gehackt - Dateien hochladen nicht mehr möglich HTTP 403
-
- ConPresso-User
- Beiträge: 41
- Registriert: 27.02.2007 10:41
- Wohnort: 63075 Offenbach
- Hat sich bedankt: 4 Mal
gehackt - Dateien hochladen nicht mehr möglich HTTP 403
Meine Seite www.gag-buergel.de ist "hacked by karim96" zum Opfer gefallen. Wie das passieren konnte?? Das _setup-Verzeichnis war allerdings noch vorhanden.
Es wurden in _data bilder gelöscht und bei pdf-Dateien unter Bezeichnung Einträge vorgenommen. (siehe Anhang)
Auf der SQL-Datenbank habe ich _data alle kaputten pdf-files gelöscht und auch in _data befinden sich nur noch Dateien, die auch auf der Datenbank vorhanden sind.
Unter Dateien kann ich noch Dateien ansehen und löschen. Bei hochladen bekomme ich jedoch HTTP 403.
Kann mir jemand helfen??
Ulrich
Es wurden in _data bilder gelöscht und bei pdf-Dateien unter Bezeichnung Einträge vorgenommen. (siehe Anhang)
Auf der SQL-Datenbank habe ich _data alle kaputten pdf-files gelöscht und auch in _data befinden sich nur noch Dateien, die auch auf der Datenbank vorhanden sind.
Unter Dateien kann ich noch Dateien ansehen und löschen. Bei hochladen bekomme ich jedoch HTTP 403.
Kann mir jemand helfen??
Ulrich
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
- Handbuchversteher
- Beiträge: 7381
- Registriert: 01.01.1970 02:00
- Hat sich bedankt: 114 Mal
- Danksagung erhalten: 938 Mal
Wie sieht es aus mit den Rechten des _data Verzeichnisses?
Hast Du Rechte und bist Du der Besitzer?
Die ganzen hochgeladenen PHP-Dateien sind übrigens viel problematischer als die PDFs...
Für die Zukunft solltest Du mod_track benutzen, um frühzeitig informiert zu werden.
Hat er sich normal eingeloggt?
Irgendwo muss es da eine verheerende Sicherheitslücke geben, die sich wohl in den falschen Kreisen rumspricht...
Hast Du Rechte und bist Du der Besitzer?
Die ganzen hochgeladenen PHP-Dateien sind übrigens viel problematischer als die PDFs...
Für die Zukunft solltest Du mod_track benutzen, um frühzeitig informiert zu werden.
Hat er sich normal eingeloggt?
Irgendwo muss es da eine verheerende Sicherheitslücke geben, die sich wohl in den falschen Kreisen rumspricht...
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
-
- ConPresso-User
- Beiträge: 41
- Registriert: 27.02.2007 10:41
- Wohnort: 63075 Offenbach
- Hat sich bedankt: 4 Mal
Die Rechte habe ich. Besitzer?MarkusR hat geschrieben:Wie sieht es aus mit den Rechten des _data Verzeichnisses?
Hast Du Rechte und bist Du der Besitzer?
Hat er sich normal eingeloggt?
Irgendwo muss es da eine verheerende Sicherheitslücke geben, die sich wohl in den falschen Kreisen rumspricht...
Normals eingeloggt hat sich der Hacker heute nicht.
Es wäre schön, wenn Du mal auf die scripte und die Anwendung schaust.
Mit separater mail schicke ich Dir Zugangsdaten für FTP und Administrator für conpresso.
Ich habe mir schon überlegt, ob ich alles neu mache. So richtig viel Daten sind ja nicht vorhanden.
Ulirch
-
- Handbuchversteher
- Beiträge: 7381
- Registriert: 01.01.1970 02:00
- Hat sich bedankt: 114 Mal
- Danksagung erhalten: 938 Mal
Die Datei _admin/upload_files.php hatte die Rechte 200 statt 644, daher konntest Du die Datei nicht aufrufen.
Die Meldung erhieltest Du also nicht beim Hochladen sondern beim Versuch das Formular für den Dateiupload aufzurufen.
Ich habe es jetzt wieder auf 644 wie die anderen Dateien gestellt.
Ansonsten scheinst Du ja schon aufgeräumt zu haben.
Leider ist Dein Logfile auf 5 Tage eingestellt, daher ist außer Deinen heutigen Aktionen nichts zu sehen.
