Neue Hacking-Variante ?

Garfield312 · Beitrag von **Garfield312** » 18.03.2005 10:50

Hallo.

Mit Erschrecken mußte ich grade feststellen, daß mein Forum :

www.hottelino.de/index.php

nicht mehr funzt, sondern stattdessen eine Werbeseite für Compare Creditcards reingepflanzt wurde.

Das ist auf allen Seiten, die auf dem Server liegen und index.php heißen, der Fall - die funzen nicht mehr ! Die restlichen Seiten gehen :

www.hottelino.de/portal.php

Man kommt nicht mehr auf den Webspace, wenn ich mich mit WS_FTP einloggen will, heißt es :

Code: Alles auswählen

500 OOPS: failed to open xferlog log file:/var/log/xferlog
! unknown open message "500 OOPS: failed to open xferlog log file:/var/log/xferlog"500

Hat jemand ne Ahnung, was das darstellt ?

Garfield312 · Beitrag von **Garfield312** » 18.03.2005 10:59

1110650829 120305 200.97.21.3 /ftopic932.html&highlight=%2527%252esystem(chr(105)%252echr(100)%252echr(59))%252e%2527

Das sagt mein CrackerTracker !

Dave · Beitrag von **Dave** » 18.03.2005 11:00

Wenn der das sagt wurde der angriff ja geblockt. also muß es was anderes gewesen sein

Welches phpbb hast du?

Und kommst du gar nicht mehr auf den ftp?

Garfield312 · Beitrag von **Garfield312** » 18.03.2005 11:15

Habe eben mit netclusive, die den Server betreiben (ich hab selbst nur Webspace auf nem Managed gemietet), telefoniert.

Ich kam gar nicht mehr auf den Server, mittlerweile hab ichs gerichtet. Komme wieder drauf, Seiten laufen wieder.

Sämtliche Dateien index.php und index.html wurden verändert, sogar die in Verzeichnissen, die definitiv von nirgends aus verlinkt sind, weil ich sie nur neu benutze (eins sogar erst gestern angelegt).

Code der geänderten Datei ist :

Code: Alles auswählen

<html><head><title>CJB.NET: Free Web Hosting, Free Domains, Free Forums, Free Blogs</title><meta name="description" content="Free Web Hosting, Free Domains, Free Forums, Free Blogs"><meta name="keywords" content="free web hosting, free domains, free forums, free blogs"></head><body alink="#000066" bgcolor="#eeeeee" link="#000066" text="#333333" vlink="#000066"><center><table bgcolor="#000000" cellpadding="0" cellspacing="1"><td align="center" bgcolor="#ffffff" width="728"><table cellpadding="0" cellspacing="0" height="60" width="728"><td align="left" height="60" width="128"><a href="http://www.cjb.net/"><img alt="CJB.NET" border="0" height="60" src="http://www.cjb.net/logo.gif" width="128"></a></td><td align="center" height="60" width="132"><font face="arial" size="1">Free Web Hosting<br>Free Domains<br>Free Forums<br>Free Blogs</font></td><td align="right" height="60" width="468"><a href="http://www.tera-byte.com/"><img alt="Tera-Byte" border="0" height="60" src="http://www.cjb.net/tera-byte.gif" width="468"></a></td></table></td><tr><td align="center" bgcolor="#ffffff" width="728"><table width="728"><td width="728"><br><center><table width="100%"><td align="center" valign="top"><font face="arial"><b>Free Web Hosting and Free URL Redirection<p><form action="http://www.cjb.net/cgi-bin/signup.cgi" method="post">www.<input maxlength="32" name="username">.cjb.net<p><input type="submit" value="Register it!"></form></b></font></td><td align="center" valign="top"><font face="arial"><b><a href="http://forums.cjb.net/">Get a free forum for your web site!</a><p><a href="http://blogs.cjb.net/">Create your own free blog!</a><p><a href="http://www.cjb.net/account.html">Log In</a></b></font></td></table></center><br></td></table></td><tr><td align="center" bgcolor="#ffffff" width="728"><script src="http://context5.kanoodle.com/cgi-bin/ctpub_adserv.cgi?id=81811844&site_id=81811847&format=728x90&bdcl=000000&bgcl=ffffff&tlcl=000066&ttcl=000000&ulcl=000066"></script></td></table><br><a href="http://www.comparecreditcards.us/"><img alt="Compare Credit Cards" border="0" height="60" src="http://www.cjb.net/ccc.gif" width="344"></a><br><br><font face="arial" size="1">&copy; 2005 CJB Management, Inc. All rights reserved.<br><a href="http://www.cjb.net/contact.html">Contact Us</a> | <a href="http://www.cjb.net/policies.html">Terms and Policies</a> | <a href="http://www.cjb.net/cgi-bin/whois.cgi">WHOIS Lookup</a><br><div style="visibility:hidden"><a href="http://blogs.cjb.net/blogs">Blogs</a> | <a href="http://forums.cjb.net/forums">Forums</a></div></font></center></body></html>

Andere Seiten auf dem gleichen Server liegen noch brach, ich hoffe, die Webbies dort haben ein Backup

Dave · Beitrag von **Dave** » 18.03.2005 11:18

Wenn da mehr seiten auf dem server tot sind dann würde ich mal sagen dein hister hat ne sicherheitslücke

Garfield312 · Beitrag von **Garfield312** » 18.03.2005 11:20

Sämtliche Seiten mit index.php oder index.html waren platt...

Hier ein Screenshot, wer's sehen will :

www.pferde-flohmarkt.de/temp/hacking-screenshot.jpg

Dave · Beitrag von **Dave** » 18.03.2005 11:21

Hoster wechseln oder hoffen dass das nicht nochmal passiert

larsneo · Beitrag von **larsneo** » 18.03.2005 11:31

nachdem du ja die highlight-zugriffe via .htaccess gesperrt hast (gut!) gehe ich einmal davon aus, das evtl. eine andere präsenz gehackt wurde und durch directory traversal davon auch deine seite betroffen war (bei korrekter serverkonfiguration sollte das eigentlich nicht funktionieren...)
provider fragen!

Garfield312 · Beitrag von **Garfield312** » 18.03.2005 12:04

Jetzt geht keine einzige meiner Domains mehr, überall nur noch "The requested URL /index.php was not found on this server."

larsneo · Beitrag von **larsneo** » 18.03.2005 12:36

wie gesagt: provider kontaktieren...