netportal.de / phelsuma.de / nepenthes.info

Thomas Levy · Verfasst am: Sa Dez 18, 2004 10:33 am Titel: Dringend lesen!

Diese Nacht wurde mein Server gehackt, ich vermute eine Sicherheitsluecke in php, fuer die es von Suse (hier laeuft Suse Linux 9.1) noch kein Update gibt Sad

Am 17.12. um 22:28 wurde die Startseite des Forums (nur diese Seite) ausgetauscht gegen eine Seite, die diversen Javascript-Code enthaelt. Ich habe keine Ahnung, was dieser Code tut, aber wer zwischen gestern, 22:28 und heute frueh, 8:45 hier im Forum war, der moege bitte seinen Virenscanner aktualisieren und den Rechner scannen lassen (auf meinem PC ist nichts, allerdings ist mein PC immer auf aktuellstem Stand und ich surfe mit Firefox statt IE). Ihr habt in diesem Fall nicht das Forum gesehen, sondern den Schriftzug "net-irgendwas was here".

Sollte jemand von Euch fit in Javascript sein, moege er sich bei mir melden, vielleicht kann jemand den Code lesen, der hier stand. Uebertragen wurde die Seite von lycos-UK und eigentlich sieht sie auch so aus, als sei es eine Lycos-Seite.

Der Server ist wieder clean, ich habe alle geaenderten Seiten durch ein Backup getauscht, Anzeige werde ich gleich erstatten.
_________________
Grüße,
Thomas

--- Bitte schickt mir Mails, keine Privatnachrichten ---

Halte derzeit:
1,2 Pogona vitticeps
1,2 Xenagame taylori

http://netportal.de - Die Adresse für alle Natur- und Tierfreunde
http://phelsuma.de - Taggecko-Channel
http://nepenthes.info - Fleischfressende Pflanzen

wb · Verfasst am: Sa Dez 18, 2004 1:52 pm Titel:

hallo thomas,

so wie sich das mir gestern dargestellt hat, war das kein richtiger virus, sondern vor allem eine bannerclick aktion- irgendwer versucht mit solchen defacements geld zu machen. passiert is in etwa folgendes: auch wenn man den browser zu macht, bleibt eine instanz davon offen, die dauernd requests absetzt zu einer lycos-seite ... diese lycos seite hat vermutlich werbebanner oder sowas enthalten... wenn du magst schau ich es mir nochmal genauer an, die chance dass man so irgendwas rausfindet is aber gering - die page is inzwischen sicher schon gesperrt und naja... lycos kann ja jeder haben ....

zum thema area88.et (name der hackergroup oder des hackers) : wohl n manga/anime fan, denn area 88 ist ein alter manga(1990 oder so) den hier zu lande wohl kaum wer kennt - somit wohl niemand aus dem deutschsprachigen raum -> wird wohl wieder ne anzeige gegen unbekannt die nie geschlossen wird....
_________________
1,1,0 phelsuma mad grandis

(+ 3,3 lenkdrachen, aber die wollen sich partout nicht vermehren....)

Thomas Levy · Verfasst am: Sa Dez 18, 2004 6:05 pm Titel:

Naja, ich hatte mich schon fast wieder beruhigt, bis eine SMS von Sandra kam. Als ich eben nach Hause kam, war das Forum wieder gehackt.
Ich habe jetzt einen Cronjob geschrieben, der bei einem erneuten Hackversuch (der kommt mit Sicherheit) direkt das Original wiederherstellt, das laeuft jetzt minuetlich.

Zudem habe ich alle Beweise ausgedruckt und fahre jetzt zur Polizei, denn Spass ist das schon lange vorbei. Da der Einbruch ins Forum geschieht vermute ich, folgender Bug ist der Schwachpunkt: http://www.heise.de/newsticker/meldung/54320
Leider gibt es von Suse noch keinen Fix, wenn ich von der Polizei zurueck bin, werde ich manuell die neuste PHP-Version installieren,
_________________
Grüße,
Thomas

--- Bitte schickt mir Mails, keine Privatnachrichten ---

Halte derzeit:
1,2 Pogona vitticeps
1,2 Xenagame taylori

http://netportal.de - Die Adresse für alle Natur- und Tierfreunde
http://phelsuma.de - Taggecko-Channel
http://nepenthes.info - Fleischfressende Pflanzen

Thomas Levy · Verfasst am: Sa Dez 18, 2004 11:06 pm Titel:

So, es gibt (gab) 2 Sicherheitsluecken. Zusaetzlich zum PHP-Problem gab es auch in der hier eingesetzten Board-Software eine Luecke, sodass jetzt hier die neuste Version 2.0.11 von phpbb laeuft. Derzeit leider nur die englische, die deutsche Version kommt in ein paar Minuten...

