thx Bitte helft mir weiter hatte eig nicht vor auf ein anderes Script umzusteigen.
MFG
n3ro
verwendete ilchClan Version: 1.1
betroffene Homepage: externer Link
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Neues Hackerproblem
| Geschlossen | ||
-
Hallo habe mir nach einem Hackerangriff das neue Ilch runtergeladen. Ich habe auch die Suchfunktion benutzt aber es liegt nicht am User Up load sondern an irgend was anderem. Gibt es vllt für Ilch ein Sicherheitsupdate? Weil ich finde es n bischen blöd das sich da immer einer neu regen kann uns dann Admin hat er nennt sich immer thx Bitte helft mir weiter hatte eig nicht vor auf ein anderes Script umzusteigen.
MFG
n3ro
verwendete ilchClan Version: 1.1
betroffene Homepage: externer Link -
Wenn es ein anderes Sicherheitsupdate geben würde, dann wäre es bei den Downloads zu finden.
Uns ist keine offene Lücke bekannt, so dass wir da auch nichts fixen können, wenn er bei einer alten Ilchversion allerdings mal das Passwort ausgelesen hat und du es nicht geändert hast, kann er immer noch neue User u.a. Admins mit beliebigen Namen anlegen.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Achso meint ihr jetzt das MySQL oder das Admin Password?
MfG -
Naja ich meinte das MYSQL Passwort, das Adminpasswort nur dann, wenn es das gleiche wie das MYSQL Passwort war
Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
-
Ok, hab jetzt mal alle PW´s geändert und mal abwarten ob er sich wieder Regestrieren kann wenn ja. Dann ist wohl doch noch eine Lücke drin, die nur noch niemand kennt.
MfG -
Hi,
der Hacker hat sich so eben schon wieder regestriert.! Es muss eine Lücke geben wie sollte er sonst rein kommen. -
Do. 24.05.2007
20:14 Uhr
#7
- Registriert seit
- 30.04.2007
- Beiträge
- 490
- Beitragswertungen
Man kollege, auf eurer hp kann sich jeder regen, warum nicht er auch? Die Adminrechte kann er nur über die datenbank bekommen... Also deine pws -
ja das PW wurde geändert... von der Datenbank er kann sich doch immer wieder Admin rechte geben. Nur wie kommt er an das Datenbank PW!
Zuletzt modifiziert von n3ro am 24.05.2007 - 20:17:56 -
Do. 24.05.2007
20:37 Uhr
#9
- Registriert seit
- 25.03.2007
- Beiträge
- 237
- Beitragswertungen
ist es aber doch vielleicht so das es garnicht DEIN PW ist sondern ein PW der anderen Admins, wenn diese wiederum (wie normalerweiße ja möglich) nen upload machen können KANN HIER EINMALIG EIN php-code in die hp eingebunden werden, und diese wiederum kann die config.php auslesen, du sagtest du hättest das ilch neu installiert / draufgezogen, HAST DU AUCH DIE ALTEN DATEN GELÖSCHT???? wenn nein, probier es mal, das ist der einzige weg denn ich mir im moment bei ilch noch vorstellen könnte
Greetz Quentin
Zuletzt modifiziert von Quentin am 24.05.2007 - 20:38:12 -
Do. 24.05.2007
20:39 Uhr
#10
- Registriert seit
- 03.11.2006
- Beiträge
- 2.925
- Beitragswertungen
ausprobieren, bzw. es gibt einen phpmyadmin-exploid, aber dazu muss er erstmal wissen, wo bei dir phpmyadmin liegt, bei funpic kann man sich das ja denken(phpmyadmin.ab.funpic.de), aber du hast ne topleveldomain+webspace und da gehts nicht so leicht is meisten blahxyzmysql.provider.de oder so -
ja ich hatte den kompletten Webspace gelöscht und habe alles neu raufgezogen ja mein Webspace liegt bei NGZ
-
Do. 24.05.2007
20:55 Uhr
#12
- Registriert seit
- 25.03.2007
- Beiträge
- 237
- Beitragswertungen
stimmt via phpmyadmin, das ist allerdings garnicht so schwer da ran zu kommen, bei seiner page sogar mehr als einfach:
folgendes ausführen:
externer Link
hier quelltext ansehen, oha siehe da . . . . . .
ein link auf eine andere domain namens ich.ngz-server.de/include/includes/config.php
hier quelltext ansehen, oha siehe da . . . . . .
nichts, mißt, ok aber jetzt kenne ich das hostsystem, (man könnte auch einfach mit einem dns-record danach suchen aber nun gut) nun alle sinnigen varianten mit php ausprobieren, (wie die MEIßTEN ANDEREN HOSTER AUCH, ist dieser recht einfallslos) siehe da es ist:
phpmyadmin.ngz-server.de/
und was bringt uns das jetzt??? naja ganz einfach, da er schon mal admin-rechte hatte, also auch möglichkeiten ausführbaren php-code hochzuladen, ist es, sofern er sein handwerk versteht, auch kein problem sich die mysqld.conf auszulessen, da nach dem pfad zu der pw-datei zu suchen und hier wiederum den hash zu stehlen der zur datenbank gehört, name nimmt er auch gleich mit, warum überlegen, mit einer datenbank mal ebend denn hash mit vorgefertigten tabellen abgeglichen die nen PW ausspuckt das angeblich dazu paßt, tja und schon hat er deine mysql-datenbank via phpmyadmin gefressen,
p.s. er könnte auch das admin-pw der phpmyadmin-umgebung gestohlen haben, ist auch nicht mehr aufwand
Greetz Quentin
Zuletzt modifiziert von Quentin am 24.05.2007 - 20:56:40 -
Ok und was kann man dagegen tun?
