ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Seite down ... Hackerangriff?

Geschlossen
  1. Mi. 20.08.2008 19:47 Uhr #1
    User Pic
    Saibot161 Mitglied
    Registriert seit
    26.07.2006
    Beiträge
    64
    Beitragswertungen
    0 Beitragspunkte
    Hallo

    Seit gestern ist meine Seite leider down weil laut Betreiber ein angeblicher Fehler im PHP Script zur überlastung der Server geführt hat.

    Ich habe dann per Statistk erfahren das innerhalb von 3 Stunden mehr als 47000 gäste auf der HP waren.

    Was ist da los?

    Denk nicht das des an Ilch liegt.
    Oder ist so ein Problem bekannt?

    Brauch unbedingt Hilfe da ich keinen Fehler im Script entdecken kann der sowas verursachen könnte.

    Kann mir nur denken das es ein Angriff auf meine HP war.

    Wäre dankbar für jede Hilfe.

    mfg
    Saibot


    verwendete ilchClan Version: 1.1
    Nichts ist unmöglich, es ist nur eine Frage des aufwands.
    0 Mitglieder finden den Beitrag gut.
  2. Mi. 20.08.2008 19:58 Uhr #2
    User Pic
    butter Mitglied
    Registriert seit
    10.07.2008
    Beiträge
    319
    Beitragswertungen
    2 Beitragspunkte
    hmm deine seite ist ja beliebt oder einer hat etwas in deiner datenbank geändert deswegen würde ich mal pw ändern
    Mein YouTube Kanal Ilch Boxen, Module etc
    0 Mitglieder finden den Beitrag gut.
  3. Mi. 20.08.2008 20:31 Uhr #3
    User Pic
    Saibot161 Mitglied
    Registriert seit
    26.07.2006
    Beiträge
    64
    Beitragswertungen
    0 Beitragspunkte
    Das ist ja das Problem. Die Passwörter kenne nur ich.

    Wir haben normalerweise auf unser Clanseite um die 150-200 User pro Tag.
    Und gestern um kurz nach 11 ging es dann los. Die Seite hat gelegt ohne Ende und es wurden mehr als 3800 Gäste angezeigt.

    In den Logfiles seh ich gar nicht mehr durch da des soviele Daten sind. Das ist unglaublich.

    Bis um 14uhr ging das so und dann hat mein Anbeiter die Seite deaktiviert.
    Dann hab ich angerufen und die konnten mir erst auch nicht sagen wieso.

    Dann hab ich eine Mail bekommen :

    Ich habe wohl ein fehlerhaftes PHP Script auf der HP.

    Das kann aber nicht sein da ich die Seite schon lange nicht mehr verändert habe.
    Und die läuft jetzt schon seit 6 Monaten ohne irgendwelche Problem.
    Ich habe noch 2 andere Seiten mit Ilch drauf. Selbe Version. Und dort hatte ich auch noch nie irgendwelche Probleme.

    Und da 3800 Gäste angezeigt wurden muss das, denk ich mir mal so, ja von ausserhalb gekommen sein. Da die IP Adressen ja geloggt werden und sich daraus ja die Anzahl der Gäste ergibt.

    WIe gesagt am ende waren es über 47000 Gäste die dort angeblich Online waren.

    Das schockiert mich jetzt nämlich etwas.

    Ich habe die Seite per Backup jetzt auf funpic geladen. Dort läuft alles bestens. Wie immer halt.

    Die Stats der Datenbank : ic1_stats konnte ich nicht vollständig neu integrieren da mir dort beim Hochladen eine Fehlermeldung angezeigt wird. Ich habe dann mal ein paar Ip adressen per IP Tracker im Netz gesucht.
    Die Ips die zuletzt auf der Hp waren sind alle von YahooCrawlern. Weiß aber nicht genau ob das der Grund war.

    Hoffe es hat noch jemand ne Idee wie oder wo ich da suchen kann.

    Danke
    Nichts ist unmöglich, es ist nur eine Frage des aufwands.
    0 Mitglieder finden den Beitrag gut.
  4. Mi. 20.08.2008 20:32 Uhr #4
    User Pic
    Tyrargo Mitglied
    Registriert seit
    30.01.2006
    Beiträge
    5.541
    Beitragswertungen
    7 Beitragspunkte
    wenn du die aktuelle version hast, ist das script sicher!

    war wohl ne dos attacke.

    würd mal auf update K updaten.
    Clanseite | Beste Seite wo gibt ^^
    Mairus Ilch-Mods
    0 Mitglieder finden den Beitrag gut.
  5. Mi. 20.08.2008 20:40 Uhr #5
    User Pic
    Saibot161 Mitglied
    Registriert seit
    26.07.2006
    Beiträge
    64
    Beitragswertungen
    0 Beitragspunkte
    Ist eine DOS-Attacke nicht eigentlich Server abhängig? Das müsste doch der betreiber per Hard- oder Software zu verhindern wissen. Oder irre ich mich da?
    Nichts ist unmöglich, es ist nur eine Frage des aufwands.
    0 Mitglieder finden den Beitrag gut.
  6. Mi. 20.08.2008 20:56 Uhr #6
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    ZitatZitat
    Das müsste doch der betreiber per Hard- oder Software zu verhindern wissen.


    Ein guter Anbieter sicherlich. Aber da Webspaceanbieter wie Pilze aus dem Boden schießen ist es durchaus möglich das einige nicht so pralle sind und von tuten und blasen keine Ahnung haben.
    Man Denke z.B. an die vielen unwissenden die sich Rootserver zulegen und dann Webspace "verscherbeln"
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  7. Mi. 20.08.2008 21:04 Uhr #7
    User Pic
    Saibot161 Mitglied
    Registriert seit
    26.07.2006
    Beiträge
    64
    Beitragswertungen
    0 Beitragspunkte
    Also liegt es nicht am Script?

    :::::: Das ist die Mail von meinem Anbieter :::::::

    > Sehr geehrter Herr ......
    >
    > über Ihren Account wurde ein fehlerhaftes PHP-Script veröffentlicht.
    > Möglich Ursachen hierfür sind oftmals unsichere Scripte, Sicherheitslücken
    > in Anwendungen und ähnliches.
    >
    > Gemäß unseren AGB, Punkt 4 (Pflichten des Kunden), Absatz 4.3, haben wir
    > Ihren Account gesperrt:
    >
    > Der Kunde ist verpflichtet, seine Systeme und Programme so einzurichten,
    > dass
    > weder die Sicherheit, die Integrität noch die Verfügbarkeit der Systeme,
    > die g***** zur Erbringung seiner Dienste einsetzt, beeinträchtigt wird.
    > g***** kann Dienste sperren, wenn Systeme abweichend vom
    > Regelbetriebsverhalten agieren oder reagieren und dadurch die Sicherheit,
    > die Integrität oder die Verfügbarkeit der g***** Server-Systeme
    > beeinträchtigt wird.
    >
    > Link zu den AGB von g*****: externer Link
    >
    >
    > Wir bitten Sie nun um folgendes:
    >
    > 1. Den Fehler suchen, der dies ermöglicht hat.
    > 2. Den Fehler beseitigen und ggf. betroffene Scripte und/oder Dateien
    > löschen.
    > 3. ****** darüber informieren.
    >
    > Anschließend wird Ihr Account von uns wieder freigeschaltet.


    Konnte mir nämlich von Anfang an nicht vorstellen das es am Script liegt als ich diese Mail gelesen habe.

    Hier noch zwei Bilder davon:


    gesperrtes Bild
    gesperrtes Bild
    gesperrtes Bild
    Danke für eure Hilfe


    Zuletzt modifiziert von Saibot161 am 20.08.2008 - 21:24:26
    Nichts ist unmöglich, es ist nur eine Frage des aufwands.
    0 Mitglieder finden den Beitrag gut.
  8. Mi. 20.08.2008 21:52 Uhr #8
    User Pic
    Saibot161 Mitglied
    Registriert seit
    26.07.2006
    Beiträge
    64
    Beitragswertungen
    0 Beitragspunkte
    Liegt es nun am Script oder nicht? Muss das unbedingt wissen damit ich dann etwas in der Hand habe wenn mein Anbieter mich Verarschen will.


    Zuletzt modifiziert von Saibot161 am 20.08.2008 - 21:52:22
    Nichts ist unmöglich, es ist nur eine Frage des aufwands.
    0 Mitglieder finden den Beitrag gut.
  9. Mi. 20.08.2008 22:06 Uhr #9
    User Pic
    Tyrargo Mitglied
    Registriert seit
    30.01.2006
    Beiträge
    5.541
    Beitragswertungen
    7 Beitragspunkte
    ist doch eh n freehoster, oder? sonst hättest du doch keine .6x.to adresse ^^ zwinker

    such dir halt nen anderen, oder nen bezahl-hoster...

    welchen hoster haste denn?


    ich sag doch: wenn du die aktuelle version K drauf hast, gibts eigentlich keine sicherheitslücken!
    würd aber auch mal den userupload unterbinden.

    welche module hast denn noch mit installiert?
    Clanseite | Beste Seite wo gibt ^^
    Mairus Ilch-Mods
    0 Mitglieder finden den Beitrag gut.
  10. Mi. 20.08.2008 22:09 Uhr #10
    User Pic
    Saibot161 Mitglied
    Registriert seit
    26.07.2006
    Beiträge
    64
    Beitragswertungen
    0 Beitragspunkte
    ne ist kein freehoster. die adresse unter der signatur ist ne alte adresse. nur als verweis zu neuen.

    www.bcg-gaming.de ist die richtige und läuft bei www.goneo.de

    Meine Frage bleibt immer noch offen...... War das Script schuld oder nicht?

    mfg

    Saibot
    Nichts ist unmöglich, es ist nur eine Frage des aufwands.
    0 Mitglieder finden den Beitrag gut.
  11. Mi. 20.08.2008 22:45 Uhr #11
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    Wenn Userupload wirklich aktiviert ist, dann kann es durch aus sein das da einer deiner User was größeres hochgeladen hat und den Link dazu im WWW veröffentlicht hat, dann möchte ich nicht bezweifeln das da Ruckzuck ein paar tausend Klicks drauf kommen. Vorrausgesetzt es ist was interessantes wie z.B. das neuste Sexvideo von irgendeinem Superstar.

