Dieses Forum nutzt Cookies
Dieses Forum verwendet Cookies, um deine Login-Informationen zu speichern, wenn du registriert bist, und deinen letzten Besuch, wenn du es nicht bist. Cookies sind kleine Textdokumente, die auf deinem Computer gespeichert sind; Die von diesem Forum gesetzten Cookies düfen nur auf dieser Website verwendet werden und stellen kein Sicherheitsrisiko dar. Cookies auf diesem Forum speichern auch die spezifischen Themen, die du gelesen hast und wann du zum letzten Mal gelesen hast. Bitte bestätige, ob du diese Cookies akzeptierst oder ablehnst.

Ein Cookie wird in deinem Browser unabhängig von der Wahl gespeichert, um zu verhindern, dass dir diese Frage erneut gestellt wird. Du kannst deine Cookie-Einstellungen jederzeit über den Link in der Fußzeile ändern.

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Was das?
#1
Tag, schaut mal was auf der haupt-URL des forums ist: [url="http://forum.h0slot.de/"][url="http://forum.h0slot.de/"]<a href="http://forum.h0slot.de/" target="_blank">http://forum.h0slot.de/[/url][/url]</a>



Ich homme da auch irgend nen poltischen englisch/türkischen Text. Is das bei euch auch so? <img src='http://www.h0slot.de/public/style_emoticons/<#EMO_DIR#>/blink.png' class='bbc_emoticon' alt=':blink:' />
Zitieren
#2
Ja hatteich auch
Geht nicht, gibts, nicht

Schöne Grüße
Lothar
Zitieren
#3
hallo habe ich auch..... hat da jemand die seite gecrackt und kommt nun an die daten..?



mfg frankydean
faller ist kult.... für das kind im manne..... rolleyes:
Zitieren
#4
[quote name='frankydean' post='10691' date='10.08.2006 - 22:02']hat da jemand die seite gecrackt und kommt nun an die daten..?[/quote]



Ich denke nicht das der an Daten kommt; das da mit der Brechstange an die Tür geklopft

wird find ich allerdings... mindestens unsensibel!



Gruß, Ebi
Zitieren
#5
Wenn Scriptkiddies aus der Türkei mit vorhandenen Scripten vorhandene Dateien mit eigenen Inhalten überspielen, ist das nicht nett, aber kein Beinbruch. Die Datenbank wurde nicht kompromitiert.



Die Logfiles werde ich morgen mal in Ruhe aus, ich habe die Arcade (Spiele) unter Verdacht.





Ciao

Grogi



P.s.: Wer ein Anmeldefenster gesehen hat, und dort seinen Benutzernamen und Passwort eingegeben hat, ist nicht schlimm. Das war ein Passwortschutz, um die Präsenz bei der Schadensfeststellung vom Netz zu nehmen.
Zitieren
#6
Update:



Der Hack aus der Türkei kam nicht über dieses Forum, sondern über ein Script, welches in einem völlig anderem Verzeichnis liegt. Es handelt sich dabei um eqdkp (Irgend so ein Punktesystem), und zwar um die Datei c99safemod.php.

Es war nicht möglich, Dateien auszulesen, sondern nur vorhandene Dateien mit anderem Inhalt zu überschreiben. Überschrieben wurde die erste Datei (index.php), es kam beim Aufruf ein fremder Inhalt.



Andere Daten wie beispielsweise die Datenbank wurden nicht ausgelesen oder beschädigt.



Der Vorfall ist ärgerlich, da es sich bei eqdkp nicht um eine von mir betriebene Präsenz handelt.

Der Betreiber wurde benachrichtigt und wird die Sicherheitslücke schliessen.





Mit freundlichen Grüssen

Daniel Guttstein
Zitieren
#7
[quote name='Grogi' post='10709' date='11.08.2006 - 10:41']Update:



Der Hack aus der Türkei kam nicht über dieses Forum, sondern über ein Script, welches in einem völlig anderem Verzeichnis liegt. Es handelt sich dabei um eqdkp (Irgend so ein Punktesystem), und zwar um die Datei c99safemod.php.

Es war nicht möglich, Dateien auszulesen, sondern nur vorhandene Dateien mit anderem Inhalt zu überschreiben. Überschrieben wurde die erste Datei (index.php), es kam beim Aufruf ein fremder Inhalt.



Andere Daten wie beispielsweise die Datenbank wurden nicht ausgelesen oder beschädigt.



Der Vorfall ist ärgerlich, da es sich bei eqdkp nicht um eine von mir betriebene Präsenz handelt.

Der Betreiber wurde benachrichtigt und wird die Sicherheitslücke schliessen.





Mit freundlichen Grüssen

Daniel Guttstein[/quote]



Hi Daniel,



dann kann man sagen, das wir noch einmal mit dem blauen Auge davon gekommen sind...



Gruß

Manfred
---------------------------------------------------------

Die Richtung ist egal, Hauptsache es geht vorwärts.
Zitieren
#8
Fangen unsere türkischen Freunde auch noch das Slotten an???



