nicht wie es zu dem Angriff kommen konnte - es muß ja irgendwie mit dem Skript im Zusammenhang stehen, das der Provider meint.

Ich meine das Löschen der verseuchten Ordner bringt ja nur solange was, bis der Hacker es erneut versucht über das unsichere Skript!

Hat jemand von euch noch eine Idee, wie ich das unsichere Skript aufspühren kann?

Nochmals vielen Dank für eure Mithilfe!!!

Maxl

[Underhill]

Hi,

ich persoenlich tippe auf das Upload-Script...

Schau dir doch mal die Log-Dateien deines Webs an. Ggf. gibt es ja dort einen Hinweis auf den Hacker...

Vielleicht ein Aufruf mit

Code: Alles auswählen

http://www.domain.tld/weiterleitung.php?url=www.boeseseite.de

Gruss
Underhill

PS: Passwoerter geaendert?