Forum schon wieder gehackt

AndreasM · Beitrag von **AndreasM** » 05.05.2006 01:16

Ich bin am verzweifeln

Mein Forum www.amigafuture.de/forum/ wurde heute mehrmals gehackt.

Beim ersten mal wurde der koplette Inhalt des Verzeichnisses (inkl. htaccess admin-verzeichnis) gelöscht.

bei den anderen versuchen wurde jeweils nur eine index datei hochgeladen.

Ich hab nur nicht die geringste wo die Sicherheitslücke liegen könnte

die 20 ist installiert. Also die aktuellste Version.

Beitrag von **cYbercOsmOnauT** » 05.05.2006 01:42

Welche Version hatte Dein Board beim ersten Hack?

Hast Du nach dem ersten Hack Deine gesamte Domain (sprich alle Dateien) gelöscht und das Forum neu hochgeladen? Wenn nicht, kann es gut sein, dass der Angreifer beim ersten Hack sich ein Hintertürchen (ein kleines Script genügt) hochgeladen hat und nun darüber immer wieder Dein Board hackt. Dagegen hilft auch die neueste Version nicht.

Viele Grüße,
Tekin

AndreasM · Beitrag von **AndreasM** » 05.05.2006 01:52

die 18er war online.

Alle Daten wirlich zu löschen ist momentan unmöglich. Späterstens heute war zuminderst das Forum Verzeichnis leer.

Beim ersten mal wars wohl auch nen Script und etwas anders das wurde die index in /forum/ ausgetauscht.

Dieses mal sind ganz geziehlte Attacken gegen mich von jemanden der mich kennt und ärgern möchte.

hab aber grad nen php datei gefunden die da nicht hingehört und seit ner halben stunde online ist.

Beitrag von **cYbercOsmOnauT** » 05.05.2006 02:47

Dann mach Dir die Arbeit und schau nochmal überall auf Deiner Domain nach, ob er nicht noch wo anders irgendwelche faule Eier gelegt hat.

Gruß,
Tekin

BraveEagle · Beitrag von **BraveEagle** » 05.05.2006 06:48

außerdem alle Admin PW ändern, wie FTP und DB

AndreasM · Beitrag von **AndreasM** » 05.05.2006 08:57

c99shell.php v.1.0 pre-release build #13 lag im Forum Verzeichnis drinnen. Aber die Datei war neu. Ne halbe Stunde alt als ich sie entdeckt hatte. Kann also nicht von der 18er stammen.

Irgendwo ist noch nen Leck, ich weiss aber nicht wo

(

TheRealKoston · Beitrag von **TheRealKoston** » 05.05.2006 14:40

mich hats auch erwischt

Der Hacker hat sich "DARK_LAKE" genannt.
Forumsdaten und Datenbank sind nachwievor online, allerdigns wenn ich mich einloggen will erscheint:
"Diese Seite kann nicht angezeigt werden".
Wer könnte mir helfen?
Evtl. via ICQ oder IRC

Werde dort dann auch meine Forumsadresse posten.

Vielen Dank schon mal!

Edit:
Warnungen bei den Indizes der Tabelle `phpbb_sessions`
Die Index-Typen INDEX und PRIMARY sollten nicht gleichzeitig für die Spalte `session_id` gesetzt sein

Das kommt wenn ich bei myPHP die Datenbank überprüfen lasse -
Hab nun von der php_sessions nen backup aufgespielt - nichts hat sich geändert, nach wie vor:
Seite kann nicht angezeigt werden..
Ich kann auch nicht auf die xx/admin/index.php zugreifen

==
So es geht wieder alles;
Nachfolgender Link hat mir sehr geholfen

http://www.phpbb.de/viewtopic.php?t=73427