Stefan
Zitieren
#9
[quote name='Grogi' post='10709' date='11.08.2006 - 10:41']Es handelt sich dabei um eqdkp (Irgend so ein Punktesystem), und zwar um die Datei c99safemod.php.

Es war nicht möglich, Dateien auszulesen, sondern nur vorhandene Dateien mit anderem Inhalt zu überschreiben. Überschrieben wurde die erste Datei (index.php), es kam beim Aufruf ein fremder Inhalt.



Andere Daten wie beispielsweise die Datenbank wurden nicht ausgelesen oder beschädigt.[/quote]



Hi!



Zum einen sind die Dateien mal wieder ausgetauscht worden und zum anderen ist das C99 nicht "irgendein Script" sondern ein Root-Kit. Wir haben in unserem Clan (für die die´s nicht kennen: quasi ein Verein von "zocksüchtigen" Computerfreaks <img src='http://www.h0slot.de/public/style_emoticons/<#EMO_DIR#>/biggrin.png' class='bbc_emoticon' alt='Big Grin' /> ) mal das gleiche Problem gehabt. Uns wurde das Script über eine Grafik versteckt unter gejubelt. Äußerlich DURCH NICHTS ZU ERKENNEN hat sich bei einem Klick auf die Grafik das Script automatisch mit Root-Rechten auf dem Server installiert - egal ob Windows oder Linux-Server und egal welche Forensoftware o.ä.. Danach lies sich das Script über eine entsprechende PHP-Datei aufrufen und man hatte u.A. einen Dateiexplorer zur Verfügung und die VOLLSTÄNDIGE Gewalt über den Server. Das Script war leicht zu löschen, aber die Ursache woher es kam nur schwer zu finden. Es wurde vom Server gelöscht und 3 Tage später war er schon wieder gehackt und das Script schon wieder da.

Wenn nur die index.html gelöscht/geändert wurde kannst Du noch von Glück reden bzw. der Hacker wollte wie bei uns tatsächlich nur auf eine Sicherheitslücke aufmerksam machen. Durch das Script hat man wie gesagt vollen Root-Zugriff auf alle Daten! Wo die Sicherheitslücke genau liegt (PHP, Apache o.ä.) kann ich Dir leider auch nicht sagen. <img src='http://www.h0slot.de/public/style_emoticons/<#EMO_DIR#>/sad.png' class='bbc_emoticon' alt='Sad' />

Sollte es wieder das C99 sein kannst Du das Problem auf jeden Fall relativ einfach umgehen indem Du ALLE Bilderuploads (also auch Avatare etc.) verbietest bzw. nur für registrierte User zulässt. Dann musst Du "nur noch" die infizierte Datei finden löschen...



Viel Erfolg und ich hoffe Dir damit ein wenig geholfen zu haben,

Carsten
Zitieren
#10
[quote name='DarkSoul' post='11117' date='03.09.2006 - 23:58']Sollte es wieder das C99 sein kannst Du das Problem auf jeden Fall relativ einfach umgehen indem Du ALLE Bilderuploads (also auch Avatare etc.) verbietest bzw. nur für registrierte User zulässt. Dann musst Du "nur noch" die infizierte Datei finden löschen...[/quote]



Vielen Dank,



das Rootkit wurde nicht über das Forum eingebaut, sondern über so ein komisches Punktesystem bei einer anderen Präsenz auf dem Server. Und darüber wurden die index-Dateien überschrieben.



Das Forum blieb bis auf der überschriebenen Dateien sauber.





Ciao

Grogi
Zitieren
#11
[quote name='Grogi' post='11123' date='04.09.2006 - 18:54']das Rootkit wurde nicht über das Forum eingebaut, sondern über so ein komisches Punktesystem bei einer anderen Präsenz auf dem Server. Und darüber wurden die index-Dateien überschrieben.[/quote]



Na das spricht ja Bände über den Provider... <img src='http://www.h0slot.de/public/style_emoticons/<#EMO_DIR#>/wink.png' class='bbc_emoticon' alt='Wink' />
Zitieren
#12
[quote name='DarkSoul' post='11125' date='04.09.2006 - 21:10']Na das spricht ja Bände über den Provider... <img src='http://www.h0slot.de/public/style_emoticons/<#EMO_DIR#>/wink.png' class='bbc_emoticon' alt='Wink' />[/quote]



Nein,



es ist kein Provider, sondern ein Hoster. Und die besagte Präsenz befindet sich zur Miete bei mir von einem Bekannten.



Das Problem ist, daß Sicherheitslücken sich schneller auf die Socken machen als die Lösung derselben. In den meisten Fällen bleibt nichts anderes übrig, die Scripte vorübergehend zu deaktivieren.



Der Firma domainfactory kann man also mit Sicherheit keinen Strick daraus drehen, die sind nämlich schnell und ich bin dort sehr zufrieden.





Ciao

Grogi
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste