ilch.de :: Forum :: Ilch Clan 1.1 :: Fehlersuche und Probleme

ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Website wurde gehackt!

Gehe zu Seite:

Geschlossen

Mi. 28.01.2009 21:36 Uhr #1

=[KKB]=Becks Mitglied

Hallo liebe Community!
Vor über einem Jahr sind mein Clan und ich von phpkit auf das ilch-Script gewechselt, da das phpkit löchrig war und unsere HP zum Ende hin des öfteren gekapert wurde - war natürlich ganz klasse... -.- Seit diesem Zeitpunkt nutzen wir also das ilch-Script, in der Hoffnung, dass die Aktionen von Crackern endlich ein Ende haben. Dem ist seit gestern leider nicht mehr so... Unser Serveradmin vom Rechenzentrum hat unsere Website - um genau zu sein unseren ganzen Account - sperren müssen, da unsere alleinige Website zwischen vielen etlichen anderen den Webserver zu 80 % (!!) ausgelastet hat - ein klares Anzeichen einer feindlichen Übernahme.
Aus dem Grunde habe ich gestern die Updates von Version 1.1H auf 1.1L durchgefuhrt. Leider half das nichts und heute ist die Website wieder down, da sie schon wieder übernommen wurde...

Nun ist also das Problem, dass keiner von uns weiß, was passiert ist, geschweige denn, was wir dagegen tun können! Was ist nun passiert?? Haben wir Würmer (oder ähnliches) zwischen unseren bzw. in unseren Dateien zu liegen? Durch welche Lücken in der Software (vlt pezielle Scripte?) kommen diese?

Wir brauchen dringend Hilfe! grumml

:'(

betroffene Homepage: externer Link

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 21:40 Uhr #2

Chainy Mitglied

Boah das is heavy, gleich mehrmals allesfü die katz.... echt mein beileid... Also ich hab da nich viel ahnung von, aber wenn das so oft pasiert, haste ma überlgt, ob da jemand nich so wirklich vernünftig mit den admindaten umgeht?

"...mich interessiert nicht warum sich die Leute an mich erinnern, Hauptsache sie tun es!
----------------------GeT HaRdCoRe----------------------

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 21:46 Uhr #3

Son!c Hall Of Fame

als erstes sind das keine cracker sondern hacker zwinker

desweiteren würd ich mal die passwörter ändern:

- mind. 12 Zeichen
- Groß- und Kleinbuchstaben
- Sonderzeichen
- Verschiedene PWs benutzten

große lücken im script gibts kaum ... das ilch script ist eines der sichersten im netz - denk ich.

Nimm das Leben nicht zu ernst, du kommst sowieso nicht lebend raus.

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 21:47 Uhr #4

=[KKB]=Becks Mitglied

Wir sind zwar ein Clan, aber kennen uns alle persönlich. Passwörter kennen nur gewisse Leute und du würden unsere Website nie zu Grunde richten, denn sie arbeitens elber aktiv daran mit. Das kann also ausgeschlossen werden. Wir waren auch schon immer massiven Attacken von Spammern ausgesetzt, denen wir uns bis zu letzt energisch und mit Erfolg entgegensetzen konnten.

Zudem muss der Wum (what ever) irgendwo eingeschleust haben. Ich kann aber absolut nicht zuordnen wo, weshalb ich zur Fehlerbehebung momentan keine für euch hilfreiche Informationen bereithalten kann. Falls also jemand Infos über Scripte oder Versionen benötigt, dann werd ich mir die irgendwie ranholen - hab ja noch ein Backup zwinker

Zitat geschrieben von Sonc

als erstes sind das keine cracker sondern hacker zwinker

Nein, eigentlihc sind es Cracker. Hacker ist ein legaler Job, während die Cracker die illegale Seite darstellen. Deshalb werden Spiele auch gecrackt und nicht gehackt lächeln

Angenommen, man habe uns die PWs geklaut. Was könnte die Leute getan haben, dass unsere Website den Webserver zu 80 % auslastet? Dann könnte ichd ie PWs ändern und das Geschehene rückgängig machen.

