Mein Forum wurde gehackt

Mige · Beitrag von **Mige** » 08.03.2006 09:58

Hallo miteinander.

Heute morgen musste ich eine ziemlich schlimme entdeckung machen:

*link wurde wieder raus editiert da die sache erledigt ist

*

jo schaut es euch an

Hab ja jetzt keine möglichkeit mehr mich einzuloggen oder so...
was kann ich in diesem Fall tun?

PS: vor etwa einem monat wollte ich mal ins forum, und sah das ich schon "angeblich eingeloggt" war, und ich konnte mich nicht mehr einloggen. das machte mich schon mal stutzig, und ich habe dann sämtliche Passwörter durch sichere (lang, mit buchstaben und zahlen) ersetzt. Jedoch hat es anscheinend nix gebracht

achja Backups und dergleichen hab ich leider nie gemacht, wer hätte denn gedacht das jemand unserem kleinen kuscheligen Forum so was antutn würde

wenn man f5 gedrückt hält, sieht man nicht da die index seite des hakers, sondern den richtigen forum index. jedoch wurde das forum in den namen des hackers umbenannt, und das Forum sei momentan nicht verfügbar...
mfg

Mige

dopppeldecker · Beitrag von **dopppeldecker** » 08.03.2006 10:04

Hast du noch Zugang zum FTP ?? Dann überspiel mal ein Backup deines Forums.

Mige · Beitrag von **Mige** » 08.03.2006 10:06

Hab ich schon versucht, das geht grundsätzlich auch... nur habe ich leider überhaupt kein aktuelles Backup des Forums.
Somit wären ja dann alle Benutzer/Beiträge weg... Und das wäre eine Katastrophe

dopppeldecker · Beitrag von **dopppeldecker** » 08.03.2006 10:08

Wieso wären dann die Beiträge weg wenn du ein Backup der Forendateien überspielst ? Du sollst ja nicht die Datenbank neu einspielen.

Beitrag von **Dr.Death** » 08.03.2006 10:09

gehe mal mit deinem phpmyadmin auf deine Datenbank und schau mal in die tabelle: phpbb_config

Vielleicht steht dort in einer der Felder ( Boardbeschreibung ) ein fieser code.

Edit: Zudem phpBB 2.0.6 ! Du solltest Updaten auf 2.0.19 , sonst bist du bald erneut Opfer !!!!

Mige · Beitrag von **Mige** » 08.03.2006 10:09

Ja das hab ich auch schon gemacht... es wird trotzdem der index des hackers angezeigt.

edit: ah post von mr. death übersehen, das versuche ich jetzt grad mal
edit2 @ doppeldecker so wies aussieht hat er alle foren gelöscht. als erstes muss ich mal den index des hackers weg bekommen, dann kann ich mich um das eventuelle backup kümmern

King Madness · Beitrag von **King Madness** » 08.03.2006 10:19

Das Problem hatte ich vor einigen Wochen ebenfalls
Die haben irgendwo im Netz eine "Umleitung" eingebaut, die ich selber nicht finden konnte (und bis heute nicht gefunden habe).

Ich habe es nur durch einen Trick wieder hinbekommen :
Ich habe den Ordner des Forums verändert.

Erklärung :
Ich hatte mein Forum www.das-billard-forum.de im Ordner www.das-billard-forum.de/forum/index.php und immer wenn ich den Ordner leer gemacht und gelöscht hatte, einen neuen Ordner "forum" erschaffen und die Software aufgespielt hatte, konnte ich auf dem Server meine Seite sehen, wenn ich die Seite im Netz aufgerufen habe, kam die gehackte Seite.

Also Ordner gelasse, aber leer gemacht (selbst dann wurde die gehackte Seite aufgerufen) und das Forum in einen neuen Ordner "forum0123" reingepackt.

Seitdem läuft es wieder.
An der Datenbank waren sie zum Glück nicht dran.

Mige · Beitrag von **Mige** » 08.03.2006 10:23

du meinst ich soll einfach den gesamten inhalt von die-waechter.ch/forum in z.b. die-waechter.ch/forum2 kopieren?

ckarsten · Beitrag von **ckarsten** » 08.03.2006 10:24

Wenn ich mir mal den Seitenquelltext ansehe scheint die Umleitung in der Datenbank zu stecken: in der Beschreibung der Seite ist ein <body onload> untergebracht - Javascript abschalten reicht um wieder etwas zu sehen, aber die Foren scheinen tatsächlich gelöscht zu sein - möglicherweise ist es auch nur deaktiviert?

Beitrag von **Dr.Death** » 08.03.2006 10:36

Lösung:

gehe per phpmyadmin auf deine DB.

Gehe in die Tabelle: phpbb_config
Gehe in das Feld: site_desc
Lösche den Inhalt des Feldes site_desc ( In diesem Feld sollte ein <body onload blbla enthalten sein )