phpBB.de

Hallo Leute.

Mein Problem ist relativ dringend. Ich habe die SuFu zwar benutzt, aber sehr knapp und auch nichts gefunden. Ich will nicht viel Zeit verlieren, da ich davon ausgehen muss, das es einer dritten Partei gelungen ist Teile meiner phpbb3 Installation zu manipulieren.
Ich habe bis zum späten gestrigen Abend eine Kombination von Joomla und phpBB3 benutzt. Ich vermute das derjenige auch über die Joomla Schiene gekommen ist. Ich habe mittlerweile die Adminpasswörter geändert. Die DB auf angebliche neue Admins kontrolliert und sämtliche Core-Dateien von phpBB3 gelöscht und mit den empfohlenen Einstellungen neu installiert. Dennoch bleibt das folgenden Problem:

wenn sich jetzt ein User neu registriert, wird die "Aktivierungsmail" (in der ja Benutzername UND Passwort stehen) an ALLE registrierten User verschickt. Sprich: wenn der Hacker noch einen Account im System haben sollte den ich bisher nicht identifizieren sollte, kriegt der die auch. Natürlich ist mein Forum momentan gesperrt.

Aber wie werde ich das wieder los? Wo hat der mir reingepfuscht?

Vorläufige Lösung: Ändere die Bestätigungs-eMail und ersetze "{passwort}" (o.s.ä.) in z.B. "*"

Wer sich registriert, kennt sein PW, andere hat es nicht zu interressieren - IMHO

Ich hatte schonmal ein ähnliches Thema, allerdings, daß die ursprüngliche (Admin-)eMail verschickt wurde - anstatt dei von mir geänderte...
Zugangs-PWs (DB & FTP) neu, Alle Dateien (außer die User-Uploadbaren Ordner) gelöscht und durch lokale Backups ersetzt - Thema durch...
Danach die Logs des Hosters angeguckt, und was sehe ich da Die fehlerhafte Datei hatte irgendwie ich hochgeschoben... Anzeichen für einen Angriff waren nicht zu entdecken - Also wohl eher ein L8-Problem

BaerchenHH hat geschrieben:Vorläufige Lösung: Ändere die Bestätigungs-eMail und ersetze "{passwort}" (o.s.ä.) in z.B. "*"

Wer sich registriert, kennt sein PW, andere hat es nicht zu interressieren - IMHO

Wir reden also davon die Vorlage der Datei am PHP Code selbst zu ändern?

Ja, aber es ist eine txt-Datei in "language/xxx/email/"... keine php-Datei.

MCBurner hat geschrieben: Ich habe bis zum späten gestrigen Abend eine Kombination von Joomla und phpBB3 benutzt. Ich vermute das derjenige auch über die Joomla Schiene gekommen ist.

MCBurner hat geschrieben:
Aber wie werde ich das wieder los? Wo hat der mir reingepfuscht?

Joomla 1.5
http://www.joomlaportal.de/sicherheit-j ... ungen.html

Joomla 1.0x
http://www.joomlaportal.de/sicherheit.html

Danke für die Info-Links. Ich werd sie allerdings nicht mehr brauchen. Joomla fliegt aus all meinen Seiten raus und wird auch nicht mehr verwendet. Ich fand das CMS noch nie sonderlich gut. Viel zu viel drin das man nicht braucht. Und nun dass. Ich werde versuchen die betroffene Seite nur noch mit phpbb3 zu realisieren.

Ärgerlich ist allerdings, dass in dem einen Artikel meine Vermutung zur Lösung des Problems bestätigt wird: ich muss nicht nur das Dateisystem löschen und komplett neu einspielen, sondern auch die Datenbank. Schade. Das wird Arbeit bedeuten....
Aber offensichtlich ist der Witzbold an meine Datenbank herangekommen. Da bleibt nur "alles neu".

Hi!
Das tut mir leid.

Für Joomla! gibt es mehr oder weniger ständig Updates. Auch für die 1.5.x
Zusätzlich sollte man sich genau überlegen welche Erweiterungen /Module man einbaut, bzw. sollte man den gesamten Adminbereich (Backend) per .htaccess (zusätzlich) schützen.

http://www.joomlaportal.de/sicherheit-j ... steme.html

http://www.heise.de/newsticker/Einladun ... ung/133590



Grüße,
Roger

P.S.: Aktuelle Versionen für Joomla!

Download Joomla! 1.5.x
1.5.9

Download Joomla! 1.0.x
1.0.15

Wie gesagt, Joomla ist für mich vorerst Geschichte. Zwar wurden auch schon auf andere CMS Systeme erfolgreiche Attacken ausgeführt (und werden wohl auch in Zukunft), aber ich hab auch andere Gründe.

Ich frage mich jetzt nur, wie ich weiter verfahren soll. Ich hab die Datenbank und alle Dateien jetzt erstmal gelöscht und starte komplett neu. Mit neuen Passwörtern und allem was dazu gehört. Ich höre aber schon die User schreien.... nach den alten Threads und Posts. Wie verfahre ich jetzt wohl, um diese möglichst elegant wiederherzustellen? Ich denke nach einer Attacke sollte man nicht wahllos alle Mitgliederaccounts zurücksetzen oder? Einer davon könnte ja die Hintertür beinhalten?

Ich persönlich trenne lieber Systeme statt sie mit einer Bridge zu verbinden, aber das nur am Rande.
Man braucht eine aktuelle, "saubere" Datenbank, zumindest dann, wenn man nicht alles verlieren will.
Ich würde vermutlich ein neues, aktuelles System aufsetzen mit der letzten Sicherung einer "sauberen" DB.
Diese dann einspielen (mySQL Datenbank dumpen, oder per SSH übertragen /sofern Rootzugriff) und danach mal testen.

(Testaccount anlegen)


Grüße,
Roger