Zuletzt modifiziert von =[KKB]=Becks am 28.01.2009 - 21:51:10

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 21:50 Uhr #5

=[KKB]=Becks Mitglied

Sry, Doppelpost!

Zuletzt modifiziert von =[KKB]=Becks am 28.01.2009 - 21:51:32

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 21:51 Uhr #6

MVN050 Mitglied

ein kleiner tipp ma von mir

das gleiche hatte ich auch (bei webspell)

bei mir is alles gelöscht gegangen naja was heißt alles

index.php war da und die unterordner auch aber der inhalt der unterordner war weg

seitdem gebe ich keine passwörter mehr raus und seitdem is da auch nix mehr passiert

ich rate dir dein passwort zu ändern und alles alleine zu machen

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 21:54 Uhr #7

=[KKB]=Becks Mitglied

Also Fakt ist, dass ich demnächst cryptische Passwörter einfügen werde. Trotzdem glaube ich nicht zwingend, dass es daran liegt. Und selbst wenn man mir die Passwörter geknackt/geklaut hat, muss man den Wurm oder Software eingeschleust haben. Nur wie finde ich ihn und wo?

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 22:03 Uhr #8

Tyrargo Mitglied

überprüf mal deine index.htm ob da nicht irgendwas drin steht, was komisch aussieht. links zu anderen nicht bekannten seiten usw...

dann: upload für user deaktivieren.

script immer aktuell halten!
ilch hat in der neusten version keine bekannten sicherheitslücken!

Clanseite | Beste Seite wo gibt ^^
Mairus Ilch-Mods

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 22:21 Uhr #9

Lord|Schirmer Administrator

Ein Problem können auch andere Scripte oder Ordner sein mit nicht passenden Zugriffsrechten (chmod)!

rules :: doku :: faq :: linkus

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 23:07 Uhr #10

Chainy Mitglied

hacken ist legal? seit wann das denn? hab ich wat verpasst...?

"...mich interessiert nicht warum sich die Leute an mich erinnern, Hauptsache sie tun es!
----------------------GeT HaRdCoRe----------------------

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 28.01.2009 23:39 Uhr #11

HeX Hall Of Fame

hacken ist legal, aber auch nur wenn du die erlaubsnis des gehackten dazu hast zwinker

wenn es nur um die auslastung des servers ist, des kann man auch durch diverse andere techniken machen zb. ddos-atacken ... da gegen ist jedes noch so gute script oder passwort machtlos.

drum, lass dir mal von deinen privider sagen wieviele verbindungen offen waren als der server in die knie ging

Discite moniti!
www.pixelbash.de

0 Mitglieder finden den Beitrag gut.

zitieren

Do. 29.01.2009 11:43 Uhr #12

Chapter Hall Of Fame

hacken ist nicht nur bedingt legal, sondern sogar ein richtiger job. zwinker

Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
externer Link

0 Mitglieder finden den Beitrag gut.

zitieren

Do. 29.01.2009 12:54 Uhr #13

=[KKB]=Becks Mitglied

Zitat geschrieben von Chapter

hacken ist nicht nur bedingt legal, sondern sogar ein richtiger job. zwinker

Zitat geschrieben von HeX

hacken ist legal, aber auch nur wenn du die erlaubsnis des gehackten dazu hast zwinker

Genau, so schaut das mit dem Hacken aus lächeln

Wenn das Hacken illegal ist, dann heißt das Cracken.

Also DDoS schließe ich erst einmal aus; nachfragen werde ich dennoch. Und "nur die Auslastung des Servers" ist gut - da laufen viele Webseiten drauf, weshalb der Server entsprechend dimensioniert ist. Da fällt unsere Website für gewöhnlich nicht ins Gewicht, weshab 80 % Auslastung gesamt enorm sind. Aber ich weiß noch immer nicht, was man denn über unseren Account oder unsere Website oder was weiß ich getan haben könnte, dass dies den Server so stark auslastet. Wurde ein Wurm installiert, der sich von dem Server aus nun auf tausende andere verbreitet oder hat man mal wieder Filesharing über unseren ftp betrieben (wie bei phpkit)? Irgendetwas muss den Server doch so auslasten!

