MyXoops Forum

Re: Fremder Code in der index.php [Sicherheit von XOOPS] - myXOOPS German Support

  1. Board-Index
  2. Allgemeines Forum
  3. Sicherheit von XOOPS
  4. Fremder Code in der index.php
Anmelden

alfred

Administrator
Gepostet am:19.07.2008 21:13
alfred
alfred Offline (Show more)
Administrator
Posts: 7619
Since: 06.12.2004
#33

Re: Fremder Code in der index.php

19.07.2008 21:13 Zitat:

Der_Lord schrieb:
Meine Seite liegt auf dem gleichen Server. Bei mir wurde keine Datei verändert. Aus diesem Grund kann man wohl den Server ausschließen. Ein Skript hätte meine Seite definitiv nicht verschont.


Was macht dich da so sicher ? Hast du schon mal einen Wurm/Virus programmiert *fg*

Zitat:

Kann man daraus nicht schließen, dass auf personalbit.de ein unsicheres Modul läuft?


Nein kann man nicht, ausschliessen aber ebensowenig.

Zitat:

Und wenn ja, welches könnte dieses sein?


Alle

Alfred

LupusC

"myXOOPs"-Könner
Gepostet am:19.07.2008 07:18
LupusC
LupusC Offline (Show more)
"myXOOPs"-Könner
Posts: 512
Since: 13.04.2005
#32

Re: Fremder Code in der index.php

19.07.2008 07:18 Zitat:
Meine Seite liegt auf dem gleichen Server. Bei mir wurde keine Datei verändert. Aus diesem Grund kann man wohl den Server ausschließen.

Diesen Optimismus möchte ich nicht mit dir teilen. Es kann ja auch Strategie sein, nicht alles zu verseuchen was möglich ist. Sonst macht er noch ne DoS Attacke auf den eigenen Server :)

alfred hat es auf den Punkt getroffen, dass der Hoster mal seinen Server checken sollte. Das hab ich ja auch in einem meiner ersten Postings in diesem Thread angeführt.

Advertisement

Gepostet am:0
Advertisement (Show more)
Posts: 0
Since: 0


Hier könnten Sie Ihre Anzeige aufgeben!
Bitte kontaktieren Sie uns, um mehr darüber zu erfahren.

Der_Lord

"myXOOPs"-Fortgeschrittener
Gepostet am:19.07.2008 02:18
Der_Lord
Der_Lord Offline (Show more)
"myXOOPs"-Fortgeschrittener
Posts: 155
Since: 22.09.2006
#31

Re: Fremder Code in der index.php

19.07.2008 02:18 Zitat:

alfred schrieb:
... denke der Hoster sollte mal seinen kompromittierten Server checken, zugeben wird er es sowieso nicht


Meine Seite liegt auf dem gleichen Server. Bei mir wurde keine Datei verändert. Aus diesem Grund kann man wohl den Server ausschließen. Ein Skript hätte meine Seite definitiv nicht verschont. Kann man daraus nicht schließen, dass auf personalbit.de ein unsicheres Modul läuft? Und wenn ja, welches könnte dieses sein?

alfred

Administrator
Gepostet am:18.07.2008 19:13
alfred
alfred Offline (Show more)
Administrator
Posts: 7619
Since: 06.12.2004
#30

Re: Fremder Code in der index.php

18.07.2008 19:13 Zitat:

Die FTP Zugriffe sind in Ihren Logfiles nicht mit aufgeführt.


ist korrekt, weil die in einem anderen File sind

Zitat:

Zudem ist bei
Ihnem mit hoher Wahrscheinlichkeit keine Veränderung per FTP durchgeführt
worden.


ist auch korrekt, denke der Hoster sollte mal seinen kompromittierten Server checken, zugeben wird er es sowieso nicht

Zitat:
Und wie kommt das Script in das mit .htaccess geschützte Verzeichnis?


der htaccess-Schutz ist nur aus dem Web, sozusagen, aber das ganze passiert physikalisch auf dem Server, so wie du daheim auf deiner Festplatte zugreifst

Mit der IP-Adresse ist normal, kommt, wenn die Adresse nicht korrekt ausgelesen werden kann, durch Proxy z.B. Ist ein Fehler im Forum

chris47803

"myXOOPs"-Könner
Gepostet am:18.07.2008 14:50
chris47803
chris47803 Offline (Show more)
"myXOOPs"-Könner
Posts: 283
Since: 10.10.2006
#29

Re: Fremder Code in der index.php

18.07.2008 14:50 Und wie kommt das Script in das mit .htaccess geschützte Verzeichnis?

