Wurde der Server gehackt ?

[mario]

@Garfield, ich konnte die index.php sehen, nun ist alles weg. Hast Du den Zugang der Domain gekappt oder Dein Provider? Bei mir hat mein Serverhoster meinen ganzen Server vom Netz getrennt, aber wegen extrem hohem Trafficaufkommen. Das Loch war auch bei Awstats. Durch Update auf neuste Version ist es seitdem nicht wieder aufgetreten

[Garfield]

Sämtliche Domains wurden eben mal gekappt, es wird ein Backup Stand heute nacht 3 Uhr aufgezogen, in ner Dreiviertelstunde wird wohl wieder alles online sein.

Ich wüßte aber trotzdem mal nur zu gerne, worüber das Hacking ging...

Aber das wird noch untersucht...

Mistige Scriptkiddies, nervt echt

[mario]

erkundige Dich beim Serverbetreiber bezüglich Awstats-Versionsnummer. Er muss 6,4 installieren, sonst ist genau das alles möglich... kontrolliere auch den Traffic von heute

[Jörg]

@ Jörg



auch hier ist dieser Referer im Zusammenhang mit AWStats erwähnt... https://www.google.de/search?q=%26highl ... 252esystem(chr(105)%25252echr(100)%25252echr(59))%25252e%252527&hl=de&lr=&c2coff=1&start=10&sa=N

https://www.martinmurray.co.uk/stats/awstats122004.txt

dort wurden in einer awstats-Datei die URLs aufgeführt, die auf dem Server einen 404 zurückgegeben haben, und darunter war zufällig auch dieser String (siehe Google Cache) - einen direken Zusammenhang zwischen awstats und dem Aufruf gibt es aber nicht

vielleicht hate dieser Aufruf bei Garfields Seite auch nichts weiter bewirkt und das Sicherheitsloch war woanders - was wurde denn für ein Code vom Server zurückgegeben, 200, 403 oder 404?

[Garfield]

Werd ich tun, danke nochmal für die Infos an alle...

[mario]

@Jörg

awstats-file, besagter String, zufällig...? Warten wir's ab, was da noch rauskommt. Da die Domain im Moment down ist, kann ich nicht nachsehen, aber ich meinte keine phpbb-Anwendung gesehen zu haben.

[Jörg]

1110650829 120305 200.97.21.3 /ftopic932.html&highlight=%2527%252esystem(chr(105)%252echr(100)%252echr(59))%252e%2527

Diese Datei wurde aufgerufen:

https://www.hottelino.de/ftopic932.html

das Forum ist ein phpBB Forum

[mario]

@Jörg

sorry ich spreche von der Pferdeseite

[Jörg]

Das Forum befindet sich auf dem gleichen Server (deswegen auch grad nicth erreichbar). Du kannst es auch über Google checken:

https://www.google.de/search?hl=de&q=in ... ic932.html

lauter phpBB Foren - awstats Dateien werden nicht so benannt, und es handelt sich auch um eine phpBB Lücke, die mit dem Aufruf angesprochen wird.

Gleichwohl kann der Hack natürlich auch noch ganz anders vonstatten gegangen sein, es muss nichts mit diesem String zu tun haben

[mario]

@Jörg

alles klar, nicht bemerkte, dass phpBB auf dem gleichen Server läuft und mich mit diesen phpBB-Sicherheitslöcher auch nie wirklich beschäftigt hab'. Aber die Auswirkungen sind dann wohl ähnlich wie bei Awstats... alle index löschen oder halt umschreiben. Seh' ich das richtig bei den phpBB's?

[Garfield]

Laut Support war es irgendwo vermutlich ein allow_url_fopen-Hack.

Die Frage ist wo, denn die Logs wurden auch gelöscht.

Kann damit hier irgendjemand was anfangen, kann das im Zusammenhang mit phpBB stehen ?

Ich weiß, daß auf dem gleichen Server noch eine 2.0.11 läuft.

[Jörg]

Dazu gibt es auf heise eine Beschreibung:

https://www.heise.de/newsticker/meldung/51838

Betroffen sind Systeme, bei denen in der php.ini die Option allow_url_fopen = on gesetzt ist und sich ein Skript aufrufen lässt, das dynamisch Code nachlädt, beispielsweise so:

Code: Alles auswählen

if (!isset($realm))
   {
        include "home.template";
   }
  else
   {
   include $realm ;
   }