Moin Moin

Mit der alten Version von vB3.8.2 hatte ich ja schon viele russische Gäste, die sich anzumelden versuchten! Einige hatte es sogar letzte Woche geschafft ins AdminCenter zukommen.
Aber nach dem Update auf vB3.7.2 werde ich förmlich überrollt.
Die die Captures der letzten Minuten:

http://www.abload.de/img/capture00538qbl.jpg

http://www.abload.de/img/capture00539g8c.jpg

Langsam mache ich mir wirklich Sorgen um die Sicherheit, was können die erreichen?

Solange sie es nur "versuchen": nichts.Einige hatte es sogar letzte Woche geschafft ins AdminCenter zukommen.Wie meinst du das? Ein Benutzer registriert sich und soll dann plötzlich Vollzugriff im Admin-Kontrollzentrum haben?

Moin Mike,
ja, in der Onlineansicht konnte man sehen, dass Gäste im Administrator-Kontrollzentrum waren. Wir haben sofort den ganzen Server runter gefahren, um eventuelle Schäden zu vermeiden. Diese Angriffe in den letzten Wochen kamen ausnahmslos von den Servern der Firma Keyweb (de und ru). Ob diese Angreifer etwas verändern konnten, kann ich nicht sagen.
Am Samtag letzer Woche habe ich das ganze Board neu aufgesetzt und die vB-Version 3.7.2 aufgespielt, ebenso alle Addons upgedatet.
Nun sind die Amerikaner wie die Fliegen am Board und versuchen sich anzumelden (nicht um sich zu registrieren!), wie die anderen in den Wochen davor. Was können sie bezwecken?

Hallo,

wenn in der "Wer ist online?" Anzeige steht, dass ein Benuzter oder Gast im AdminCP ist, heißt das noch lange nicht, dass er dort wirklich Zugriff hat. Das heißt lediglich, dass er eine URL aufgerufen hat, welche zum AdminCP gehört.
Das kannst du selbst mit zwei Browsern ausprobieren, oder auch hier in Forum an anderer Stelle nachlesen. Wenn im AdminCP jemand etwas geändert hat, dann findest du es im Administrator-Log. Wenn dort nichts verdächtiges auftaucht, brauchst du dir da keine Sorgen machen.

Wenn du auf Nummer sicher gehen willst, dann verpasse deinem AdminCP einen .htaccess Passwortschutz.

Viele Grüße

Stefan

Moin Moin

Also im Administrator Log war nichts zu finden.
Wenn ein Gast oder Mitglied die admincp/index.php aufruft,
dann sieht es so aus:
http://www.abload.de/img/capture00542zpf.jpg


Die Meldung hatte aber so ausgesehen:
http://www.abload.de/img/capture005432ap.jpg

Da steht doch das STOP... Das heist doch das der Gast eine Meldung sieht.. "Zugriff verweigert"

Er ist also noch lange nicht im AdminCP

Und schau mal hier
http://www.vbulletin-germany.com/forum/showthread.php?t=29979

Da steht doch das STOP... Das heist doch das der Gast eine Meldung sieht.. "Zugriff verweigert"

Er ist also noch lange nicht im AdminCP

Und schau mal hier
http://www.vbulletin-germany.com/forum/showthread.php?t=29979

Das zweite Bild ist relevant, dass zeigt die Situation, die ich letzte Woche erleben durfte!
Das erste Bild zeigt ein Gast, der versucht die Admincp aufzurufen, das wurde von mir nach Mikes Beitrag simuliert.

Die Meldung hatte aber so ausgesehen:
http://www.abload.de/img/capture005432ap.jpgDann ruf doch z.B. mal admincp/user.php?do=modify auf, dann steht da nicht mehr, dass sich der Benutzer nur anmeldet.

Viele Grüße

Stefan

Dann ruf doch z.B. mal admincp/user.php?do=modify auf, dann steht da nicht mehr, dass sich der Benutzer nur anmeldet.

Viele Grüße

Stefan

Moin
Wenn sich ein User anmeldet bzw. in der Anmeldemaske steht, dann sieht das so aus:
http://www.abload.de/img/capture00542zpf.jpg

Wenn ich oder einer meiner Admins im Kontrollzentrum ist dann sieht das so aus:
http://www.abload.de/img/capture0054568i.jpg

Wenn, so wie heute auch wieder, einer von den "Gästen" sich im Admin.Kontrollzentrum befindet, sieht das so aus:

http://www.abload.de/img/capture005447m2.jpg
Dies Cap ist vor ein paar Minuten gemacht worden.
Was geht hier ab? Das kann doch nicht richtig sein!?

Wie kann ich die Admincp und die Modcp mit .htaccess Passwortschutz schützen?

Dieses schicke Script eignet sich dazu.
http://www.krizleebear.de/phpaccess/dynamisch/

:)

Geh mal mit der Maus über das http://www.vbulletin-germany.com/forum/images/misc/question_icon.gif und guck dir den Link an, der dort erscheint.

Die IP die im Admin. Kontrollzentrum war, habe ich schon gesperrt. Sie ist nicht mehr da.
Ich habe jetzt erstmal vorsichtshalber die Verzeichnisse "admincp" und "modcp" umbenannt.
Ich weiß aber nicht, ob dann noch alle Funktionen in den jeweiligen Verzeichnissen noch funktionieren?

Es sind jetzt nur noch die "Gäste" da, die sich verzweifelt versuchen anzumelden.
Da wird mir folgender Satz angezeigt, wenn ich mit der Maus über das Fragezeichen gehe:
/forum/login.php?do=login&do=login

Das mit den Gästen, die sich anmelden möchten, ist schon ok so. Da passiert nichts.

Die geänderten Verzeichnisnamen solltest du in includes/config.php eintragen. Dann funktioniert auch alles wie gehabt.

Moin

So, ich habe die Verzeichnisse admincp und modcp mit Passwörtern belegt.
Ich hoffe, dass es reichen müsste.

Danke für die Hilfe.

Moin Moin

Hier der neuste Gag, den die Hacker massiv versuchen:

http://www.abload.de/thumb/capture00563jwm.jpg (http://www.abload.de/image.php?img=capture00563jwm.jpg)

Was kann man damit bezwecken?
Die Anmelde- und Registrierungversuche haben nicht groß abgenommen.

Was kann man damit bezwecken?Kurz: Nichts.

Ich sehe da ehrlich gesagt auch nichts "Ungewöhnliches" und auch keinen "neuen Gag". :confused:

Das kannst Du täglich hundertfach in allen Foren beobachten....
Was sollte denn da außer einem Sperrvermerk kommen?

Übrigens: Das oben erwähnte phpaccess-Script ist wirklich empfehlenswert, nutze ich teilweise auch. Man erspart sich das manuelle Erstellen vom .htaccess/.htpasswd und kann die entsprechenden Variabelen bereits offline im PHP-File vergeben, vor dem Upload.
Dann lässt sich eine Art Master-Passwort für den Zugriff auf die Datei setzen, in der man dann verschiedene User/Passwörter on- wie offline (vorher natürlich vorbereitet) hinzu fügen kann. Diese werden dann automatisch richtig in die .htpasswd eingefügt.

Und das Ganze sogar "multi-lingual"...also wenn es Jemand in Chinesisch braucht....geht das auch. :D

Dein "Gag" ist ein Versuch mittels xss Spam ins board zu bringen.
Gib doch mal "babysona/logo.jpg" bei Google ein.

Falls noch nicht geschehen, solltest du mal überlegen Suhosin zu installieren. Das Teil stopft diverse Löcher in php