Da fällt mir noch etwas ein.......

In meinem Forum habe ich einen User der meist mit der IP 127.255.255.255 kommt.


Und am 14.07.2008 habe ich folgende Mail über mein Kontaktformular erhalten.

Zitat:

Hast Du schon mal die IP´s von Name entfernt und Name entfernt verglichen??? Kleiner Tip, das ist der gleiche Typ! Name entfernt hat nämlich noch noch eine Mail entfernt Adresse!

Ich würd vorsichtig sein!


Absender war tip@fuer-personalbit.de

Der_Lord

"myXOOPs"-Fortgeschrittener
Gepostet am:18.07.2008 13:29
Der_Lord
Der_Lord Offline (Show more)
"myXOOPs"-Fortgeschrittener
Posts: 155
Since: 22.09.2006
#28

Re: Fremder Code in der index.php

18.07.2008 13:29 Mal laienhaft ausgedrückt: ein Skript, das den Dateien vorgaukelt es sein kein User, sondern ein Systemzugriff. Andernfalls würden ja auch solche Programme wie der Dumper nicht laufen

chris47803

"myXOOPs"-Könner
Gepostet am:18.07.2008 13:24
chris47803
chris47803 Offline (Show more)
"myXOOPs"-Könner
Posts: 283
Since: 10.10.2006
#27

Re: Fremder Code in der index.php

18.07.2008 13:24 Hallo!

Meine Mail an den Hoster.........
Zitat:

Wie kann ich mir denn die access_log formatiert anzeigen lassen,
so das ich dort auch etwas lesen kann.
Sind dort überhaupt FTP-Zugriffe gelistet?


Seine Antwort...
Zitat:

hier müssen Sie ein Tool zur Weblog Auswertung verwenden.
Versuchen könnten Sie es mit der Liteversion von www.weblogexpert.com
(http://weblogexpert.com/download.htm)

Die FTP Zugriffe sind in Ihren Logfiles nicht mit aufgeführt. Zudem ist bei
Ihnem mit hoher Wahrscheinlichkeit keine Veränderung per FTP durchgeführt
worden.


Das Tool ist sehr schön für eine Statistik,
bringt mich aber nicht weiter.

Und die access_log nützt mir auch nichts,
weil dort nichts steht,
was mir helfen kann.

@ Der_Lord
Wie kann denn sonst Jemand eine Datei in einem Verzeichnis ändern,
das mit .htaccess geschützt ist?

Gruß, Chris

Der_Lord

"myXOOPs"-Fortgeschrittener
Gepostet am:18.07.2008 13:16
Der_Lord
Der_Lord Offline (Show more)
"myXOOPs"-Fortgeschrittener
Posts: 155
Since: 22.09.2006
#26

Re: Fremder Code in der index.php

18.07.2008 13:16 Zitat:

chris47803 schrieb:

Fakt ist auch, das jemand Zugriff zu meinem FTP hatte.


... der dann mühevoll alle Dateien runtergeladen, abgeändert/erweitert und dann wieder hoch geladen hat? Das wiederum kann ich mir nicht vorstellen.

chris47803

"myXOOPs"-Könner
Gepostet am:18.07.2008 13:02
chris47803
chris47803 Offline (Show more)
"myXOOPs"-Könner
Posts: 283
Since: 10.10.2006
#25

Re: Fremder Code in der index.php

18.07.2008 13:02 Das kann/möchte ich mir nicht vorstellen.

Denn dann hätte es doch eigentlich auf dem Server beim Hoster Alarm geben müssen,oder?

Ausserdem hab ich in meinem Upload-Verzeichnis keine Daten, die dem Datum entsprechen.
Und die letzten Bilder dort sind von mir.
Hochgeladen wurden diese über die Upload-Funktion des CBB.