Edit: Ich habe gerade bei unserem Serveradmin angerufen und der meinte auch, dass wir mal alle Passwörter resetten sollen; darunter auch das PW für die Datenbank (SQL), da an dieser Stelle wohl sehr viele Anfragen gestellt wurden. Nur Frage ich mich trotzdem: Woher haben die unser cryptisches Passwort? Selbst, wenn man es aussrechnen würde, bräuchte man erst einmal den Key dafür! :/ Und sagt mal, wieso crackt man eigentlich immer uns?^^

Zuletzt modifiziert von =[KKB]=Becks am 29.01.2009 - 13:43:31

0 Mitglieder finden den Beitrag gut.

zitieren

Do. 29.01.2009 14:55 Uhr #14

HeX Hall Of Fame

kein plan... vielleicht habt ihr eine einladene lücke und zwar nicht im script.. vielleicht eher eurer provider im mysql server, apache oder sowas in der art
glaube kaum das alle scripte die ihr hattet solche lücken haben... und der einzigste weg bei ilch an die mysql daten ran zukommen ist die config.php auszulesen und wenn die chmod 666 hat gibt es derzeit keinen uns bekannten weg diese übers script auszulesen.

Discite moniti!
www.pixelbash.de

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 30.01.2009 04:06 Uhr #15

Rock@wulf Hall Of Fame

Also bei mir lag es das letzte mal daran, dass einer meiner co Admins ein Sehr einfallsreiches Passwort like Geburtstag hatte -.-

Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 30.01.2009 05:01 Uhr #16

b-hunter Mitglied

ilch-mods ist derzeit auch betroffen davon, evtl. module oder sowas hochgeladen ?
villt. gibt es wirklich irgend eine neue sicherheitslücke die noch keiner gefunden hat...

Designen ist fehlerhafte benutzung von Photoshop lachen

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 30.01.2009 09:33 Uhr #17

HeX Hall Of Fame

vielleicht, aber wenn es eine öffentlich bekannte lücke wäre dann wären postings in diversen foren dazu und es würden mehr als ein oder zwei seiten betreffen.

besonders da es hier wo wie ich es gelesen habe nur die serverlast nach oben treibt und bei ilchmod die datenbank fehlerhaft war... also zeigt es derzeit nichts auf die größere lücke

Discite moniti!
www.pixelbash.de

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 30.01.2009 09:53 Uhr #18

boehserdavid Mitglied

Hey, Leutz!

Ich kann auch da mal etwas beruhigen. Derzeit ist kein Exploit für das aktuelle Ilch bekannt.
Aber du hattest ja H, tja, dann bist du selber Schuld. Per Bruteforce das PW knacken, dauert ungefähr 24h (je nach Art des PW). Und mit dem kleinen FTP Client ( zwinker

)(den Ilch bis K hat) kann man dann fix die config.php auslesen, egal welchen CHMOD diese hat. Das wäre wohl die ansprechendste Lösung.

Dann nütz es dir aber nicht einfach auf L updaten, weil vergessen die PW's zu ändern. Aber jetzt waren sie ja geändert. Auch kein Problem, Bruteforce fürs PW, DB kopieren über DB Backup im Admin, somit kann man auf den User der DB schliessen (anhand des DB-Namens) !leider.
Nun die richtige Seite finden (welche für den PHPMyAdmin Login zuständig ist) und der Bruteforce geht von vorne los, man hat ja schon den Benutzer.

Mit der richtigen Technik und dem dazugehörigen Wissen dauert das ganze bei 0815 PW's 48h.

(Fragt mich nicht woher ich das weiß, sowas weiß man halt, wenn ...)

Kann man das auschliessen, liegt es an Sicherheitslücken in Modulen.

Bin ja mal gespannt, wann sie meine Page in Angriff nehmen, weil ich bin der einzige Admin und habe Zugriff auf alle Features. Und da meine Version nicht mit 1.1 zu vergleichen ist, und es ungefähr 400 Jahre dauert meinen PW Hash zu knacken (ja ich habe ein langes, kompliziertes PW), werde ich mich ganz entspannt zurück lehnen und geniessen.

