HacKed from all house for albanian

madmaddin · Beitrag von **madmaddin** » 09.10.2006 17:44

Was nun???

Ich habe keine Ahnung, was da passiert ist...
Bis vor ein paar Stunden war das Forum noch ganz normal zugänglich... Jetzt ist alles weg und nur noch dieser bescheuerte Text da:

HacKeD SpywarrioR

WwW.SW-SecuritY.NeT

STOP Bye BYEEEE Don't Cry BABY

HacKed from all house for albanian

Bitte schnelle Hilfe... Danke

Siehe meinen Link >>> www.swe4.de/phpBB2/

CatZe · Beitrag von **CatZe** » 09.10.2006 17:53

hoi,

bitte einmal folgendes lesen, und danach handeln:
http://www.phpbb.de/doku/kb/gehackt

ansonsten, ich denke mal, dass Dein Forum nicht uptodate war .. achte bitte in Zukunft auf Aktualitaet!

IPB_Flüchtling · Beitrag von **IPB_Flüchtling** » 09.10.2006 18:34

CatZe hat geschrieben:ansonsten, ich denke mal, dass Dein Forum nicht uptodate war .. achte bitte in Zukunft auf Aktualitaet!

Ist ein 2.0.4 (siehe Quelltext der Seite). Ein Wunder, dass es erst jetzt passiert ist.

Alles Gute, madmaddin!
IPB_Flüchtling

Beitrag von **Mahony** » 09.10.2006 18:53

Hallo
Deaktiviert man mit dem Firefox alle Styles, erscheint folgendes.
Im Footer:
Powered by phpBB 2.0.10
und
Our users have posted a total of 0 articles
We have 1456 registered users
The newest registered user is Bastard
und
Unsere Benutzer haben noch keine Beiträge geschrieben.
Wir haben 29 registrierte Benutzer.

Analyse:

Das Forum war nicht auf dem neuesten Stand
Es wurden alle Beiträge gelöscht
Es wurden scheinbar etliche User gelöscht

Abhilfe:

Ein Datenbank-Backup von vor dem Hack einspielen (mit dem >>>MySQLDumper<<<)
Das neue phpbb 2.0.21 Packet herunterladen und alle Dateien bis auf die config.php hochladen
Im Browser die /install/update_to_latest.php aufrufen (anschliessend die Ordner install und contrib löschen).
Alle relevanten Passwörter ändern.

Grüße: Mahony

IPB_Flüchtling · Beitrag von **IPB_Flüchtling** » 09.10.2006 19:04

Mahony hat geschrieben:Hallo
Deaktiviert man mit dem Firefox alle Styles, erscheint folgendes.
Im Footer:
Powered by phpBB 2.0.10

Das ist seltsam. Habe es nicht überprüft, aber mein IE zeigt mir folgenden Quelltext von www.swe4.de/phpBB2/ Oha, ich sehe es gerade. Das Board hat gleichzeitig zwei phpBB-Versionen:

Code: Alles auswählen

// -->
Powered by <a href="http://www.phpbb.com/" target="_phpbb" class="copyright">phpBB</a> 2.0.10 &copy; 2001, 2002 phpBB Group<br /></span></div>
		</td>
	</tr>
</table>

</body>
</html>


...
...
...
...


// -->
Powered by <a href="http://www.phpbb.com/" target="_phpbb" class="copyright">phpBB</a> 2.0.4 &copy; 2001, 2002 phpBB Group<br />Deutsche Übersetzung von <a href="http://www.phpbb.de/" target="_blank" class="copyright">phpBB.de</a></span></div>
		</td>
	</tr>
</table>

</body>
</html>

CatZe · Beitrag von **CatZe** » 09.10.2006 19:07

iss doch eigentlich egal

sowohl die .04 als auch die .10 sind steinalt!

madmaddin · Beitrag von **madmaddin** » 09.10.2006 21:29

Danke für die schnellen Antworten!!!

Ich werde gleich die Tips von Mahony befolgen und alles neu uploaden!

Vielen Dank...

Eine Frage habe ich allerdings noch aus reiner Neugier:
War das jemand, der das Forum "persönlich" gesucht und gehacked hat oder war das nen Bot der das www nach "alten" Versionen durchsucht und dann alles automatisch löscht?

Grüße aus Bochum

wicked-disorder · Beitrag von **wicked-disorder** » 10.10.2006 01:00

Ich denke mal das das ein normales Site defacing war, da lief sicherllich nur ein Script was nach Schwachstellen suchte.
Wurden nur Deine index.* Dateien verändert?

lg

wicked