"Hacking attempt" überall

Einmaliger · Beitrag von **Einmaliger** » 16.08.2006 09:54

Hallo !

Mein phpBB läuft seit Monaten, und es funktionierte heute nacht um 1:00 noch tadellos (es waren noch mehrere Leute online, und es wurden Postings geschrieben). Habe seit Tagen nichts mehr an der Konfiguration geändert oder auch nur eine FTP-Verbindung aufgebaut, und dennoch erscheint heute bei allen Seiten "Hacking attempt" - egal, ob ich index.php, privmsg.php, search.php oder sonstwas aufrufe. Das Board ist damit tot. Ein Blick auf die Datenbank hat nichts verdächtiges ergeben.

Woran kann das liegen? Das ist irgendwie mysteriös.

Beitrag von **oxpus** » 16.08.2006 10:18

Vielleicht gehackt?
Schau doch mal die Dateien an, ob die noch Deinem letzten Stand entsprechen...

Einmaliger · Beitrag von **Einmaliger** » 16.08.2006 10:39

Das Änderungsdatum aller Dateien liegt einen Monat zurück. Alle Dateigrößen stimmen überein. Die Datenbankgröße ist konsistent.

FTP- und Datenbankpasswort sind zufällig erzeugte Zeichenfolgen, Benutzeranmeldung ist gesperrt, Gäste haben Zugriff auf nichts. Dazu noch SSL-Verschlüsselung und aktuelle phpBB-Version. Es ist mir unbegreiflich, was da irgendwer "hacken" können soll.

Das ist doch komplett sinnlos.

Von einem anderen Benutzer wurde ich informiert, dass das Board um ca. 9:00 ausgefallen sein soll.

Einmaliger · Beitrag von **Einmaliger** » 16.08.2006 12:18

Habe ein "diff" auf sämtliche Dateien ausgeführt, verglichen mit einem älteren Backup. Sie sind identisch.

Hat denn keiner eine Idee, woran das liegen könnte?

Einmaliger · Beitrag von **Einmaliger** » 16.08.2006 12:47

Problem gefunden:

In einem Unterverzeichnis gab es tatsächlich eine winzige Änderung:

Code: Alles auswählen

diff attach_mod/attachment_mod.php ../complete4/attach_mod/attachment_mod.php
15c15
< if (!defined('IN_PHPBB'))
---
> if (!defined('ð½HîHPBB'))

Exakt vier Bytes wurden also verändert. Wäre ein Byte weiter "links" geändert worden, wäre der Fehler sofort offensichtlich geworden.

Kann das ein serverseitiger Datenfehler sein oder eher ein gezielter Angriff? Wie kann sowas passieren?

Beitrag von **Fähnchen** » 16.08.2006 12:49

Ich würde dir dringend raten dein Betriebssystem zu prüfen und ggf neu aufzusetzen.
Das sieht mir nach einem Wurm in Windows oder Linux aus.
Unangenehmes Teil, hatte ich mir auch mal eingefangen.
Der hat angefangen Dateiendungen durch kryptische Zeichen zu ersetzen.
Immer den Buchstaben p hat der sich vorgenommen, auch innerhalb von Dateien.
Ich habe allerdings nie herausgefunden was es genau war, aber es zeigte die gleichen Symptome.

Einmaliger · Beitrag von **Einmaliger** » 16.08.2006 12:56

Fähnchen hat geschrieben:Ich würde dir dringend raten dein Betriebssystem zu prüfen und ggf neu aufzusetzen.
Das sieht mir nach einem Wurm in Windows aus.
Unangenehmes Teil, hatte ich mir auch mal eingefangen.
Der hat angefangen Dateiendungen durch kryptische Zeichen zu ersetzen.
Immer den Buchstaben p hat der sich vorgenommen, auch innerhalb von Dateien.

Das Skript lauft auf einem Server von DomainFactory. Und zuhause arbeite ich mit Gentoo (Linux). Deshalb wundere ich ja: Kann es wirklich passieren, dass sich in einem professionellen Rechenzentrum "zufällig" Daten verändern?

Beitrag von **Fähnchen** » 16.08.2006 12:57

Habe meinen Beitrag gerade nochmal editiert.
Ich habe derzeit auch mit Linux gearbeitet, und nie die wahre Ursache gefunden.