Mein Forum wurde gehackt :(

eleanora · Beitrag von **eleanora** » 27.03.2006 08:22

Hallo Leute

mein Forum wurde heute morgen gehackt. Es ist nichts zerstört worden, aber der Hacker hat mehrere Beiträge geschrieben. Unter anderem auch in einem Forum was nur für den Admin zugänglich ist.

Der Hacker hat sich als !Sigurd! eingelogt und in den verschiedenen Unterforen kleine Beiträge hinterlassen.

Ich habe ihn aus der Mitgliederliste gelöscht und seine IP gebannt.
Nun frage ich mich, ob das ausreicht, da er ja Zutritt im Admin-Bereich hatte.

Mein Forum http://www.gimp-werkstatt.de/Forum/phpBB2/index.php
Das neueste Update ist installiert.

Ok, dies ist vielleich ein Noob Hinweis, aber mir ist aufgefallen, dass in dem Feld in dem man manuell seinen Nick einträgt bein einloggen ins Forum, schon viele Namen gespeichert sind, von denen ich einige kenne und andere nicht. Allerdings sind sie nicht von mir dort hineingeschrieben worden. Vielleicht könnt ihr mir erklären, wie die da hineinkommen.

Ich benutze den FF unter Linux-Ubuntu Breezy Badger

Außerdem war mein Forum wie hier zu lesen viele andere auch Angriffsziel verschiedener Spambots. Ich habe erst vor kurzem die Visuelle Bestätigung aktiviert.

Ich danke euch schon mal im Voraus.

Gruß Eleanora

Christian Benz · Beitrag von **Christian Benz** » 27.03.2006 10:19

Hallo,

Das neueste Update ist installiert.

Seit wann? Wurden die Updates immer gleich nach dem Erscheinen durchgeführt oder erst mit (längerer) Verzögerung?

Mein Forum wurde gecrackt - was nun?

Gruß,
Chris

eleanora · Beitrag von **eleanora** » 27.03.2006 13:42

Hallo Christian

ich hab im Januar das Update von 18 auf 19 gemacht. Seit dem ist kein neues Update von der Software angezeigt worden.

Also ich muss mich korrigieren, der Hacker war angemeldet, hatte aber als "Gast" die Nachrichten geschrieben. Ich hab aber im ganzen Forum die Befugnisse auf Reg. gestellt. Also jemand der nicht registriert ist, kann im Normalfall gar nicht posten

Als homepage hatte er eine Seite mit Versicherungen angegeben und als e-Mail-Addy eine die mit *.ru endet.
Diese E-Mail Endung hatte ich über die Forensoftware gebannt. Also wie konnte er sich da anmelden ?

Er hat sich Zugang zum Adminbereich bereich verschafft und auch dort eine Nachricht hinterlassen. Er hat also keinen Schaden angerichtet. bzw. irgendwas zerstört, aber es beunruhigt mich doch sehr, dass sich da jemand eingeklinkt hat.

Ich habe in den letzten Tagen kein Backup des Forums gemacht. Wenn ich das jetzt mache, laufe ich da nicht gefahr, dass ich eine Tür, die er sich vielleicht geöffnet hat wieder aufspiele, wenn ich das Forum neu installiere?

Gruß Eleanora

Thomapyrien · Beitrag von **Thomapyrien** » 27.03.2006 16:43

Hi Eleanora,

hatte den selben Kerl heute als Mitglied drinne und auch 3 unsinnige Beiträge ! Das geht nun schon wieder seit 3-4 Tagen täglich so, daß sich einer mit ner *.ru Email anmeldet und 3-4 unsinnige Beiträge schreibt und ich alles wieder lösche

!

Soweit ich allerdings weis kannst du die Emails nicht so bannen *.ru (oder etwa doch ??) ich denke du kannst dies nur so tun *@irgendwas.ru !

EDIT: habs gerade mal so probiert einzutragen : *@*.ru (scheint zu funktionieren)

Internette Grüße
Thomapyien

eleanora · Beitrag von **eleanora** » 27.03.2006 16:51

hi
na das hört sich ja nett an

ich hab grad mal nachgeschaut. Stimmt, die Software hat den Bann nicht übernommen. So ein....

Ich hab aber seine IP gesperrt. Nur dürfte das für ihn nicht das Problem sein. Er gekommt spätestens nach 24 Std. eine neue.

Könnte man die Software irgendwie dazu bekommen das sie *.ru bannt? oder *.info
Gruß Eleanora

Zlocko · Beitrag von **Zlocko** » 27.03.2006 16:58

eleanora hat geschrieben: Er gekommt spätestens nach 24 Std. eine neue.

Wieso erst nach 24h????

Ich bekomm jedesmal nach einem Neustart eine neue IP zugewiesen.

eleanora · Beitrag von **eleanora** » 27.03.2006 17:02

Stimmt, ich bin von dem Idealfall ausgegangen, dass er immer online ist und dann nach 24 std. erst durch die Zwangstrennung der T-com eine neue bekommt

Mavo460 · Beitrag von **Mavo460** » 27.03.2006 17:11

Dann wäre sicherlich der Topic für euch hilfreich: http://www.phpbb.de/viewtopic.php?t=112763

MfG Marco

eleanora · Beitrag von **eleanora** » 27.03.2006 17:19

hallo Mavo460

den Thread hab ich vor ein paar Tagen gelesen wegen der Bots
Seit dem hab ich die visuelle Bestätigung auch eingeschaltet, aber wie soll mir das weiterhelfen gegen diesen Typen, der sich als Gast in meinen Adminbereich eingeschlichen hat.
Das beruhigt mich noch am meisten.

Gruß Eleanora

Pyradur · Beitrag von **Pyradur** » 27.03.2006 20:10

Hallo,

habe auch seit einiger Zeit Einträge die da nicht hingehören. Auch mit einer *@*.ru Mail-Adresse. Die visuelle Bestätigung nützt da wohl nichts...

Habe allerdings noch die Version 1.18 im Einsatz. Werde gleich auf 1.19 updaten.

Was mich wundert:
Wenn ich in die Benutzerverwaltung des Eindringlings gehe, steht dort als Anmeldename *mein* Anmeldename, ansonsten aber die Daten den Eindringlings. Wie kann das sein?

Das ist bei diversen Accounts der Fall. Nicht nur bei einem.