Forumreset nach Hackerangriff

[Samson]

Das Forum war durch einen Hackerangriff infiziert worden und gestern aus Sicherheitsgründen von Domainfactory deaktiviert worden.

Am Abend habe ich dann ein Update der Forumsoftware gemacht und dabei versehentlich einige wichtige Dateien überschrieben. Leider war meine Sicherheitskopie von Oktober, weshalb einige globale Angaben nicht mehr stimmen. Einen relevanten Datenverlust gab es wahrscheinlich nicht.

[robert]

Argh
Das Forum an sich, oder auch das ganze System, auf dem das Forum läuft?
Muss ich mir Sorgen um mein Passwort machen (wahrscheinlich ja)?

Bei mir auf Arbeit ist es meist ein einzelner gehackter Nutzeraccount, der Spam in der Welt sendet und hoffentlich nie ein ganzer Server.

Danke Frank für deine zusätzliche Arbeit.

Robert

[Asmodis]

Na prima. Die Brüder scheinen ja im Moment ziemlich aktiv zu sein. Meine Webseite ist auch seit Wochen immer wieder Hackerangriffen ausgesetzt durch die irgendwelche bösen PHPs eingeschleust werden. Und ich find einfach die Schwachstelle nicht... Zum Junge Hunde kriegen das...

[Samson]

Meist ist ja das Skript eine Schwachstelle, von welchem Dateien betroffen waren. Die Suche nach der tatsächlichen Einbruchstelle ist wie Du schon sagst, schwieriger. In den Server-Logdateien findet man zwar die Angriffe wieder, aber an den entscheidenden Stellen werden dann POST-Daten geschickt, deren Inhalt die Logfiles leider nicht wiedergeben.

Einen krassen Fall hatte ich mal, da wurden alle Indexdateien selbst in Verzeichnissen geändert, die gar nicht öffentlich sind. Irgendwann nach dem 3. oder 4. erfolgreichen Hack habe ich mal die FTP-Logfiles geprüft. Dabei fand ich einen Account eines Kollegen, über den die Dateien verändert wurden. Nachdem ich jetzt über Probleme mit einem verseuchten FTP-Programm Filezilla gelesen habe, nehme ich an, daß er sich dadurch eine Laus eingefangen hat. Der Kollege selbst stand natürlich für mich nicht im Verdacht. Er ist Admin und hat Vollzugriff mit seinem FTP-Account.