Sicherheitsinformationen

[DTC]

Einige von euch haben es wahrscheinlich bemerkt - unser Forum war seit Samstag nicht mehr zu erreichen - es erschien nur eine weiße Seite.
Ich dachte erst, es lag an irgendeinem Problem mit meinem Webspace-Anbieter (z.B. PHP- oder MySQL-Update), aber dem war nicht so.
Nach intensiver Prüfung habe ich herausgefunden, dass unsere Webseite Opfer einer Hacking-Attacke geworden ist.
Zum Glück hat der Täter nicht viel zerstört - ich tippe mal auf ein "Kiddie", was ein vorgefertigtes Tool ausprobiert hat.
Jedenfalls wurde sowas wie ein Trojaner installiert, mit dem der Hacker Zugriff auf meinen Webspace bekam - leider weiß ich nicht, wie weit der Zugriff gereicht hat.
Da allerdings nichts groß verändert wurde, denke ich mal, dass die Gefahr eher klein ist.

Trotzdem solltet ihr alle euer Forum-Passwort ändern.
Dazu klickt ihr einfach oben unterm Banner auf "Profil".

Der Hacker nennt sich selbst "Dr. Shakr" und hat den PHP-Trojaner PHP/C99Shell-B installiert.

Hoffen wir mal, dass sich so eine Aktion nicht so schnell wiederholen wird.
Da ich allerdings nicht wirklich viel Ahnung von PHP habe, weiß ich nicht, ob meine zusätzlichen Vorkehrungen etwas bewirken werden.
Früher oder später werde ich das Forum aber sowieso von phpBB2 auf phpBB3 umsetzen.

[DTC]

Gestern Abend ca. um 18:30 Uhr wurde mein Webspace gehackt.
Ich dachte erst, es war nur das Forum, aber es betraf auch andere Verzeichnisse.
Einzig die Joomla-Installation war unversehrt, wahrscheinlich haben dort meine damalig eingeführten Sicherheitsvorkehrungen geholfen.
Anscheinend bin ich Opfer einer DOS-Attacke geworden - nicht als Ziel, sondern als Auslöser.
Es wurde sehr viele html-, php- und javascript-Dateien ein zusätzlicher Code eingefügt, mit dem bei jedem Aufruf dieser Dateien ein Zugriff auf eine spezielle php-Datei einer externe Webseite ausgelöst wird.
Wenn dies von vielen Webseiten passiert, kann man die Zielwebseite lahm legen.
Bei der Zielwebseite handelt es sich um die Homepage eines FDP Ortsverbandes - der Angriff war also wahrscheinlich eher politisch motiviert.
Ich habe den Inhalt der php-Datei geprüft, zum Glück war darin kein Code enthalten, sondern nur das Wort "ok".
Ich weiß nicht, ob evtl. später der Inhalt dieser Datei noch mit Schadecode gefüllt werden sollte oder ob es sich wirklich nur um eine DOS-Attacke handelt.

Jedenfalls habe ich das System erstmal wieder bereinigt und ein paar Sicherheitsvorkehrungen getroffen.
Zusätzlich habe ich die Forumsoftware auf die aktuelle Version angehoben, was ich allerdings sowieso vor hatte...
Ein paar andere Verzeichnisse auf dem Webspace mit älterer bzw. ungenutzter Software habe ich inzwischen gelöscht.
Ich werde jetzt im Verlauf der nächsten Tage wieder einmal alle Erweiterungen prüfen und ggf. Updates installieren.

Passwörter dürften allerdings nicht entwendet worden sein, diese werden verschlüsselt abgelegt.

[DTC]

Mein Webspace wurde heute früh erneut gehackt.
Genau die gleiche Vorgehensweise, nur mit einem anderen Link - diesmal auf eine Esotherikseite...

Hab erstmal alles wieder bereinigt.

Da der Täter in sämtlichen Verzeichnissen die Dateien geändert hat und meine Sicherheitsvorkehrungen sowie System-Updates nichts bewirkt haben, gehe ich nicht mehr davon aus, dass er sich Zugang über eine Sicherheitslücke in einer der Softwareinstallationen geholt hat.
Irgendwie muss der Täter wahrscheinlich an meinen FTP-Zugang gekommen sein.
Ich habe jetzt erstmal mein Zugangspasswort geändert und meinen Computer offline einmal komplett gescannt.

Wenn das auch nicht hilft, weiß ich wirklich erstmal nicht mehr weiter, dann muss ich wohl mal einen Profi ranholen, der sich meinen Webspace mal genauer anschaut...

[DTC]

Kurz zur Info:

Anscheinend wurde meine Webseite gehackt oder anderweitig "missbraucht" - jedenfalls wurde sie als Mail-Spam-Schleuder benutzt (9000 Mails wurden versandt).
Ich weiß nicht genau, wie sie es gemacht haben. Mein "Sicherheits-Tool" hat mir diverse SQL-Injection-Versuche angezeigt.
Eigentlich habe ich dafür einige Sicherheitsvorkehrungen getroffen - aber die Joomla-Installation ist noch ziemlich alt (die letzte 2.5er Version), da kann es natürlich diverse Sicherheitslücken geben, die nicht mehr gepatched wurden.
Allerdings besteht auch die Möglichkeit, dass sie einfach nur das Kontaktformular genutzt haben, indem sie die Option "Kopie an mich senden" missbraucht haben.
Das der Spam-Versand über das Forum gelaufen ist, davon gehe ich mal nicht aus - das wird sich aber sicher die nächsten Tage zeigen.
Jedenfalls wurde die Webseite vom Provider erstmal vom Netz genommen.
Jetzt haben sie auf meinen Wunsch ein Backup vom 27. oder 26. Sep. eingespielt.
Hier habe ich nun gleich die Webseite mittels Passwort vor fremden Zugriff geschützt, so dass kein Hacking mehr stattfinden kann. Einzig das Forum habe ich aktiv gelassen, damit wir hier weiter diskutieren können

Die nächsten Tage / Wochen werde ich die Webseite mit der aktuellsten Joomla-Version neu aufsetzen.
Damit zukünftige Updates schneller und einfacher gehen, werde ich wohl nicht mehr so viele Mods installieren...
Später wird dann auch das Forum auf die neuste Version 3.2.x gebracht - auch hier mit weniger Mods, um auch hier schneller und einfacher aktualisieren zu können.

Wenns was neues gibt, sag ich hier Bescheid.

Accounts von neuen Bewerbern werde ich vorerst erstmal von Hand anlegen.

[FinnMcCool]

Damit zukünftige Updates schneller und einfacher gehen, werde ich wohl nicht mehr so viele Mods installieren...
Später wird dann auch das Forum auf die neuste Version 3.2.x gebracht - auch hier mit weniger Mods, um auch hier schneller und einfacher aktualisieren zu können.

Kann ich nur begrüßen, lieber ein aktuelles, schlankes und schnelles Forum als ein völlig überfrachtetes, nicht patchbares Kuriositätenkabinett!

[DTC]

WAS willst du mir damit sagen ???

[Rixxis]

Er meint das du deine Arbeit ganz toll machst und er es nicht besser machen könnte

[DTC]

Aaaachsooooo....

[FinnMcCool]

Was denn sonst?!