phpBB.de

Hallo,

habe heute folgende Mail von meinem Hoster bekommen:

Sehr geehrte Damen und Herren,

wir mussten Ihren Account leider sperren, da dieser eine erhebliche Menge an SPAM (über 10.000 E-Mails) versendet hat und unser Server bereits von einigen Blacklisten für den E-Mail Empfang gesperrt wurde.

Benutzer: xxx
Server: xxx.de

Ihre Webseite stellt aktuell ein erhöhtes Sicherheitsrisiko dar, daher können sich auch unbefugte Zugriff zu Ihrer Plattform verschaffen und haben dies bereits und von dort aus den SPAM versendet.

Postfach: info@xxx.de
Passwort: xxxxx

Bitte teilen Sie uns kurzfristig mit, ab wann Sie das Sicherheitsloch in Ihren scripten schließen können. Hierfür schalten wir den Zugang dann umgehend wieder frei. Entsprechende Anhaltspunkte können Sie im FTP-Verzeichnis /log Ihrer access- und error-log entnehmen.

Was kann ich tun? Ich habe keine Ahnung wenn ich die Logs lese, ich weiss nicht ansatzweise wo ich nach dem Fehler suchen soll!

Weiss jemand Rat?

Hi,

was hast du denn alles auf deinem Webspace installiert?

Was sind denn Log-Einträge, die dir z.B. nichts sagen?

Grüße

Hallo,

ich habe nur das phpbb3 inkl. einiger Mods installiert.

Naja die Logs sind 160.000 Zeilen Text, was soll ich da wo finden

Fang eben mal beim letzten Eintrag (heute) an und arbeite dich nach unten.

Was für Mods sind denn drauf?

btw: Zuerst solltest du mal alle Dateien vom Server löschen und lokal speichern. Danach deinen Rechner auf Viren/Trojaner scannen und alle Passwörter von MySQL, FTP-Zugang und Co ändern.

Am besten alles neu Aufsetzen:
1) von der DB einen Dump ziehen und lokal aufspielen
2) dort schauen, ob der Cracker sich einen User mit Admin-Rechten angelegt hat und den entfernen (am besten mit lokaler phpBB installation)
3) komplett neuer Server oder eben den bestehenden platt machen
4) überall neue Passwörter (FTP/admin/etc) - SICHERE Passwörter (>=10 Stellen, zufällig mit Ziffern,Buchstaben und Sonderzeichen)
5) phpBB komplett neu installieren
6) nur die Datenbank von der alten Installation nehmen (und natürlich ggF updaten)
7) Dir dreimal überlegen, welche Mods Du wirklich brauchst (vielleicht vorübergehend mal darauf verzichten)

Dann hast Du erstmal wieder ein laufendes System. In der Regel werden keine Domains auf Blacklisten gesetzt sondern IPs. Das kannst Du umgehen indem Du Dir einfach eine neue IP für die Domain besorgst (bzw. einen neuen Hosting account nimmst). Aber das bringt Dir alles nix, wenn Du irgendwo noch Backdoors offen hast. Wenn ein Cracker einen Exploit findet, baut er sich in der Regel noch weitere Angriffsmöglichkeiten.

Gruß, Dave