Kleíner Tipp, es reicht nicht nur das Update zu machen, dein Script muss vorher von allen Schädlingen befreit werden, alle Ordner nach Fremddateien durchsuchen und löschen, schadhaften Code aus jeglichen Dateien löschen ( < iframe > ) und dann kannst du updaten.

Mit böhsen Grüßen
BöhserDavid

-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 30.01.2009 11:15 Uhr #19

Rock@wulf Hall Of Fame

Das beste dagegen ist regelmößig backups zu machen ich mach die db 1mal am tag und die gesamte Page alle zwei wochen zunge

Wenn wir mal gehckt werden süiel ich alles neu auf mach quasi nen format mit dem webspace

danach ist wieder ruhe...

Aber auch mir ist kein Exploit bekannt evtl wirklich was neues 100% gibt es halt nicht zunge

Mal sehen

Aber es liegt oft am neben admin der Meint er müsste ein pw like Telefonbuch verwenden das dauert echt ned lang da muss ich dem David zu stimmen

Wie bei ihm kann man mein script auch nichtmehr wirklich mit 1.1 vergleichen zunge

Meine Postings repräsentieren meine Meinung wenn nicht anders gekennzeichnet.
MFG Rock@wulf

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 30.01.2009 12:14 Uhr #20

boehserdavid Mitglied

Ich korrigiere mich mal. Um auch den Ahnungslosen auf die Sprünge zu helfen.
Euer PW wird ja als MD5 Hash gespeichert, besteht immer aus 4 * 32 bit, macht gleich 32 Zeichen im Hexadezimalsystem.
Hexadezimal hat 16 verschiedene Zeichen ( 0-9, a-f )
Rechnet man jetzt mal hoch
Hash: 16^32 = 3,40282...e+38
PW: unendlich durch unbegrenzte Länge

D.h. im Klartext zu jedem MD5 Hash gibt es Millionen von Passwörtern die passen, die den gleichen MD5 Hash haben. Somit braucht man nicht mal das richtige PW um den Account zu nutzen, es muss nur der selbe MD5 Hash erzeugt werden. Nun sollte auch jedem klar sein, warum man einen MD5 Hash nicht decodieren kann. Somit braucht man nur ein "schlechtes" PW zu erwischen, welches den selben Hash hat, wie eins mit 2 Zeichen.

-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 30.01.2009 14:20 Uhr #21

Panicsheep Hall Of Fame

Wie gut das mein Passwort aus 13 Zeichen besteht und gut gemischt aus Zahlen und Buchstaben (klein und groß geschrieben) besteht.

Hatte nur einmal dieses c99 Script, aber damals hatte ich noch 1.0.5 drauf.
Mittlerweile fällt es mir leicht meine Änderungen in neue Versionen zu übertragen, von daher kann ich jedes Update mitnehmen wenn es erscheint.

Omnia bona erunt

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 04.02.2009 19:39 Uhr #22

Gizmore Mitglied

Ich hab' gestern 'ne lücke gefunden wie man (unter anderem) Passwörter der Benutzer auslesen kann. (SQL injection!)

Manuel wurde gestern informiert und wird sehr bald ein update herausbringen.

Jetz werden bestimmt einige denken "du böser, böser hacker", aber ich bin sicher einige werden auch dankbar für meine "arbeit" und die "meldung" sein. (Gut möglich das andere das schon vor mir gefunden haben)

Ich halte es für das beste abzuwarten und die lücke nicht zu veröffentlichen. (zum schutz der User)

Happy Hacking !
Gizmore - wechall.net

Zuletzt modifiziert von Gizmore am 04.02.2009 - 19:40:15

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 04.02.2009 21:09 Uhr #23

Panicsheep Hall Of Fame

Wenigstens bist du kein böser Cracker der mit seinem Wissen erstmal dutzende von Clanseiten lahmlegt

Omnia bona erunt

0 Mitglieder finden den Beitrag gut.

zitieren

Mi. 04.02.2009 22:04 Uhr #24

manuel ilch-Gründer

also bei einem Angriff auf die Webseite sollte dich dein Provider unterstützen. Vor allem wenn der Server derart ausgelastet wird.

