Hallo Comunity
Heute schaue ich auf der Seite nach und was müssen meine entzündeten Augen dort erblicken? Seite gehackt "HaCkeD bY Al3x 0wn5" . Schei...benkleister dachte ich alles weg. Doch zum Glück habe ich runtergescrollt und die Seite ist noch da, nur eben mit einem Riesen Banner/ Header vom Hacker.
Nun habe ich 2 Fragen.
1. Wie bekomme ich das weg?
2. Wie isser reingekommen / wie kann ich die Lücke schließen?
Gruß X2theCH
betroffene Homepage: externer Link
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Hacker macht aufmerksam
| Geschlossen | ||
-
Mi. 09.02.2011
17:33 Uhr
#1
- Registriert seit
- 02.02.2011
- Beiträge
- 18
- Beitragswertungen
-
Das ist deine erste News (die Löschen/sperren etc), wenn ich das richtig sehe, er hat also einen Eintrag in die News gemacht, er hat also entweder mysql Zugriff (phpmyadmin) oder Adminrechte, ggf. auch eine Lücke die es ermöglicht News einzutragen.
Vielleicht wurde auch die www.the-crazy-fighters.de/?news-add Funktion genutzt, allerdings müsste eine News dann noch freigeschaltet werden und nur User können diese Funktion nutzen.
Zuletzt modifiziert von Mairu am 09.02.2011 - 17:40:05Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Mi. 09.02.2011
17:41 Uhr
#3
- Registriert seit
- 02.02.2011
- Beiträge
- 18
- Beitragswertungen
Hallo Mairu.
Danke erstmal. Doch wie kommt er an den mysql Zugriff (phpmyadmin) oder Adminrechte? -
Mi. 09.02.2011
17:41 Uhr
#4
- Registriert seit
- 21.10.2007
- Beiträge
- 5.951
- Beitragswertungen
das kann viele gründe haben,
-unsicheres passwort,
-veraltetes modul,
-nicht die aktuelle ilch version
-zugangsdaten an einen weiteren admin gegeben
etc...
wo das ganze eingefügt wurde musste mal schauen.
index.htm
style.css
sind erste wahl.
in der log-datei auf dem server erfährst du auch evtl noch was
edit
mairu war schneller
Zuletzt modifiziert von Chapter am 09.02.2011 - 17:42:41Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
externer Link -
Mi. 09.02.2011
17:45 Uhr
#5
- Registriert seit
- 02.02.2011
- Beiträge
- 18
- Beitragswertungen
-Ilch ver. 1.1 O
-Veraltetes Modul? keine Ahnung
-unsicheres PW? meins nicht aber das vom Admin evtl.
Ich schau mir jetzt mal die index.htm und
style.css an vielleicht finde ich das ja.
Also meint Ihr er hat nur gezeigt, dass es möglich ist zur Zeit hat aber nichts böses wollen? -
Mi. 09.02.2011
17:47 Uhr
#6
- Registriert seit
- 21.10.2007
- Beiträge
- 5.951
- Beitragswertungen
wie mairu bereits sagte kann es auch über die news auf die seite gekommen sein. da sich der banner nur in bei den news befindet. evtl diese zuerst mal löschenSpamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
externer Link -
Naja die News wurde vom Admin geschrieben, das war ja ersichtlich, du musst im Grunde nur die News löschen, und das Passwort des Admins ändern, ggf. noch FTP und MySQL Passwort, falls es mit dem vom Admin Account zu tun hatte, ggf. auch nachschauen, ob er sich einen neuen User angelegt hast (der müsste dann allerdings auch hohe Rechte haben, um Schaden anrichten zu können), wenn danach Ruhe ist, wars wahrscheinlich das Passwort.
Sicherheitslücken sind nicht auszuschließen, aber bekannt ist soweit keine "richtige", wenn aber sonst niemand den Admin Account nutzt, dann wäre die bekannte auch auszuschließen.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Mich würde hier interessieren, wie es überhaupt möglich war html und css in den News mit zu posten. Standardmäßig wird das doch ignoriert, oder?
