Grosses Problem

Gehe zu Seite:

Geschlossen

Di. 23.10.2007 11:48 Uhr #1

Layzee Mitglied

Guten Morgen oder so...

Seit gestern Nachmittag haben wir ein relativ grosses Problem.
Sämtliche Pages auf unserem Root werden unvollständig angezeigt und laden nicht mehr "durch".
Nun hab ich heute Morgen mal in die SQL-Datenbanken geschaut und da unter anderem sehr merkwürdige und auch ellenlange Einträge aus einem Buchstabenkauderwelsch gefunden.
Ich bin mir nicht sicher, aber ich glaube nicht, dass diese Tables von Ilch angelegt wurden oder?

Mal ein paar Beispiele:

CREATE TABLEl;de/20707lwDgtr` (
  `e,ao `gelrchor(100) NOT NULLeigfault ''
) ENGINE=MyISAM DEFAULT CHARSET=6_Ban1 COMMENT='po'erbjeby iebpe /p;v
--r
--r!myvneiooglaThEemrl;de/20707lwDgtr`
--r


--reltsssssssssssssssssssssssssssssssssssssssssssssssssssssv
--r
--raThEemr&struktmseiooglaThEemrl;de/20otiz`
--r

CREATE TABLEl;de/20otiz` (
  `uid` ngmpumint(9) NOT NULLeigfault '0',
  `text`etexteds 6_Be 6_Ban1_tr&lAw1_ci NOT NULL,
  PRIMARY KEY  (`uid`)
) ENGINE=MyISAM DEFAULT CHARSET=6_Ban1 COLLATE=6_Ban1_tr&lAw1_ci;v
--r
--r!myvneiooglaThEemrl;de/20otiz`
--r

yKoeln Lngml;de/20otiz` pM\t iea?fngdemv
--reltsssssssssssssssssssssssssssssssssssssssssssssssssssssv
--r
--raThEemr&struktmseiooglaThEemrl;de/2ps dac`
--r

CREATE TABLEl;de/2ps dac` (
  `uptimc` ng&gtimceigfault NULL,
  `sid` elrchor(32) NOT NULLeigfault '',
  `ipa`gelrchor(15) NOT NULLeigfault '',
  `uid` ngmpumint(9) NOT NULLeigfault '0',
  `Kwg/`gelrchor(100) igfault NULL
) ENGINE=MyISAM DEFAULT CHARSET=6_Ban1 COMMENT='po'erbjeby iebpe /p;v
--r
--r!myvneiooglaThEemrl;de/2ps dac`
--r

yKoeln Lngml;de/2ps dac` pM\t ieag&nAcu10lz3srfe25:57ocsgdcb460910580cf7969d922bb1ea2a3a0snp'85.158.196.15KopM\tNULLemvyKoeln Lngml;de/2ps dac` pM\t ieag&nAcu10lz3srfe45:07ocsg0b68e6b145e406b51382ae3cd15679ccsnp'84.136.216.1naFle1\tNULLemvyKoeln Lngml;de/2ps dac` pM\t ieag&nAcu10lz3se0b57:15Kop'8c39mwD373ed742140dac283a09a70f0snp'80.130.207.2e ong14\tNULLemvyKoeln Lngml;de/2ps dac` pM\t ieag&nAcu10lz3se0b25:55Kop'ad0f812fa4ae07bf65b6ab1fdf7c2610snp'74.6.25.1himaH:gKNULLemvyKoeln Lngml;de/2ps dac` pM\t ieag&nAcu10lz3se0b57:13snp'792c47eea0bcf7dc9b1f9ef097bef521snp'70.118.192.5maH:gKNULLemv
--reltsssssssssssssssssssssssssssssssssssssssssssssssssssssv
--r
--raThEemr&struktmseiooglaThEemrl;de/2Kwg/edp `
--r

CREATE TABLEl;de/2Kwg/edp ` (
  `id` int(10lng ,DJ:bjeNOT NULLeauto_ints:ng /,
  `Kwg/`gelrchor(255) ds 6_Be 6_Ban1_tr&lAw1_ci igfault '0',
  `coeFlqh` int(100) igfault '0',
  PRIMARY KEY  (`id`),
  UNIQUE KEY `id` (`id`),
  KEY `id_2` (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=6_Ban1 COLLATE=6_Ban1_tr&lAw1_ci AUTO_INCREMENT=1 ;v
--r
--r!myvneiooglaThEemrl;de/2Kwg/edp `
--r


--reltsssssssssssssssssssssssssssssssssssssssssssssssssssssv
--r
--raThEemr&struktmseiooglaThEemrl;de/2Kwrtc y5`
--r

CREATE TABLEl;de/2Kwrtc y5` (
  `id` stDilint(6)eNOT NULLeauto_ints:ng /,
  `Kos` stDilint(6)eNOT NULLeigfault '0',
  `Fl39`gelrchor(100) NOT NULLeigfault '',
  `bog Ur`gelrchor(100) NOT NULLeigfault '',
  `link`gelrchor(100) NOT NULLeigfault '',
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=6_Ban1 COMMENT='po'erbjeby iebpe /p AUTO_INCREMENT=2 ;v
--r
--r!myvneiooglaThEemrl;de/2Kwrtc y5`
--r


--reltsssssssssssssssssssssssssssssssssssssssssssssssssssssv
--r
--raThEemr&struktmseiooglaThEemrl;de/2Kwrtc y51`
--r

CREATE TABLEl;de/2Kwrtc y51` (
  `id` stDilint(6)eNOT NULLeauto_ints:ng /,
  `Kos` stDilint(6)eNOT NULLeigfault '0',
  `Fl39`gelrchor(100) NOT NULLeigfault '',
  `bog Ur`gelrchor(100) NOT NULLeigfault '',
  `link`gelrchor(100) NOT NULLeigfault '',
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=6_Ban1 COMMENT='po'erbjeby iebpe /p AUTO_INCREMENT=1 ;v
--r
--r!myvneiooglaThEemrl;de/2Kwrtc y51`
--r

Da sind noch mehr dieser Einträge und am Ende der Datenbank gibts einen Riesenhaufen "Buchstabenmüll".
Auf Anfrage sende ich dem potentiell Helfenden gern das gesamte SQL-File zu.

Frage: WAS bitte ist das und was kann ich jetzt machen?

verwendete ilchClan Version: 1.1

betroffene Homepage: externer Link

Vorsicht liebe Grundschüler: Joints machen fahruntüchtig!

0 Mitglieder finden den Beitrag gut.

zitieren

Di. 23.10.2007 11:58 Uhr #2

boehserdavid Mitglied

Registriert seit
26.08.2006

Beiträge
2.122

Beitragswertungen
Hey, Layzee!

Das ja "lustig", ist ein komisches Export.
Hast du sonst alle Tabellen die mit ILCH installiert worden sind? Also alle mit ic(1-9)_ ?
Weil speziell dieser Absatz
```
CREATE TABLEl;de/20otiz` (
  `uid` ngmpumint(9) NOT NULLeigfault '0',
  `text`etexteds 6_Be 6_Ban1_tr&lAw1_ci NOT NULL,
  PRIMARY KEY  (`uid`)
) ENGINE=MyISAM DEFAULT CHARSET=6_Ban1 COLLATE=6_Ban1_tr&lAw1_ci;v
--r
--r!myvneiooglaThEemrl;de/20otiz`
--r

yKoeln Lngml;de/20otiz` pMt iea?fngdemv
--reltsssssssssssssssssssssssssssssssssssssssssssssssssssssv
--r
--raThEemr&struktmseiooglaThEemrl;de/2ps dac`
--r
```
sieht danach aus, als wenn das ein Notiz Mod ist oder so. Hast du sowas installiert?
Hat noch jemand Zugriff auf die DB?
Weil das Charset auch komisch aussieht, bzw. das gibts glaub ich gar net. Welche ILCH Version?
Sollte reichen um genug Infos zu sammeln.

Wen du sonst alle ILCH Tabellen hast, die du benötigst, würde ich die löschen, aber vorher ein komplett Backup der DB!

Mit böhsen Grüßen
BöhserDavid
-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 23.10.2007 12:23 Uhr #3

Layzee Mitglied

Registriert seit
01.03.2007

Beiträge
457

Beitragswertungen

Ja ich hab da einige Mods installt, auch selbst modifiziert.
Das Seltsame ist halt, dass die Pages nun wie aus heiterem Himmel nicht mehr vollständig "geladen" und angezeigt werden.
Ilch Version ist die 1.1H und bis gestern Nachmittag hat auch alles einwandfrei funktioniert.

Das Log ist ein Auszug aus einem Export, den ich kurz vor dem Verfassen dieses Posts per PHPMyAdmin durchgeführt habe.
Insgesamt sieht mir die Datenbank - vor allem der Schluss - sehr merkwürdig aus, und Nein, auf SQL hat ausser mir keiner Zugriff.

