Mein Forum wurde gehackt?!

woodtiger · Beitrag von **woodtiger** » 09.08.2005 09:40

Seit gestern abend steht in jedem Topic und jedem Post die Mitteilung "Updaten zu phpBB 2.0.17". Damit wurden scheinbar alle Einträge überschrieben.
Derzeit läuft das Forum auf 2.0.12, da ich gestern abend noch mit updaten angefangen und die Code Changes von 2.0.11 auf 2.0.12 eingetragen habe. Weiter bin ich leider nicht gekommen.
Ich habe dafür zum Glück am Sonntag alle Forum-Files vom Server runtergesichert und mit denen arbeite ich lokal.

Haben andere auch so ein Erlebnis?
Ist bekannt, was dahinter steckt?

Wenn ich in der SQL Datenbank nachschaue, sehe ich die Posts aber noch im Originaltext. Wie kommt es dann, dass in der Anzeige nur diese komische Meldung (s.o.) angezeigt wird? Und wie kann ich das wieder wegkriegen?
Das Forum könnt ihr euch unter
http://www.schnuffelbaeren.de/forum ansehen.
Bin für jeden Hinweis dankbar!

Und - ja, ich weiß, inzwischen sind wir bei 2.0.17 und ich hätte schon längst aktuell sein sollen. Aber in letzter Zeit gingen mir die Updates zu schnell, ich hab nicht alle mitgekriegt und nachziehen können.

austrian-i · Beitrag von **austrian-i** » 09.08.2005 11:44

also bei mir sieht dein forum ganz normal aus

woodtiger · Beitrag von **woodtiger** » 09.08.2005 13:10

Hast du mal ein Thema aufgerufen, bzw. ein Unter-Forum? z.B.
http://www.schnuffelbaeren.de/forum/viewforum.php?f=9

Bei mir sieht das nicht normal aus...

austrian-i · Beitrag von **austrian-i** » 09.08.2005 13:34

oh mann das schaut ja echt schlimm aus, hab so was noch nie gesehen.
da hilft wohl wirklich nur ein update

kellanved · Beitrag von **kellanved** » 09.08.2005 14:40

vermutlich ein Wortfilter.

woodtiger · Beitrag von **woodtiger** » 09.08.2005 23:20

Und das bedeutet? Wie kann ich das prüfen und ggf. beheben?
Habe alle Dateien vom Sonntag wieder hochgespielt, nachdem ich nun alle Code Changes bis 2.0.17 drüberkopiert habe. Das Forum wirft keine Fehler, aber es kommen immer noch diese Meldungen in den Posts und Topics anstelle der Original-Texte.

woodtiger · Beitrag von **woodtiger** » 09.08.2005 23:22

Haa, habs gefunden!!
Im Admin Bereich war unter Wortfilter eine Regel eingetragen:
* Updaten zu 2.0.17

Damit wurde wohl alles ersetzt.

Erschreckend allerdings, dass jemand bis in den Adminbereich vordringen konnte! Wie kann man sich besser abschotten, außer, dass man immer alle Updates sofort macht??

wartek · Beitrag von **wartek** » 09.08.2005 23:36

woodtiger hat geschrieben:Haa, habs gefunden!!
Im Admin Bereich war unter Wortfilter eine Regel eingetragen:
* Updaten zu 2.0.17

Damit wurde wohl alles ersetzt.

Erschreckend allerdings, dass jemand bis in den Adminbereich vordringen konnte! Wie kann man sich besser abschotten, außer, dass man immer alle Updates sofort macht??

tja, in den Versionen bis 2.0.13 gab es einen exploit der es erlaubte jedem x-beliebigen User durch einige Manipulation Adminrechte zu erlangen.

Leider gibt es da keine andere Möglichkeit als die Lücken durch die Updates zu schließen.

wartek

woodtiger · Beitrag von **woodtiger** » 10.08.2005 10:45

Danke für die Info! Das Board ist jetzt auf 2.0.17 und der Wortfilter entfernt.
Heißt das, das ein x-belieger registrierte Forums-User jetzt weiterhin Admin-Rechte hat oder ist die Lücke nun definitiv dicht? Muss ich alle Mitglieder prüfen, ob jemand außer den Administratoren noch Admin-Rechte hat?

BraveEagle · Beitrag von **BraveEagle** » 10.08.2005 12:04

Ja mach das in der Datenbank. Da kannst du beim Userlevel sehen, wer Adminrechte hat (Userlevel 1)

Weiter würde ich dir empfehlen alle PW (FTP und DB) zu ändern.

Und zur Sicherheit lies dir das durch: Mein Forum wurde gecrackt - was nun?