Oder ist das ein Modul, mit dem es auch möglich ist html zu posten?. -
Mi. 09.02.2011
17:59 Uhr
#9
- Registriert seit
- 03.06.2009
- Beiträge
- 1.029
- Beitragswertungen
Wir koenn das auch
hier zusehn
s10.directupload.net/images/110209/gkx73soq.jpg
is das modul von Mairu
mairu.ilch.net/index.php?downloads-show-33
hoffe hab die frage richtig verstanden
Zuletzt modifiziert von Sunshine Live am 09.02.2011 - 17:59:18 -
Mi. 09.02.2011
17:59 Uhr
#10
- Registriert seit
- 02.02.2011
- Beiträge
- 18
- Beitragswertungen
Vielen lieben Dank. Ich werde den "ADMIN" gleich mal zusammenschei.... und das alles ändern.
News ist gelöscht, Seitenname wiederhergestellt, neuer User ist nicht erstellt worden.
Kann man den ADMIN einfach löschen oder hat das Folgen. Also ich meine wenn wir habe 3 admins. Ich, der "admin" und der Besitzer mit anderen Namen. -
Mi. 09.02.2011
18:08 Uhr
#11
- Registriert seit
- 31.10.2007
- Beiträge
- 1.468
- Beitragswertungen
Der die Seite installiert hat also id1 hat kannst du nicht löschen den Rest schon -
Mi. 09.02.2011
18:15 Uhr
#12
- Registriert seit
- 02.02.2011
- Beiträge
- 18
- Beitragswertungen
hmm schade der hat die ID1
Ich danke euch allen nochmals für eure schnelle Hilfe. -
Do. 10.02.2011
20:11 Uhr
#13
- Registriert seit
- 17.12.2007
- Beiträge
- 2.368
- Beitragswertungen
Du kannst in PHPmyAdmin die IDs manuell bearbeiten, einfach bei dir eine 1 und bei ihm eine andere ID/Zahl eintragen die noch nicht vorhanden ist.
Schädliche Codes werden auch oft in eine index.htm bzw. index.php (falls FTP-Zugriff) geschrieben.
Es kommt oft vor das Hacker HTML-Codes in deine index.html einfügen z.B. iframes die dann eine nicht zulässige Seite aufrufen.
Über eine fehlerhafte .htaccess datei kann man ebenfalls die Seite hacken und sogar weiterleitungen zu bedrohlichen Webseiten herstellen.
Sollte der Hacker FTP-Zugriff haben, dann solltest du deine Verzeichnisse nach verdächtigen Dateien durchsuchen mit verdächtigen Namen, hacker hinterlassen gerne Hintertürchen womit sie Dateien auf deinen Webspace schleusen/hochladen können um z.B. Spammails zu versenden.
Bekam der Hacker über das Admin-Verzeichnis Zugriff, dann kannst du das komplette Admin-Verzeichnis durch ein .htaccess Username + Passwort zusätzlich schützen.
Manche Webspace Anbieter benachrichten dich bei solchen Fällen automatisch per eMail, andernfalls einfach mal beim Anbieter nachfragen ob den etwas aufgefallen ist, ob Spammails versendet wurden und ob sie die Dateien ausfindig machen können die für den Missbrauch genutzt wurden. (z.B. 1und1 sendet dir eine ausführliche Nachricht, wenn ein Hacker am Werk war) -
Do. 10.02.2011
20:22 Uhr
#14
- Registriert seit
- 02.01.2010
- Beiträge
- 408
- Beitragswertungen
Zitat geschrieben von Ahrtas
Dan muss aber entweder die id wieder zurück geandert werden oder alle einträge die user id geändert werden... also bei z.B. foren posts etc^^ -
Do. 10.02.2011
23:02 Uhr
#15
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Ich hab dafür ein Tool, aber er kann ja auch einfach das Passwort ändern, sollte ja eigentlich auch reichen, wenn er nicht mehr einloggbar sein soll, einfach irgendeine Zeichenreihe eintragen, die keine 32 Zeichen hat, dann kann es sich niemand damit einloggen, sollte ja auch reichen.
PS: Hier noch der Link zum Tool/Thema: www.ilch.de/forum-showposts-20016-p1.html#129280
Zuletzt modifiziert von Mairu am 10.02.2011 - 23:03:02Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
| Geschlossen | ||
 |
Zurück zu Fehlersuche und Probleme | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten