MyXoops Forum

Re: Site ghackt [Sicherheit von XOOPS] - myXOOPS German Support

LoozyFair

"myXOOPs"-Neuling
Gepostet am:21.04.2008 05:42
LoozyFair
LoozyFair Offline (Show more)
"myXOOPs"-Neuling
Posts: 44
Since: 05.06.2006
#15

Re: Site ghackt

Moin zusammen.

@ Alfred Du hast geschrieben

"bei einer gehackten Seite würde ich immer neu anfangen, wer weiss was da mittlerweile noch alles drauf ist."

Also Neuinstallation von Xoops 2.0181 und neue Datenbank, oder Neuinstallation und Backup der Datenbank?

Ich komme zur Zeit sowieso nicht in meinen Admin-Bereich. Immer wenn ich in den Admin-Bereich möchte, kommt die bekannte Meldung "Sie betreten zum ersten Mal....." dann gehe ich auf abschicken und anschl. erscheint die Meldung "Login....." es vergeht eine kurze Zeit und siehe da, es erscheint wieder die Meldung "Sie betreten zum ersten Mal.....". Wer kann helfen?

GruZ

LooZ

ps ich setze den Beitrag auf gelöst, da Providerproblem. Trotzdem danke an alle

alfred

Administrator
Gepostet am:20.04.2008 20:04
alfred
alfred Offline (Show more)
Administrator
Posts: 7618
Since: 06.12.2004
#14

Re: Site ghackt

Zitat:

LoozyFair schrieb:
Hallo

Ich finde keinen SPAW-Editor.


dann wird auch keiner da sein
es liegt nicht am XOOPS, das deine Seite gehackt wurde,
sondern an deinem Provider, deshalb auch meine Frage.

Alfred

Advertisement

Gepostet am:0
Advertisement (Show more)
Posts: 0
Since: 0


Hier könnten Sie Ihre Anzeige aufgeben!
Bitte kontaktieren Sie uns, um mehr darüber zu erfahren.

LoozyFair

"myXOOPs"-Neuling
Gepostet am:20.04.2008 19:52
LoozyFair
LoozyFair Offline (Show more)
"myXOOPs"-Neuling
Posts: 44
Since: 05.06.2006
#13

Re: Site ghackt

Hallo

Ich finde keinen SPAW-Editor.

Ich nur folgende Editoren:

XOOPS/class/xoopseditor/dhtmlext
XOOPS/class/xoopseditor/dhtmltextarea
XOOPS/class/xoopseditor/FCKeditor
XOOPS/class/xoopseditor/koivi
XOOPS/class/xoopseditor/textarea
XOOPS/class/xoopseditor/tinymce

Den Text oder Titel SPAW finde ich in vielen xoops-Dateien, z.B.

xoops_version.php - 11.809 Bytes - Fr, 26.01.07 um 00:00 - \Modules\Info\
8.992 if (is_readable(XOOPS_ROOT_PATH . "/class/xoopseditor/spaw/editor_registry.php")) $editors[_MIC_INFO_CONF1_EDIT_SPAW] = 'spaw_editor';
9.050 if (is_readable(XOOPS_ROOT_PATH . "/class/xoopseditor/spaw/editor_registry.php")) $editors[_MIC_INFO_CONF1_EDIT_SPAW] = 'spaw_editor';
9.059 if (is_readable(XOOPS_ROOT_PATH . "/class/xoopseditor/spaw/editor_registry.php")) $editors[_MIC_INFO_CONF1_EDIT_SPAW] = 'spaw_editor';
9.874 if (is_readable(XOOPS_ROOT_PATH . "/class/spaw/formspaw.php")) $editors[_MIC_INFO_CONF1_EDIT_SPAW] = 'spaw_editor';
9.883 if (is_readable(XOOPS_ROOT_PATH . "/class/spaw/formspaw.php")) $editors[_MIC_INFO_CONF1_EDIT_SPAW] = 'spaw_editor';
9.925 if (is_readable(XOOPS_ROOT_PATH . "/class/spaw/formspaw.php")) $editors[_MIC_INFO_CONF1_EDIT_SPAW] = 'spaw_editor';
9.934 if (is_readable(XOOPS_ROOT_PATH . "/class/spaw/formspaw.php")) $editors[_MIC_INFO_CONF1_EDIT_SPAW] = 'spaw_editor';

Ist das auch ein Problem?

@ Alfred:

Warum die Frage nach dem Provider?

Vorerst schon mal danke für Eure Bemühungen, bin etwas ratlos:.

Den template_c Ordner habe ich geleert.

GruZ

LooZ

alfred

Administrator
Gepostet am:20.04.2008 18:43
alfred
alfred Offline (Show more)
Administrator
Posts: 7618
Since: 06.12.2004
#12

Re: Site ghackt

Zitat:

sato-san schrieb:
Protector schützt, ist aber für Einsteiger nicht geeignet. Also erstmal Finger weg lassen.


in dem fall nicht, da der Angreifer über einen Kernel-Exploid kam
(wenn ich der Mitteilung des Providers so folge)

Alfred

alfred

Administrator
Gepostet am:20.04.2008 18:42
alfred
alfred Offline (Show more)
Administrator
Posts: 7618
Since: 06.12.2004
#11

Re: Site ghackt

der spaw ist ein Risiko, da er auch nicht mehr weiterentwickelt wird.

bei einer gehackten Seite würde ich immer neu anfangen, wer weiss was da mittlerweile noch alles drauf ist.