Auch das FTP-Log gibt keinen Aufschluss, da der Angriff wohl direkt über ConPresso lief.
Leider sieht man in Deinem Screenshot nicht mit welcher Userkennung die Dateien hochgeladen wurden. Weißt Du das noch?
Die Meldung erhieltest Du also nicht beim Hochladen sondern beim Versuch das Formular für den Dateiupload aufzurufen.
Ich habe es jetzt wieder auf 644 wie die anderen Dateien gestellt.
Ansonsten scheinst Du ja schon aufgeräumt zu haben.
Leider ist Dein Logfile auf 5 Tage eingestellt, daher ist außer Deinen heutigen Aktionen nichts zu sehen.
Auch das FTP-Log gibt keinen Aufschluss, da der Angriff wohl direkt über ConPresso lief.
Leider sieht man in Deinem Screenshot nicht mit welcher Userkennung die Dateien hochgeladen wurden. Weißt Du das noch?
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
-
- Handbuchversteher
- Beiträge: 7381
- Registriert: 01.01.1970 02:00
- Hat sich bedankt: 114 Mal
- Danksagung erhalten: 938 Mal
Laut dem Serverlog kam Dein Angreifer mit der IP 197.207.101.205 aus Algerien.
Die Vorarbeit wurde aber schon einen Tag zuvor von der IP 5.11.46.96 aus Palästina geleistet.
Am 29.12 um 9:15:54 hatte 1&1 bereits festgestellt, daß es einen Hacker-Angriff gab. Haben Dir die das nicht mitgeteilt? Schau mal unter logs/forensic
Die Vorarbeit wurde aber schon einen Tag zuvor von der IP 5.11.46.96 aus Palästina geleistet.
Am 29.12 um 9:15:54 hatte 1&1 bereits festgestellt, daß es einen Hacker-Angriff gab. Haben Dir die das nicht mitgeteilt? Schau mal unter logs/forensic
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
-
- Handbuchversteher
- Beiträge: 7381
- Registriert: 01.01.1970 02:00
- Hat sich bedankt: 114 Mal
- Danksagung erhalten: 938 Mal
Definitiv war das eine SQL-Injection.
Daher hier nochmal der Hinweis an ALLE, daß man zumindest ctracker installieren sollte
http://community.conpresso.de/viewtopic.php?t=3160
Daher hier nochmal der Hinweis an ALLE, daß man zumindest ctracker installieren sollte
http://community.conpresso.de/viewtopic.php?t=3160
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
-
- ConPresso-User
- Beiträge: 41
- Registriert: 27.02.2007 10:41
- Wohnort: 63075 Offenbach
- Hat sich bedankt: 4 Mal
-
- ConPresso-User
- Beiträge: 41
- Registriert: 27.02.2007 10:41
- Wohnort: 63075 Offenbach
- Hat sich bedankt: 4 Mal
Zu 1und1 möchte ich noch sagen:
um 12.24 habe ich per E-Mail lt. Anlage geschrieben, da überhaupt kein Zugriff auf die Homepage möglich war. Ca. gegen 14.00 Uhr war der Zugang wieder möglich, jedoch war die Anzeige noch nicht sauber (eine Datei fehlte). Um 17.41 Uhr informiert mich 1und1. Wegen der fehlerhaften Daten meint die Dame am Telefon, das wird sich sicher auch noch geben.
Von einem Hacker-Angriff war überhaupt nie die Rede. Es ist schon stark, mich einfach im Dunkeln tappen zu lassen.
Nochmal Danke
Ulrich
um 12.24 habe ich per E-Mail lt. Anlage geschrieben, da überhaupt kein Zugriff auf die Homepage möglich war. Ca. gegen 14.00 Uhr war der Zugang wieder möglich, jedoch war die Anzeige noch nicht sauber (eine Datei fehlte). Um 17.41 Uhr informiert mich 1und1. Wegen der fehlerhaften Daten meint die Dame am Telefon, das wird sich sicher auch noch geben.
Von einem Hacker-Angriff war überhaupt nie die Rede. Es ist schon stark, mich einfach im Dunkeln tappen zu lassen.
Nochmal Danke
Ulrich
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
- ConPresso-User
- Beiträge: 41
- Registriert: 27.02.2007 10:41
- Wohnort: 63075 Offenbach
- Hat sich bedankt: 4 Mal