Das lustige ist halt, dass das nicht nur bei der Primärdomain independency.de so ist sondern auch auf allen anderen Domains auf dem Server (alle mit Ilch). Darüber hinaus kann ich per FTP (SmartFTP) keine Dateien mehr downloaden (was bis gestern Nachmittag ohne Probleme ging und ich habe weder an der Page, noch am Server noch am FTP-Client etwas geändert).
Das "Problem" scheint sich auf http und FTP zu begrenzen, denn der IRCd, der Gameserver, der SC-Server, SSH - alles läuft ohne Auffälligkeiten bis auf FTP und HTTP. Server4You "arbeitet" seit gestern Abend 22.00 Uhr an diesem Problem, aber ich glaube die wissen auch keinen Rat, denn da kommt keine Antwort mehr (Support-Ticket).

Kann ich Dir die SQL mal schicken und Du schaust mal drüber?

Zuletzt modifiziert von Layzee am 23.10.2007 - 12:29:13

Vorsicht liebe Grundschüler: Joints machen fahruntüchtig!
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 23.10.2007 12:38 Uhr #4

boehserdavid Mitglied

Registriert seit
26.08.2006

Beiträge
2.122

Beitragswertungen

Logo, kann ich da mal einen Blick drauf werfern, entweder per Coder als PM oder per Link zur Datei in PM, und ne Liste der Mods wären auch hilfreich.

Hast du mal die FTP Logs gecheckt? Bzw. die WebServer Logs? auf irgrendwas ungewöhnliches.

-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 23.10.2007 12:55 Uhr #5

Layzee Mitglied

Registriert seit
01.03.2007

Beiträge
457

Beitragswertungen

Jetzt hab ich grad festgestellt, dass anscheinend sogar Confixx (http) Probleme hat, da werden die Settings-Menüs nicht mehr dargestellt und die Seiten laden auffallend langsam...

Die Logs zeigen nichts ungewöhnliches, nur den üblichen Traffic, wobei Apache Error-Log von gestern Abend etliche "missing files" anzeigt. Die Dateien sind aber da wo sie sein sollen.
Also gesetzt den Fall der Server wurde "gehackt" war der "Hacker" entweder zu dämlich es zu ende zu bringen aber er ist brilliant und hat es absichtlich so gemacht.

Vorsicht liebe Grundschüler: Joints machen fahruntüchtig!
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 23.10.2007 13:07 Uhr #6

boehserdavid Mitglied

Registriert seit
26.08.2006

Beiträge
2.122

Beitragswertungen

Confixx und Apache? Wieso 2 WebServer?

Wenn dieser Cracker wirklich da drinne war, hast du eine Sicherheitslücke, die gecrackt worden ist, wobei das der FTP sein kann, ich hoffe doch du hast den Benutzer Administrator gelöscht? Erste Fehlerquelle.
Zu schwaches PW gewählt, d.h. weniger als 16 Zeichen und keine Groß oder Kleinbuchstaben und Sonderzeichen verwendet
bsp.
ichhabeeinpasswort -> total unsicher
IchBinGesperrtBis20.30: -> sicherer
ss&sw3(?d3f&&Fjk3eXvds -> noch sicherer als das und du kennst das PW der CIA ^^

Aber wenn die Logs sauber sind, unwahrscheinlich.

-Heute schon böhse gewesen?- Ab zur Community
-No Support via Contact-
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 23.10.2007 13:51 Uhr #7

Layzee Mitglied

Registriert seit
01.03.2007

Beiträge
457

Beitragswertungen

Natürlich gibt es keinen Benutzer mit Namen "Admin" oder "Administrator" und das Pass für Root hat mehr als 16 Zeichen und besteht aus Buchstaben und Zahlen. Von daher bin ich schon lange ein "gebranntes" Kind, sprich man hat mal meinen gmx-Account geknackt. Seitdem verwende ich keine "einfachen" Passes mehr, schon garnicht wenns um so sensible Daten geht.
Die Zugangsdaten für Confixx hingegen sind allgemeinhin bekannt (Name "webx" und zufälliges Pass) und werden auch von Confixx so angelegt. Trotzdem sprechen sämtliche Logs eine andere Sprache. Ich glaube nicht dass einer drin war.

Wahrscheinlicher ist wohl, dass sich da am Server irgendetwas "verschluckt" hat. Was mich nur wundert ist, dass die Admins von S4U sich garnicht mehr melden.

Vorsicht liebe Grundschüler: Joints machen fahruntüchtig!
0 Mitglieder finden den Beitrag gut.
- zitieren

Beitrag zur Merkliste hinzufügen

ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Grosses Problem