Fakt ist auch, das jemand Zugriff zu meinem FTP hatte.
Wie ich Anfangs schon schrieb wurde die Index.php in einem Verzeichnis geändert,
das mit .htaccess geschützt ist.

Das Logfile liegt auf meinem Server.
Ich habe es mal runter geladen.
Leider kann man da nicht vernünftig lesen.

Wie kann ich mir das vernünftig formatiert ausgeben lassen?

Hier mal ein Auszug davon.....
212.222.51.14 - - [15/Jul/2008:02:43:10 +0200"GET /modules/wfdownloads/ HTTP/1.1" 200 24190 "-" "eBay Relevance Ad Crawler powered by contentDetection (www.mindup.de)" www.personalbit.de
212.222.51.14 - - [15/Jul/2008:02:43:10 +0200"GET /modules/wfdownloads/module.css HTTP/1.1" 200 969 "-" "eBay Relevance Ad Crawler powered by contentDetection (www.mindup.de)" www.personalbit.de
74.55.143.210 - - [15/Jul/2008:02:43:10 +0200"GET /modules/news/article.php?storyid=335 HTTP/1.1" 200 23029 "-" "Opera Mini versions:" www.personalbit.de
212.222.51.16 - - [15/Jul/2008:02:43:36 +0200"GET /modules/news/article.php?storyid=127 HTTP/1.1" 200 21833 "-" "eBay Relevance Ad Crawler powered by contentDetection (www.mindup.de)" www.personalbit.de
74.6.18.240 - - [15/Jul/2008:02:43:48 +0200"GET /modules/news/print.php?storyid=66 HTTP/1.0" 200 7974 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" www.personalbit.de
74.55.143.210 - - [15/Jul/2008:02:44:22 +0200"GET /modules/news/newcomment.php?item_id=154&order=1&mode=flat HTTP/1.1" 404 293 "-" "Mozilla/4.76 [en] (PalmOS; U; WebPro/3.0.1a; Palm-Arz1)" www.personalbit.de
74.55.143.210 - - [15/Jul/2008:02:44:50 +0200"GET /modules/news/newcomment.php?item_id=579&order=1&mode=flat HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.50" www.personalbit.de
209.234.171.37 - - [15/Jul/2008:02:45:00 +0200"GET /robots.txt HTTP/1.0" 404 278 "-" "ia_archiver" extra.personalbit.de
209.234.171.37 - - [15/Jul/2008:02:45:00 +0200"GET / HTTP/1.0" 200 4663 "-" "ia_archiver" extra.personalbit.de
89.149.209.111 - - [15/Jul/2008:02:45:05 +0200"GET /modules/newbb/newtopic.php?forum=41 HTTP/1.0" 200 24390 "http://www.personalbit.de/modules/newbb/newtopic.php?forum=41" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0" www.personalbit.de
89.149.209.111 - - [15/Jul/2008:02:45:07 +0200"POST /modules/newbb/post.php HTTP/1.0" 200 "http://www.personalbit.de/modules/

Der_Lord

"myXOOPs"-Fortgeschrittener
Gepostet am:17.07.2008 22:09
Der_Lord
Der_Lord Offline (Show more)
"myXOOPs"-Fortgeschrittener
Posts: 155
Since: 22.09.2006
#24

Re: Fremder Code in der index.php

17.07.2008 22:09 Verstehe ich das richtig, dass es ausreichend ist, wenn jemand z.B. ein Bild ins Forum einfügt und das über einen verseuchten PC macht?
« 1 2 (3) 4 5 6 »
Diesen Thread durchsuchen:  1 Anonyme Benutzer

Aktuell aus dem Forum

Forum Thema Antworten Views Letzter Beitrag
OffOffTopic [Wichtig] Übernahme myXOOPS 0 580 11.12.2023 18:57
alfred Gehe zum letzten Beitrag
Die Installation und Administration von XOOPS 2.5.X [Offen] Upgrade 2.5.11 3 2324 07.05.2023 07:03
Goffy Gehe zum letzten Beitrag
Posts | Themen | Foren