-
Do. 24.05.2007
21:01 Uhr
#14
- Registriert seit
- 25.03.2007
- Beiträge
- 237
- Beitragswertungen
wenn er nur dein phpmyadmin-pw hat (im idealfall das erste sql-passwort) einfach ändern, wenn er das des admin-bereichs (hostsystem) hat NICHTS
außer den provider anfragen
Greetz Quentin -
Ja dem Provider hab ich schon geschrieben mal schaun was der sagt. mhm Das mysql pw hab ich schon geändert... Aso du meinst er hat mein Webinterface pw vom Host?
-
Do. 24.05.2007
21:06 Uhr
#16
- Registriert seit
- 25.03.2007
- Beiträge
- 237
- Beitragswertungen
das weiß ich nicht, das wäre das nächste, aber auch das einfachste, denn dann kann er der einfach heit halber die config.php auslesen, in der sind die DB-Daten wie user , prefix und pw gespeichert, standartmäßig leider als klartext
Greetz Quentin -
Wie kann man den so was auslesen gibt es da Programme?
-
Do. 24.05.2007
21:25 Uhr
#18
- Registriert seit
- 25.03.2007
- Beiträge
- 237
- Beitragswertungen
ja schimpft sich ftp-client, und notepad (bei jedem windows dabei) -
Fr. 25.05.2007
10:22 Uhr
#19
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Also das klingt für mich alles wie Schwarzmalerei, ich kann mich nicht vorstellen, das NGZ die Datenbankuser mit soviel rechten ausstatten, dass die was an dern Konfigurationdaten lesen geschweige denn Ändern können.
Und wenn es heißt, es gibt Exploids, dann bin ich mir relativ sicher, dass man dafür erst mal ein funktionierenden Account haben muss, bevor man da irgendwas machen kann.
Ich werde mich mal belesen.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Fr. 25.05.2007
10:57 Uhr
#20
- Registriert seit
- 25.03.2007
- Beiträge
- 237
- Beitragswertungen
das ist richtig, wie gesagt es ist möglich, reine hypothese, aber nach dem er offensichtlich schon (oder immernoch) nen funktionierenden account auf der site hat mit adminrechte, kann er also auch php-code ausführen, das wiederum, und so weiter und sofort, mairu, ich brauch dir da ja nicht verzählen, allerdings ist es wenn n3ro wirklich so vorgegangen ist recht naheliegend für meine person zu mindest, abe rmal sehen was dabei rauskommt, vielleicht irren wir uns ja auch alle
Greetz Quentin -
Fr. 25.05.2007
15:08 Uhr
#21
- Registriert seit
- 14.01.2006
- Beiträge
- 2.113
- Beitragswertungen
mich würde mal interesieren was für ein "hackerangriff" das genau war, vielleicht war es doch nur ein 2. admin mit zuviel rechten.
der weg über phpmyadmin oder dem webinterface ist etwas kompliziert und wüsste nicht warum ein hacker sich die mühe machen sollte die page zu hacken, meist sind es doch diese scriptkiddies die in diversen "hackerforen" rumhängen und mit exploids und tolls rumspielen.
hab mal überlegt.. also alles wo man was posten oder hochladen kann, wird meines wissens alles geprüft. also bleibt nur noch 2 varianten.. das pw abfangen oder das pw per bruteforce knacken.
Aber wie heißt es so schön 100% sicherheit gibt es nie, und in jedem programm gibt es lückenDiscite moniti!
www.pixelbash.de -
Ja leider gibt es die Lücke in jedem Programm. Ich habe meine Datenbank gelöscht und neu bennant sprich es ist nichts mehr gleich FTP Login ist auch anderst ich werde die Page wieder neu anlegen und mal schauen ob er dann wieder da ist und wenn ja dann werd ich mal Admin für Admin die rechte wegnehmen bis nur noch ich da bin, und wenn es dann immer noch ist dann... kp mal schauen was dann
MfG
n3ro
P.S. Danke für eure ganze Mühe -
Hallo,
Der "Hacker" hat sich eben per Shoutbox gemeldet und geschrieben er würde am kommenden Sonntag wieder unsere Homepage Hacken ich bin mal gespannt und kann es abwarten mysql und mein Admin PW sind alle länger als 26 Zeichen und gemischt aus Buchstaben und Zahlen.
MfG
n3ro
ich melde mich wieder am Sonntag -
Do. 31.05.2007
20:17 Uhr
#24
- Registriert seit
- 25.03.2007
- Beiträge
- 237
- Beitragswertungen
lach, diese bruteforce-attacke würede ich gerne mitverfolgen, ob ihm wohl langweilig wird??? -
Do. 31.05.2007
21:02 Uhr
#25
- Registriert seit
- 03.11.2006
- Beiträge
- 2.925
- Beitragswertungen
hach... ich liebe scriptkiddies und BF-hacker... die sind so derbst verschieden... auch wenn scriptkiddies alles idioten sind... aber ich mags, wenn sie so genannte "Hacker tools" missbrauchen... wobei's eigentlich noch nimma son tool für ilch gibt oda?
und ftp is so ziemlich sicher
| Geschlossen | ||
 |
Zurück zu Fehlersuche und Probleme | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten