das is ne typische php-baukasten site... die löcher in diesen dingern sind so bekannt wie bill gates auf der Cebit. also erwarte nicht, daß du das irgendwie besser machen kannst - diese seiten sind prädistiniert für solche angriffe...

Zitat von »-Joker-«

was meinst du mit php-baukasten-seite  ???
alles auf der seite ist selbstgecodet, bis auf das news-skript.

respekt vor deiner leistung wenn wirklich jede zeile selbstgecoded ist, dann ist das visuelle Erscheinungsbild sehr gut. Dafür hast du dann aber wahrscheinlich jede Sicherungsfunktion vergessen.

So ne PHP seite bzw. den Zugang dazu zu erlangen ist manchmal einfacher wie nen Reissverschluss zuzuziehen....

meine wurd auch letztens gehacked...
hab dann einfach mein passwort geändert und originalseite wieder aufgespielt

war aber auch ein bekannter dem in einer vorlesung langweilig war, also nix bösartiges *G*

hi. meld dich einfach mal bei yogi bzw jochen, der bei uns die php sachen etc macht, der kennt sich auch mit den sicherheitslücken gut aus!

@chewy ich glaube nicht das das was mit php-baukasten zu tun hat. das man über php ne website defaced, also was auf dem webspace erstzt ist sehr selten würd ich sagen.

auf der seite hab ich jetzt keine auffälligen php-scripts gesehen.
neuste apache-version etc. is auch drauf.

ich tippe mal auf schwache ftp-passwörter.

die würde ich als erstes mal ändern. und dann würd ich mal die access logs durchgehen.

edit: und natürlich die error-logs (!) dann kannste immer noch deinem provider bescheid sagen. an dem liegt es glaub ich net. iss ja alles aufm aktuelle stand!

mfg alex

Bei mir sah es vor einiger Zeit so aus. Naja, wenigstens ist da noch eine aussage dabei und nicht nur ein blödes "wir waren da" wie bei euch auf moddingtech.de.

Ich würde an Deiner Stelle auf jeden Fall den Provider informieren. Möglicherweise sind die Hacker über irgend eine Sicherheitslücke im Webserver auf die Seite gekommen auf die Du selbst keinerlei Einfluß hast, wohl aber der Provider. Das war bei meiner Seite der Fall. Da waren alle Webseiten betroffen die auf einem bestimmten Server lagen.

@ Chewy

Du scheinst dich ja auszukennen mit der Sicherheit von PHP Seiten. Könntest du mir ev sagen wo die häufigsten Fehler liegen?? Ich würde zwar behaupten meine Seite sei ziemlich sicher aber man kann ja nie genug vorsichtig sein.

peace
moede

es gibt durchaus angriffsmöglichkeiten bei großen forums- oder cms-system (phpBB, nuke, postnuke, phpkit, ...), deren bekanntheit natürlich mit der bekanntheit der systeme selbst ansteigt. diese werden natürlich auch schneller gefunden und gefixt als bei kleineren oder eigenen projekten, aber dafür muss man als webmaster auch oft genug upgraden - und bei für eigene zwecke modifiziertem code ist das manchmal nur sehr schwer bis gar nicht machbar.

solche lecks beschränken sich aber vorwiegend auf das verändern von daten in der datenbank mittels sql-injection - d.h. es wird an die url ein parameter angehängt, der ein sql-statement enthält oder erweitert (das bei ungenügendem check der parameter eben nicht geblockt wird) und mit dem es z.b. möglich ist, sich selbst admin-rechte zu geben. das erfordert jedoch eine gute kenntnis oder ein leicht durchschaubares system, und das ist natürlich bei größeren projekten eher der fall.
mangelhafte parameterprüfung kann auch direkt sicherheitsabfragen aushebeln, z.b. beim löschen von posts o.ä.

kürzlich habe ich bei einer in der modding-toplist _SEHR_ hoch platzierten seite ein leck gefunden, dass auf einen verbreiteten programmierfehler hinweist: per parameter wird ein dateiname angegeben und der inhalt der datei "in den rest der seite kopiert", so dass er vom design, menü usw. eingeschlossen wird. prüft man dann die pfadangaben nicht, so kann man prinzipiell mit einschränkungen (je nach fall) jede datei im webbrowser anzeigen lassen. auch wenn dies vllt keine passwörter enthüllt, so lässt sich doch zumindest über /etc/passwd, .htpasswd und co einiges an hilfreichen informationen ergattern. bei non-shadowed passwörtern wie z.b. in der .htpasswd lassen sich diese außerdem schön schnell und unbemerkt am eigenen rechner mittels bruteforce nachgenerieren und vergleichen, bei einem treffer hat man zugriff.

vollständige defacements erfordern jedoch zugriff auf das verzeichnis auf dem server, dass die webseiten enthält. dazu ist ftp-zugang eine gängige möglichkeit, aber minimalistische nachrichten können natürlich auch direkt auf dem system getippt und bilder mittels wget oder rcp auf den webserver übertragen worden sein. ein ungeschütztes phpMyAdmin oder leck auch nur im newsscript würde daher zwar für eine eingeschleuste botschaft reichen, aber eben nicht für ein defacement.
natürlich gibt es zahlreiche sicherheitslücken, die davon leben, dass sie nicht gepatcht werden, obwohl es bereits patches gibt. das kann bei webhostern natürlich ähnlich wie oben sehr aufwändig und auch zeitintensiv sein, manchmal passiert es jedoch aus unkenntnis oder ignoranz gar nicht. je mehr angebote gehostet werden, desto öfter sind z.b. auch admin-passwörter und systemeinstellungen die gleichen. und solche dinge werden auch meist nicht von schlampigen administratoren überprüft und erkannt.