Darf man Fragen, wer dein Provider ist ?

Alfred

sato-san

"myXOOPs"-Master
Gepostet am:20.04.2008 18:39
sato-san
sato-san Offline (Show more)
"myXOOPs"-Master
Posts: 3022
Since: 05.08.2004
#10

Re: Site ghackt

Hallo LooZ,

der SPAW-Editor kann in Deinem gesammten System stecken, den findest Du nur durch suchen. Er kann sich in einem Deiner Module verstecken oder in einem Unterverzeichnis von "class". Wenn Du einen "common" Verzeicnis hast, dann könnte er auch dort drin sein. Dieser Editor ist in jedem Fall ein Sicherheitsrisiko und muss dringend entfernt werden. Andere Editoren machen keine Probleme.

"templates_c" in auf alle Fälle leeren, bis auf die "index.html".

Protector schützt, ist aber für Einsteiger nicht geeignet. Also erstmal Finger weg lassen.

LoozyFair

"myXOOPs"-Neuling
Gepostet am:20.04.2008 13:38
LoozyFair
LoozyFair Offline (Show more)
"myXOOPs"-Neuling
Posts: 44
Since: 05.06.2006
#9

Re: Site ghackt

Hallo sata-san

Das wäre eine Möglichkeit - werde es versuchen - bin nicht so firm in solchen Dingen.

Wie erkenne ich aber. ob dieser sagenumwobene SPAW-Editor bei mir installiert ist?
Wie komme ich in meinen Admin-Bereich wieder hinein und wie kann ich mich vor solchen Dingen schützen? Bringt das Protector-Modul Besserung in dieser Beziehung?
Bin immer noch Neuling auf diesem bereich - könnte also etwas Unterstützung von den wirklichen Xoops-Profis (also Euch) vertragen.

Es wird auch viel darüber geschrieben, daß man das template_c löschen soll -> cache-Verzeichnis der templates ???? In diesem verzeichnis steht jedenfalls noch eine "verseuchte" Datei.

Bei mir ist scheinbar auch noch ein Editor tinymce installiert - unsicher?
Und in vielen Dateien taucht der Begriff SPAW-Editor auf - ist das ein Risikofaktor?

Vielen Dank im voraus

GruZ

LooZ

sato-san

"myXOOPs"-Master
Gepostet am:20.04.2008 12:54
sato-san
sato-san Offline (Show more)
"myXOOPs"-Master
Posts: 3022
Since: 05.08.2004
#8

Re: Site ghackt

Wenn Du nicht mehr in den Admin-Bereich kommst, würde ich versuchen die Webseite über phpmyadmin (also Datenbank) sperren. In der config-Tabelle gibt es eine Spalte mit den Namen"conf_name" und dort in der Zeile 13? den "debug_mode". Ändere den Wert "conf_value" von 0 auf 1.

LoozyFair

"myXOOPs"-Neuling
Gepostet am:19.04.2008 14:39
LoozyFair
LoozyFair Offline (Show more)
"myXOOPs"-Neuling
Posts: 44
Since: 05.06.2006
#7

Re: Site ghackt

Hm, schön und gut.

Wie komme ich jetzt in meinen Admin-Bereich? Ich wollte die Site vorerst für andere schließen. Der Hacker hinterließ in einem template auch noch seinen Text - Block Wartende Übermittlungen - ich könnte es mit dem Original aus xoops 2.016 überschreiben. Würde mich dies weiterbringen? Oder wäre eine Neuinstallation besser? Würde gern xoops 2.018 aufspielen.

alfred

Administrator
Gepostet am:19.04.2008 13:40
alfred
alfred Offline (Show more)
Administrator
Posts: 7618
Since: 06.12.2004
#6

Re: Site ghackt

Zitat:

LoozyFair schrieb:
Der Provider schrieb folgendes (Auszug):

Durch ein Kernel-Exploit war es möglich, daß Dritte auf dem Server eindringen konnten!


Ah, da kommen wir der Sache näher, es lag somit nicht am XOOPS.
Dein Provider meinte mit dem update, ein Kernelupdate des Servers

Alfred
Diesen Thread durchsuchen:  1 Anonyme Benutzer

Aktuell aus dem Forum

Forum Thema Antworten Views Letzter Beitrag
OffOffTopic [Wichtig] Übernahme myXOOPS 0 494 11.12.2023 18:57
alfred Gehe zum letzten Beitrag
Die Installation und Administration von XOOPS 2.5.X [Offen] Upgrade 2.5.11 3 2208 07.05.2023 07:03
Goffy Gehe zum letzten Beitrag