Generell würde ich mal folgendes vorschalgen:

1.) wie schon angemerkt alle Passwörter ändern! Alle Benutzer die irgendwie Rechte im Adminmenü etc. haben.

2.) Die Logfiles anschauen vom Server ob irgendwelche komischen Request geschickt wurden. Dabei kann dir evtl. dein Provider helfen.

Wenn du komische Log Einträge findest dann diese gerne auch hier Posten.
Ansonsten kannst du mir auch die Log Datei schicken oder sie auf deinem Webspace zum DL anbieten (geschützt!!!!).

Wenn im Log nichts steht dann liegt es relativ sicher an schwachen oder gleichen (bekannten) Passwörtern (jemand kann die Passwörter durch probieren raus finden ;-).... dann wissen es mehr Menschen als nur deine Freunde)

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 06.02.2009 02:57 Uhr #25

Gizmore Mitglied

In sachen User Sicherheit möchte ich auch nochmal nen tip loswerden:

-Verwendet nie ein passwort mehrmals.

Wenn ihr dann auf einer seite gehackt wurdet, kann euch zumindest auf anderen nix passieren. (ebay, paypal, etc).

-Loggt euch aus nachdem ihr eure accounts benutzt

Viele webseiten sind anfällig für CSRF attacken.
de.wikipedia.org/wiki/Cross-Site_Request_Forgery

Liebe Grüße
Gizmore

Zuletzt modifiziert von Gizmore am 06.02.2009 - 03:08:33

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 06.02.2009 08:55 Uhr #26

Freezon Mitglied

@ Sonic

Wenn die Versuchen die Homepage dicht zu machen sind es Cracker. ^^

@ Thread

Wenn die Serverauslastung bei 80% liegt, so wie ich das jez verstanden haben, war es vllt ne Ddos Attacke.

Wenn nicht hab ich das falsch verstanden. ^^

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 06.02.2009 09:10 Uhr #27

=[KKB]=Becks Mitglied

Morgen Leute!

Danke erst einmal für eure vielen Posts! Ich hab am Wochenende mal 5 min mit meinem Kumpel (wir beide sind zusammen Clanleader und für alles zuständig) getelt und wir werden jetzt die Tage die Passwörter ändern. Die Passwörter scheinen übrigens nicht das Problem zu sein... ...ich hatte euch doch am Anfang etwas von unserem alten phpkit berichtet, stimmt's? Jedenfalls fiel uns beiden zufällig ein, dass drei andere Seiten von uns auf phpkit aufbauen. Die Seiten werden im Grunde genommen nicht genutzt, sind aber vorhanden. Wir gehen davon aus, dass eine oder mehrere HPs gecrackt wurden und dadurch die enorme Last am SQL-Server veranlasst haben. Ich habe nun alle Webseiten gelöscht und hoffe mal, dass die Probleme ein Ende haben. Immerhin läuft die Page schon 24 h, weshalb ich zuversichtlich bin zwinker

PWs werden natürlich trotzdem geändert!

Drückt mir bitte die Daumen, dass dies der Fehler war! lächeln

Schöne Grüße,
Becks

0 Mitglieder finden den Beitrag gut.

zitieren

Fr. 06.02.2009 12:26 Uhr #28

boehserdavid Mitglied

Zitat geschrieben von Gizmore

OK, ich hab mehrmals das selbe PW, bzw. ich hab ungefähr für 2-3 Pages die gleichen PW's.
Warum ich mich nicht auslogge? Ganz einfach, selbst über meine IP wirst du nicht an meinen Rechner rankommen, ich bin offizell nicht im Netz zu keiner Zeit, nie, auch wenn ich immer im Netz surfe.

-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-

0 Mitglieder finden den Beitrag gut.

zitieren

Beitrag zur Merkliste hinzufügen

ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Website wurde gehackt!