ich mag hacker sehr, sehr gerne...

**antiheld2000** · 16-02-2004, 23:56

http://www.fickverbot.de/hacked_02_2004.htm <- kann mir mal jmd. sagen, wie die das machen?!?! und warum machen die das?

is das n zeichen dafür, dass jmd. mein ftp-pw geknackt hat, oder wie?

**Albu** · 17-02-2004, 00:08

also zuerst habe ich die Hacker Seite gesehen, dann nach eins zwei Refresh und ein paar DNS Anfragen sehe ich wieder die korrekte Seite... wenn Deine Seiten ansonsten korrekt sind und kein Einbruch oder geänderte Dateien sichtbar sind, dann hat sich jemand Deinen DNS Eintrag gekrallt und ihn kurzfristig umgebogen. I.d.R. dauert das dann einige Minuten, bis mehrere Stunden bis die Server sich wieder synchronisieren....

**antiheld2000** · 17-02-2004, 00:13

ich hab kurz nachdem ich das entdeckt und hier gepostet habe, gleich die alte startseite wiederaufgespielt.

es waren definitiv die index.htm und index.html komplett neu geschrieben. aber ansonsten sieht eigentlich alles "normal" aus...

**Albu** · 17-02-2004, 00:19

Na gut, dann war es ein Einbruch, dir Frage ist jetzt wie die reingekommen sind. Ich würde mal schauen, ob die LogDateien vom fraglichen Zeitraum irgendwelche Infos geben. Meist kommen die über bekannte Sicherheitslücken von CGIs rein (ich will ja nicht hoffen, daß die Dein Paßwort erraten haben).
Nichtsdestotrotz würde ich sämtliche Paßwörter ändern.
Vielleicht ist auch ein PHP Script unsauber programmiert... sowas sollte aber anhand der Log Dateien nachvollziehbar sein.

**antiheld2000** · 17-02-2004, 00:46

dann werde ich der sache wohl mal tiefer auf den grund gehen. thx for the auskunft

**Albu** · 17-02-2004, 00:57

Du hast aber auch ein Glück mit Deinem Strato.... sag jetzt ned, daß Du auch noch ne .com, .net oder .org Domain bei denen hast....

**antiheld2000** · 17-02-2004, 01:00

ne, hab ich da nicht. hab auch gerade mal die logfiles überfliegen wollen, nur begibt es sich bei strato so, dass man die logfiles immer erst 2 tage später bekommt, warum auch immer. wahrscheinlich braucht der 2 tage zum rechnen, oder da sitzt 'n abm-ler der die tippt und schön schreibt.

**Albu** · 17-02-2004, 01:04

bei uns hats zum Glück nur ein paar Minuten Zeitverzögerung (was man als Schreibcache bezeichnen könnte), dann liegen die aktuellen Daten vor. Lediglich die Reports werden nur einmal am Tag / Nacht generiert, das ist schon nicht schlecht.

Naja auf jeden Fall viel Spaß beim Durchwühlen der Logdateien (wenn sie denn endlich fertig abgetippt sind

)

**bine** · 17-02-2004, 01:48

wie die das machen kann ich natürlich nicht nachvollziehen. Aber bei dem warum kann ich mir einfach sportliche Gründe vorstellen.

So nach dem Motto, boah geil, wieder einen. Oder so nach dem Motto juhuu, wir beherrschen die Welt.

**rasputin** · 17-02-2004, 18:52

schlussendlich würde noch die die bruteforce methode bleiben. wie schon gesagt, ist eine lücke in einem script nicht auszuschliessen. ich hatte dem admin von www.utworld.de mal seine mysql-zugangsdaten zugeschickt...

**kasimir83** · 17-02-2004, 19:00

@raspu: Jetzt mal weil ich gerade nervös werde: was hatte der Kollege falsch gemacht, dass man da ran kam?

**dipser** · 17-02-2004, 22:51

Ist folgendes der anfang deiner index.php?

Code:

<?php 
# GLOBALE VARIABLEN
...

Edit: Hab' den Teil Quellcode entfernt auf die Bitte hin von antiheld.

**womstar** · 18-02-2004, 01:34

also ich würde sagen spider wars!!!

**antiheld2000** · 18-02-2004, 09:13

das denk ich auch

hat jmd. denn mal n tipp für ne seite mit sicherheitstipps was das proggen angeht?

mo · 18-02-2004, 09:28

@anti: du solltest kontrollieren, welche dateien includet werden. deine variable "s" öffnet dem tür und tor. eine möglichkeit wäre z.b. s immer mit dem $_["DOCUMENT_ROOT"] vorne dran zu includen, das gibst du natürlich erst dort an, wo der include-befehl steht.. dann sollte nix mehr schief gehen.
@womstar: nein, spider war´s nicht.
bye,
mo