Zusaetzlich habe ich ein wenig auf dem Server gespielt, was einen erneuten Hack ein wenig erschweren sollte...

Uebrigens hat die Polizei keine Anzeige angenommen, da §303 StGB dort unbekannt war und der Hack somit angeblich keinen Strafbestand darstellte...
_________________
Grüße,
Thomas

--- Bitte schickt mir Mails, keine Privatnachrichten ---

Halte derzeit:
1,2 Pogona vitticeps
1,2 Xenagame taylori

http://netportal.de - Die Adresse für alle Natur- und Tierfreunde
http://phelsuma.de - Taggecko-Channel
http://nepenthes.info - Fleischfressende Pflanzen

Thomas Levy · Verfasst am: Sa Dez 18, 2004 11:24 pm Titel:

Nu isses deutsch. Sollte es irgendwas geben, was nicht funktioniert, bitte melden...
_________________
Grüße,
Thomas

--- Bitte schickt mir Mails, keine Privatnachrichten ---

Halte derzeit:
1,2 Pogona vitticeps
1,2 Xenagame taylori

http://netportal.de - Die Adresse für alle Natur- und Tierfreunde
http://phelsuma.de - Taggecko-Channel
http://nepenthes.info - Fleischfressende Pflanzen

Ralf · Premium Mitglied Anmeldedatum: 06.10.2003 Beiträge: 148

Hallo,

Du warst nicht der einzige dem das passiert ist...

http://www.google.de/search?q=area88.et+&hl=de&lr=&c2coff=1&filter=0

MfG Ralf
_________________
Terrafun Terraristikshop | Terrafun Partnerprogramm | Schildkrötenforum

Thomas Levy · Verfasst am: So Dez 19, 2004 1:31 am Titel:

Hmm, hab auch schon danach gesucht. Aber der Link liefert leider nicht ein einziges Ergebnis?!?
_________________
Grüße,
Thomas

--- Bitte schickt mir Mails, keine Privatnachrichten ---

Halte derzeit:
1,2 Pogona vitticeps
1,2 Xenagame taylori

http://netportal.de - Die Adresse für alle Natur- und Tierfreunde
http://phelsuma.de - Taggecko-Channel
http://nepenthes.info - Fleischfressende Pflanzen

Sandra Nieft · Verfasst am: So Dez 19, 2004 2:33 am Titel:

Moin

kann das sein, dass die Avatare nicht gehen? Bei mir erscheinen überall rote Kreuze..... (nicht bei denen die als cookíe gespeichert waren, erst nach dem aktualisieren mit F5 sieht man sie nimmer).

PS: WB hat seinen Avatar neu hochgeladen und man sieht ihn wieder, also muss ich meinen wohl auch erst wieder neu hochbringen Smile

_________________
Gruftigrüße aus Hagen,
Sandra Nieft - Moderation phelsuma.de / netportal.de

Webspace-Verleih zur Problembehandlung in Foren (und noch viel mehr!) --> www.geckopage.de

1,1,0 Phelsuma mad. grandis
1,1 Gekko ulikovskii (ZU VERKAUFEN)
1,2,0 Uroplatus henkeli
0,3,0 Thamnophis sirtalis parietalis
1,1,0 Sceloporus magister
1,2,2 Crotaphytus collaris (1 Jungtier abzugeben!!)
1,3,0 Rhacodactylus ciliatus
ehemals 1,9 Eublepharis macularius
ehemals 1,2 Pogona vitticeps
Futterzucht von: Mehlwürmern, Arg. Schaben, Steppengrillen.
BITTE KEINE PNs - nur EMAILS!!!

wb · Verfasst am: So Dez 19, 2004 2:41 am Titel:

Thomas Levy · Verfasst am: So Dez 19, 2004 12:04 pm Titel:

