phpBB.de

Underhill hat geschrieben:Hi,

ich persoenlich tippe auf das Upload-Script...

Schau dir doch mal die Log-Dateien deines Webs an. Ggf. gibt es ja dort einen Hinweis auf den Hacker...

Vielleicht ein Aufruf mit

Code: Alles auswählen

http://www.domain.tld/weiterleitung.php?url=www.boeseseite.de

Gruss
Underhill

PS: Passwoerter geaendert?

Hmm, kannst recht haben mit dem Upload-Skript - mir ist zumindest aufgefallen, daß der Ordner "upload" lt. FTP-Programm am 16.10.2004 geändert wurde, darin aber nur Bilder drinnen sind, die auch da hin gehören und schon lange da sind.

Danke auch für den Tipp mit den Weblogs - habe da was mit GET gefunden und zwar auf die Internetadresse http://www.geocities.com/s...... (hab die Adresse verfälscht - man weiß ja nicht, was man sich da noch alles einfängt!)

Wenn mich nicht alles täuscht, ist dieser Geocities ja ein Freehoster und da an den Burschen ran kommen wird nicht so einfach sein! Hat das überhaupt Sinn, da weiter nachzuforschen?

Jedenfalls ein bißchen schlauer bin ich schon geworden, Dank eurer Hilfe!

Jetzt muß ich "nur" noch das blöde Skript finden, das den Angriff zugelassen hat...

Maxl

EDIT: Ja Passwort hab ich geändert!!!

ich weiss nicht ob dir das was hilft, aber mit dem editor "weaverslave" kann man textseitige datein nach wörtern durchsuchen, sogar ganze verzeichnisse.

was für einen upload mod setzt du genau ein (bezugsquelle und version)?

@danysahne333:

Danke für den Tipp!

@Larsneo:
Bezogen habe ich den entweder hier oder bei AWSW, glaube eher bei letzterem! (weiß ich nimmer so genau)

Jedenfalls werde ich den MOD sicherheitshalber deinstallieren, sobald ich wieder online bin mit meiner HP!

Habe aber noch ein anderes Skript gefunden, das möglichweise schuld ist und nichts mit phpbb zu tun hat
Sobald ich den ganzen Mist aufgeklärt habe, werde ich euch natürlich Bescheid geben, ob es ein phpbb-Skript war!

Maxl

Hallo Freunde!

So, nun hab ich es geschafft, die Laus ist entfernt!

Welches Skript (eines von phpbb oder ein anderes für uploads) nun schuld war, lässt sich leider nicht sagen

Jedenfalls habe ich den Upload-Mod zur Sicherheit entfernt und bin wieder online!

Nochmals vielen lieben Dank für eure Hilfe!!!

An dieser Stelle möchte ich mich auch bei meinem Provider, Host-Profis, bedanken, der meine Daten nicht einfach gelöscht, sondern nur unter Quarantäne gestellt hat und mich auch sonst in der Angelegenheit unterstützte. (ich hoffe, jetzt nicht gegen das Werbeverbot verstoßen zu haben - falls doch, löscht bitte diesen Teil!)

Liebe Grüße

Maxl

wenn ich das jetzt richtig verstanden habe muss doch dein code dadurch nicht sicher geworden sein oder? oder kannst du den upload mod als sicherheitsloch ausmachen?

oder das "andere" uns mal als DL zur Verfuegung stellen? Waere echt Wichtig fuer uns..

Danke und Gruss
Underhill

@ danysahne333:

Den Upload-Mod konnte ich nicht definitiv als Sicherheitsloch ausmachen - allerdings hatte ich komischerweise im Ordner "upload" ein Änderungsdatum (lt. FTP-Programm), aber keine Änderungen darin vorgefunden! Deinstalliert habe ich ihn nun weil mir dabei doch ein wenig flau im Magen ist und ich ihn ohnehin selten benutzte.

@ Underhill:

Die anderen Skripten stammen von einem Download, den ich für einen Kleinanzeiger benötigt habe (und eigentlich immer noch brauchen würde)!
Anm: diese Anwendung ermöglichte das Schalten von Inseraten mit der Möglichkeit bis zu 2 Bilder upzuloaden - da in dem Ordner der meiste Müll von dem Hacker zu finden war gehe ich davon aus, daß dies das Sicherheitsloch darstellte!

Nochmal möchte ich die Dateien nicht online stellen, aber wenn du willst, kann ich dir die alten Originaldateien als zip (14kb) per Mail senden - falls ja, sende mir bitte eine PN mit deiner Mailadresse!

Liebe Grüße

Maxl

PS: Man möge mir verzeihen, falls ich vielleicht phpbb bzw. den Upload-Mod zu unrecht verdächtigte!