[|-Husky-|]

support at mybboard (punto) de

Die ging heute raus um 10:58!

Egal, ich schicke sie noch einmal!

Auch von einem anderen Account aus.

Sie hat knapp über 2MB ...

DANKE DIR!

[Michael]

Danke. In zwischen sind alle Mails angekommen.

In den Logdateien kann ich nichts außergewöhnliches erkennen, außer dass auf die PHP-Datei im Ordner upload zugegriffen wurde. Mit 99%iger Sicherheit kann ich sagen, dass über diese Datei dein Forum komprommitiert wurde. Hinzu kommt, dass mein Virenscanner beim Download der E-Mail angeschlagen hat: http://www.antiviruslab.com/description....42&lang=gb

Wie gesagt, möglich war das über eine Sicherheitslücke, die inzwischen geschlossen wurde.

[|-Husky-|]

Ok ...also Danke Dir vielmals ...

Also nur damit ich jetzt alles richtig mache ...


WAS MUSS ich nun als nächstes tun?!

Wie bekomme ich mein Forum zurück ... Und wie kann ich mich in der Zukunft schützen?!

Soweit ich das verstanden muss die Datei gelöscht werden ... (GEMACHT!)

Muss/soll ich alle Passwörter ändern?!
Wie bekomme ich wieder Zugang zu meinem Forum?!
Der Freund von gestern ist heute nicht da!

Also bin für Tipps Dankbar!

Drücke aber schon einmal den erledigt Button!


Apropos ...
In dem Ordner Uploads sind folgenden Dateien:
post_103_1160928707.attach
...

Die sind aber unkritisch, oder?

[Michael]

Die Dateien mit der Endung .attach sind über das Forum hochgeladene Attachments, die sollten natürlich da sein.

Um dein Forum zuurückzubekommen gehe per phpMyAdmin in die Datenbanktabelle users und setze bei dir bei usergroup 4 ein. Dann bist du wieder Administrator. Sollte es weitere Probleme geben, kannst du dich hier natürlich wieder melden.

Welche Maßnahmen du ergreifen kannst, um dein Forum zu sichern, findest du in der FAQ. Zusätzlich kannst du eine .htaccess-Datei in den Ordner uploads legen, um PHP hier zu deaktivieren. Die Sicherheitslücke ist zwar geschlossen, aber Vorsicht ist doch besser.

Code:

php_flag engine off

[|-Husky-|]

Sooooooooo ich bin es wieder ...

Das Forum ist wieder gehacked, diesmal mit einem redirect.

Im Upload Folder waren folgende Dateien:
post_459_1203367046.attach1.php
post_459_1203367046_thumb1.jpg

Daher die erste Frage:
Wie genau muss die .haccess Datei aussehen?!

Der Angriff auf unseren Server erfolgte, so glaube ich, über eine Sicherheitslücke in unserer Bildergalerie.

Dies werde ich am Dienstag prüfen.


Ich habe die Serverlogs und die beiden Datein noch einmal an Dich (Michael) geschickt und hoffe auf Deine Hilfe!


So langsam entnervt mich die ganze Geschichte, insb. weil ich übe Ostern niemanden von unserem Webhostinganbieter erreichen kann.

[|-Husky-|]

Nachtrag:

Wir benutzen die Gallery von 4 Images!

Ich habe die eben komplett gelöscht und neu aufgesetzt!
Dank Datenbankbackup kein Problem!

Sie funktioniert wieder stabil!

http://gallery.atleticomadrid.de

Nun nur noch (mit Eurer) Hilfe das Forum und dann Dienstag mit dem Provider sprechen.

Das wird schon!

DANKE EUCH!

[Michael]

Die von dir geschickten PHP-Dateien sind leer. Bitte stelle sicher, dass sich neben der Galerie auch alle Dateien des MyBB auf dem aktuellen Stand befinden. Wie der Inhalt der .htaccess aussehen muss findest du am Ende meines vorherigen Beitrags.

[Gondlar]

Ich habs das jetzt mal bei mir probiert und festgestellt, das das entsprechende Modul bei meinem Hoster deaktiviert ist. Bietet folgender Code den selben Schutz oder wäre es besser den Hoster zu bitten das zu aktivieren?

Code:

<Files *.php>
order deny,allow
deny from all
</Files>

[CoolRunner]

Am besten auch die Versionsnummer im Footer abschalten sowie das Admin Verzeichniss umbennen.
Dann melde Dich z.B. bei http://www.4stats.de an und binde mal den Code ein, dann siehst du wo die Leute hinklicken. Evtl. hilft dir das weiter.
Wichtig ist auch das du safe_mode auf on stellst.

[Michael]

@Gondlar: Diese Konfiguration bietet den gleichen Schutz.