Hmm, kann sein, weil ich das komplette Forum geloescht und neu installiert habe, die Avatare werden wohl nicht in der Datenbank gespeichert. Ich schau gleich mal und lege die aus dem Backup wieder hin...
_________________
Grüße,
Thomas

--- Bitte schickt mir Mails, keine Privatnachrichten ---

Halte derzeit:
1,2 Pogona vitticeps
1,2 Xenagame taylori

http://netportal.de - Die Adresse für alle Natur- und Tierfreunde
http://phelsuma.de - Taggecko-Channel
http://nepenthes.info - Fleischfressende Pflanzen

Thomas Levy · Verfasst am: Mi Dez 22, 2004 2:09 pm Titel:

Klickt mal auf den:
http://beta.search.msn.com/results.aspx?q=%22This+site+is+defaced%21%21%21%22+NeverEverNoSanity
<ironie>Da habe ich ja mehr Glueck als Verstand, dass meine Seite von einem Stuemper heimgesucht wurde, bevor, der Wurm kam, der weitaus agressiver gewesen waere</ironie>...

http://www.connect.de geht seit kurzem wieder, http://www.mens-health.de beispielsweise ist immernoch defaced, obwohl sogar heise.de schon seit 24 Stunden davon weiss Wink

Ich hatte quasi Glueck, am Samstag wachgeruettelt zu werden und das Forum zu patchen... Momentan sieht's wirklich boese aus im Web, wer heise nicht liest und phpbb.de ebenfalls nicht, der wird mit Sicherheit nicht mehr lange Spass an seinem Forum haben... Und das zu Weihnachten...
_________________
Grüße,
Thomas

--- Bitte schickt mir Mails, keine Privatnachrichten ---

Halte derzeit:
1,2 Pogona vitticeps
1,2 Xenagame taylori

http://netportal.de - Die Adresse für alle Natur- und Tierfreunde
http://phelsuma.de - Taggecko-Channel
http://nepenthes.info - Fleischfressende Pflanzen

Sandra Nieft · Verfasst am: Mi Dez 22, 2004 2:30 pm Titel:

autsch

_________________
Gruftigrüße aus Hagen,
Sandra Nieft - Moderation phelsuma.de / netportal.de

Webspace-Verleih zur Problembehandlung in Foren (und noch viel mehr!) --> www.geckopage.de

1,1,0 Phelsuma mad. grandis
1,1 Gekko ulikovskii (ZU VERKAUFEN)
1,2,0 Uroplatus henkeli
0,3,0 Thamnophis sirtalis parietalis
1,1,0 Sceloporus magister
1,2,2 Crotaphytus collaris (1 Jungtier abzugeben!!)
1,3,0 Rhacodactylus ciliatus
ehemals 1,9 Eublepharis macularius
ehemals 1,2 Pogona vitticeps
Futterzucht von: Mehlwürmern, Arg. Schaben, Steppengrillen.
BITTE KEINE PNs - nur EMAILS!!!

wb · Verfasst am: So Dez 26, 2004 11:25 pm Titel:

passend zum thema:

http://www.heise.de/security/news/meldung/54623
_________________
1,1,0 phelsuma mad grandis

(+ 3,3 lenkdrachen, aber die wollen sich partout nicht vermehren....)

Thomas Levy · Verfasst am: Mo Dez 27, 2004 10:03 am Titel:

Die Luecke existiert hier nicht bzw. nicht in dem Ausmass. Bei der Vielzahl an Skripten ist unmoeglich zu ueberblicken, ob irgendwo die Parameter nicht korrekt geprueft werden und damit Zugriff moeglich ist. In jedem Fall ist aber url_allow_fopen() nicht erlaubt, der Angreifer kann also keine Daten nachladen. Hat zwar einige Nachteile fuer mich, aber die sind eher administrativer Natur und damit zu vernachlaessigen.
_________________
Grüße,
Thomas

--- Bitte schickt mir Mails, keine Privatnachrichten ---

Halte derzeit:
1,2 Pogona vitticeps
1,2 Xenagame taylori

http://netportal.de - Die Adresse für alle Natur- und Tierfreunde
http://phelsuma.de - Taggecko-Channel
http://nepenthes.info - Fleischfressende Pflanzen