Thema: Achtung Hacker Unterwegs

Unsere Website wurde letzte Nacht gehackt, wir möchten alle darauf aufmerksam machen, die configuration.php auf 444 zu stellen und vom AGORA FORUM die Ordner member und pre_avatars auf 766. Falls noch jemand das Problem hat, die configuration.php muß aus der Sicherung eingespielt werden, da Sie abgeändert wurde und im Ordner /components/com_agora/img/members/ wurden Dateien hinzugefügt.

*** Script-Kiddy-Werbung entfernt ***

Laut unserem Provider all-inkl.com ist es auch Sinnvoll eine .htaccess mit folgendem Inhalt anzulegen:

RewriteEngine On
RewriteCond %{QUERY_STRING} (.*)=http(.*) [NC,OR]
RewriteCond %{QUERY_STRING} (.*)=ftp(.*) [NC,OR]
RewriteCond %{QUERY_STRING} (.*)urlx=(.*) [NC]
RewriteRule ^(.*) - [F]

Allerdings muß die .htaccess eventuell etwas angepasst werden.

766 ist eigentlich immer noch zu hoch, oder nicht? Bei mir sind die Ordner auf 750, wieso also höhere Rechte vergeben?

Ist es sicher, dass nur die configuration.php abgeändert wurde? In so einem Fall würde ich sicherheitshalber ein komplett sauberes Backup zurückspielen.

Zudem wird mir aus deinem Threas nicht klar, wo der Hacker bei euch reinkam. So einfach lassen sich ja keine Dateien ändern.

Hallo Denis,

ich habe es bei mir getestet, alles was unter 766 ist wird als nicht schreibberechtig erkannt, vllt. ist es von Server zu Server unterschiedlich. Wo er reinkam kann ich nicht genau sagen unser Provider hat sich darum gekümmert, er hat nur gesagt das Dateien im com_agora Ordner lagen, sry das weiß ich nicht genau. Bei uns wurde nur die confirugation.php geändert und wir konnten glücklicherweiße die Sicherung zurückspielen. Aber das Forum mußte neu installiert werden, dass hat nichtmehr funktioniert.

Was muss da getestet werden? Die Zugriffsrechte und wie sie mittels z.B. chown gesetzt werden sind vollständig dokumentiert.

Guckst du z.B. bei Koehntopp!

Gut das Ihr euch an diesem Thread beteiligt, ich und auch viele andere haben nicht so viel Ahnung von chown und wählen den einfachen Weg. Danke für den Link.

Das uns dieses Ereignis aufsucht, war uns nach unserem letzten Project schon klar, aber es könnte auch sein, dass es damit nichts zu tun hat und es ein Bot ist. Mit diesem Thread möchte ich nur darauf aufmerksam machen das alle Ihre Verzeichnisrechte nocheinmal prüfen und gegebenenfalls ändern.

Hi,

ganz so pauschal kann man das nicht beantworten, es hängt schon etwas von der Serverkonfikuration ab... User welche das sogenannte "www-data" / "www-run" Problem haben kommen nicht drumherum die Rechte auf 755 oder sogar 775 zu setzen...

Was das Agora Forum betrifft so ist in der aktuellen Version eine Sicherheitslücke bekannt geworden. Ich kann also nur dazu raten sofort zu Updaten (wenn bereits ein Update draussen ist) oder es gänzlich erstmal zu sperren.

Gruß Dennis

Edit:
zum allgemeinen vorgehen bei gehacktem Webspace solltest Du auf jedenfall dein Webspace GENAU !!!! Überprüfen, es bleibt meistens nicht nur bei geänderten Dateien vermutlich hast Du auch eine Versteckte PHP Shell installiert bekommen.

Hallo blackice2999,

danke für den Hinweis, wir haben alles gelöscht und die Sicherung eingespielt. Außerdem konnten wir nachvollziehen was diese Nacht alles passiert ist.

Das Update ist wichtig, wir hatten noch RC1 drauf, es könnte daran gelegen haben. RC1 Rev3 ist aber seit dieser Woche draußen.

Also ist sicher das die RC1 (von was? Agora Forum?) der Einstiegspunkt war? Wenn nicht, wird der Besuch bald wiederkommen.

PS: Eure Script-Kiddy-Werbung hab ich entfernt.

Sicher ist es leider nicht, dass die Site darüber gehackt wurde.

Was meinen Sie mit "Script-Kiddy-Werbung" ich wollte ledeglich das mir geglaubt wird und habe deswegen den Screenshoot von unserer HP am heutigen Morgen reingestellt.

Offtopic:

Hi Flotte, was zumindestens sicher ist, das Agora 3.0 RC1 eine bestätigte Sicherheitslücke hat.

Gruß Dennis