in diesem fall muss wie gesagt wo anders die tür offen gewesen sein. sollte jemand versucht haben, via bruteforce an das ftp-passwort zu kommen (man braucht neben dem pw natürlich auch den usernamen, aber der lässt sich an vielen stellen ermitteln, zumal er oft identisch mit dem db-user oder db-namen ist), aber auch bei 8 zeichen lowercase dauert das schon lange. und sowas sollte eigentlich entdeckt werden oder zumindest über logs mehr als eindeutig nachvollziehbar sein.

auf jeden fall solltest du deinen webhoster möglichst detailliert über den vorfall informieren und ihn bitten, seine logs durchzusehen und dir ergebnisse mitzuteilen.
es ist äußerst fragwürdig, ob der angreifer zurückverfolgt werden kann, da er sicher nicht von seinem aol-zugang angegriffen hat, sondern über große umwege. aber es ist wichtig, dass die sicherheitslücke erkannt und geschlossen wird.

als webmaster empfiehlt es sich auch, regelmässige sql-dumps anzufertigen und aufzubewahren, um erst spät erkannte veränderungen von vor langer zeit rückgängig machen zu können. ein besonderes auge sollte dabei auf die tabelle mit den benutzer-accounts gelegt werden, denn nicht selten fügt ein unentdeckter eindringlich dort einen eigenen user mit diversen rechten hinzu, um später noch einen fuss in der tür zu haben.

so, hoffe das hat einen kleinen einblick gebracht und hilft für die zukunft.

He danke, auch wenn ich nicht glaube dass du das jetzt auf meine Frage bezogen hast ;D

Jedenfalls habe ich an deinen Ausführungen bemerkt das ich offensichtlich keine dummen Fehler gemacht habe

peace
moede

was hattest du denn für ein pwd? Wenn es irgendein Wort ist das existiert, wurde sicher ein Brute Forcer benutzt. Wenn du dann noch den Login Namen so genannt hast wie der db name hast du dem hacker die tür geöffnet......

wget ist ein programm, um eine datei z.b. via http oder ftp von einer angegebenen url runterzuladen. die von dir gefundene datei bewirkt folgendes:
3 dateien werden von einem billigwebspace runtergeladen (sind dort übrigens nicht mehr vorhanden) und 2 davon umbenannt. 'ls' ist ein kommando um verzeichniseinträge aufzulisten (hier zum überprüfen).

der typ hatte also offensichtlich (wie angenommen) vollen zugriff und nicht bloß über die site selbst.
da er diese datei entweder als ganzes ausgeführt hat (was schlau wäre) oder einzeln - egal, jedenfalls hatte er eine shell (das, wo man tippen kann) und nicht bloß ftp-zugriff. dem ist zu entnehmen, dass er sich eine lücke im server zunutze gemacht hat und nicht stumpf das ftp-pw gecrackt.

der junge scheint jedenfalls ein guter zu sein (blackhats = "böse hacker", whitehats = "gute hacker") und hat auf die sicherheitslücke aufmerksam und etwas ruhm einheimsen wollen.
frage: wurde deine seite gelöscht oder nur die index umbenannt? wenn sie noch da ist, untermalt das seine nicht-zerstörerischen absichten.
die @linuxmail-adresse deutet ebenfalls auf jemanden mit ahnung und guten absichten hin.
weiterhin sind die auf der deface-seite genannten namen bei google nicht (in diesem zusammenhang) zu finden, was auch für ein durchdachtes vorgehen spricht und keine kiddie-cracker-gruppe ausm quakenet, die auf dicke hose macht.
an seinem englisch (im dateiname fehlt ein 't' bei 'attention', 'into your website' ist falsch) wird deutlich, dass dies nicht seine muttersprache ist. den dateinamen von ihm (novo.txt) und der geocities-toplevel-domain '.br' nach kommt er aus brasilien oder einem anderen südamerikanischen land (liegt nahe, verschleierung scheint hier nicht versucht worden zu sein).
jedenfalls solltest du ihn unbedingt anschreiben (kost ja nix) und höflich nach seinem eingangstor fragen, dich dafür bedanken und seine zurückhaltende, nicht allzu schädliche vorgehensweise evtl. positiv hervorheben. diese sicherheitslücke solltest du dann umgehend deinem webhoster mitteilen. letzteren den kontakt abwickeln zu lassen halte ich für fatal, denn u.u. passiert da überhaupt nichts oder die spielen sich auf und dann kommt auch nix bei raus.

lass hören wenn's was neues gibt

edit: du hast ja schon geschrieben, dass deine seite sonst unverändert ist, also vergiss was ich gesagt hab

was vielleicht nicht rübergekommen ist: der eindringlich hat wohl eher zufällig den server gefunden und hatte es weniger auf die seite selbst abgesehen.

ist dein PW evtl.: e^(j*pi)+1=0
Das scheint aber wirklich nen "lieber" Hacker gewesen zu sein, weil er, als schlauer böser Hacker nichts gesagt hätte und lieber still und heimlich die Admin-rechte auf dem Server genutzt hätte.