    Ansonsten würde ich auch sagen das das Script sicher ist.
    Gäbe es eine Lücke um den Server zu überlasten, dann gäbe es hier öfters Anfragen/Beschwerden in der Richtung
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  12. Mi. 20.08.2008 23:17 Uhr #12
    User Pic
    Saibot161 Mitglied
    Registriert seit
    26.07.2006
    Beiträge
    64
    Beitragswertungen
    0 Beitragspunkte
    Also Userupload ist zwar aktiviert. Aber das müsste ich ja sehen wenn da was auf dem Webspace liegt was da nicht hingehört. Ausserdem müsste ich das doch über das AdminMenü freischalten oder geht das auch ohne freischaltung?

    Naja egal

    Also definitiv liegt da nichts interessantes noch großes auf dem Space.

    Also kann ich demnach zu 99% davon ausgehen das es ein Angriff auf unsere Page war, der den Server dann dermaßen überlastet hat das Goneo.de sagt das es ein fehlerhaftes Script war.

    Danke nochmal für die schnellen Antworten.

    mfg

    Saibot
    Nichts ist unmöglich, es ist nur eine Frage des aufwands.
    0 Mitglieder finden den Beitrag gut.
  13. Mi. 20.08.2008 23:24 Uhr #13
    User Pic
    assault Hall Of Fame
    Registriert seit
    03.11.2006
    Beiträge
    2.925
    Beitragswertungen
    1 Beitragspunkte
    Das ist möglich, könnte ein ( D )DoS-Angriff gewesen sein, aber normalerweise sind Clanseiten nicht das Ziel eine DoS-attacke, eher microsoft oder so


    Zuletzt modifiziert von assault am 20.08.2008 - 23:24:54
    0 Mitglieder finden den Beitrag gut.
  14. Mi. 20.08.2008 23:34 Uhr #14
    User Pic
    Saibot161 Mitglied
    Registriert seit
    26.07.2006
    Beiträge
    64
    Beitragswertungen
    0 Beitragspunkte
    Hab auch mal Ips geschaut. Sind massig .nl adressen und .uk adressen drin um diese uhrzeit.

    Naja hoffe das mein Anbieter ein einsehen hat das es nicht am Script lag.
    Ansonsten wechsel ich mal ganz schnell.

    thx an alle.
    Nichts ist unmöglich, es ist nur eine Frage des aufwands.
    0 Mitglieder finden den Beitrag gut.
  15. Do. 21.08.2008 06:41 Uhr #15
    User Pic
    boehserdavid Mitglied
    Registriert seit
    26.08.2006
    Beiträge
    2.122
    Beitragswertungen
    2 Beitragspunkte
    Hey, Saibot161!

    Also an goneo kann es nicht liegen, die sind relative sauber eingestellt, auch wenn einige Einstellungen eher misslungen sind, weil man sie doch mal brauchen könnte. Und am Script liegt es definitiv nicht, die einzige Lücke ist im Adminpanel, aber auch nur wenn man die Rechte dafür hat und weiss wie. (ich werde hier nicht näher erörtern, wo)

    ABER, hast du eine DIREKTE Weiterleitung zu deiner Page oder läuft die als IFRAME über 6x.to ? Weil dann kann das nämlich sein, das die Stats "etwas" spinnen, und wenn das wirklich der Crawler von Yahoo war, und ein paar Faker ( .nl ... ), dann passiert das mal. Aber diese nl Adressen sind definitiv keine normalen Leute.

    Aber du könntest mal eins machen, damit du Gewissheit hast und goneo das zeigen kannst.

    Scan mal deine Logfiles nach Seite die >http://< als verweisende Seite haben.
    Also 
    http://www.deinepage.de/index.php?news&page=http://....
oder
http://www.deinepage.de/index.php?news&file=http://....


    Findest du auch nur eine, war es eine Shell Attacke (ja die heißt so, und ist sehr gefährlich), die aber nicht ausgeführt werden kann, weil das Script es nicht zulässt.

    Mit böhsen Grüßen
    BöhserDavid

    PS: Das war kein Hacker sondern eher ein Scriptkiddy oder vielleicht sogar ein Cracker (aber der hätte es dann geschafft^^)


    Zuletzt modifiziert von boehserdavid am 21.08.2008 - 06:44:09
    -Heute schon böhse gewesen?- Ab zur Community
    -No Support via Contact-
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten