Was jetzt?
Blog gehackt, und jetzt?
Blog gehackt, und jetzt?
Gestern habe ich mit einem Artikel auf das Blog von Michelle Malkin verlinkt. Den Link gebe ich hier jetzt mal lieber nicht an, es ging da um "Denmark Support", dann in der Nacht darauf wurde mein Blog durch Ameer gehackt. Auch der Admin Bereich ist clear, absolut kein Design mehr.
Was jetzt?
Was jetzt?
Hi!
Ein paar mehr Informationen wären schon hilfreich.
Welche s9y-Version hast du genutzt?
PHP-Version? Datenbank? Eigener Server oder VHost?
OS-Version?
HTTP-Server-Version?
Benutzte Plugins?
Welche anderen Dienste liefen auf dem Server (EMail, SSH, FTP, etc. pp.)?
Was sagen deine Logfiles? "Lediglich" ein Defacement oder sind auch andere Bereiche betroffen?
Je mehr Informationen du uns bereitstellen kannst, umso besser! Desweiteren würde ich an deiner Stelle den Rechner erst mal vom Netz trennen - wer weiß, was momentan noch alles mit/von deinem Rechner aus geschieht.
so long...
Rembrandt
Ein paar mehr Informationen wären schon hilfreich.
Welche s9y-Version hast du genutzt?
PHP-Version? Datenbank? Eigener Server oder VHost?
OS-Version?
HTTP-Server-Version?
Benutzte Plugins?
Welche anderen Dienste liefen auf dem Server (EMail, SSH, FTP, etc. pp.)?
Was sagen deine Logfiles? "Lediglich" ein Defacement oder sind auch andere Bereiche betroffen?
Je mehr Informationen du uns bereitstellen kannst, umso besser! Desweiteren würde ich an deiner Stelle den Rechner erst mal vom Netz trennen - wer weiß, was momentan noch alles mit/von deinem Rechner aus geschieht.
so long...
Rembrandt
Folgende Informationen kann ich bieten.
s9y: 0.91
PHP: 4.4.1
MySQL: 4.1.14
VHost: Virtueller Server
Dienste: Coppermine, läuft ohne Probleme, andere Bereiche sind nicht betroffen.
Logfiles: nicht gechecked, kenne jetzt aber den Absender IP etc.
Plugins:
Blog abonnieren, Kalender, Archive, Getaggte Artikel, Kategorien, Kommentare, 5x HTML-Klotz, Coppermine Thumbs, Top Referers, Top Exits, Blog Verwaltung, Powered by,
Textformat.-s9y, -Smilies,-NL2BR,-Markdown,-Smarty Parsing
Browser Kompatiblilität, Spartacus, Freie Artikel Tags, Statistiken, Babelfish, Einträge ankündigen, GeoURL, Sample, Smilie Auswahl, Layout Plugin: Quote & Link-Format, Spamschutz & SURBL, erweiterte Option f. Bilderauswahl, Trackbacks kontrolieren, Einträge via xml-RPC, lightbox JS, Podcast, Tooltips, Erweiterte Eigenschaften v. Artikeln
s9y: 0.91
PHP: 4.4.1
MySQL: 4.1.14
VHost: Virtueller Server
Dienste: Coppermine, läuft ohne Probleme, andere Bereiche sind nicht betroffen.
Logfiles: nicht gechecked, kenne jetzt aber den Absender IP etc.
Plugins:
Blog abonnieren, Kalender, Archive, Getaggte Artikel, Kategorien, Kommentare, 5x HTML-Klotz, Coppermine Thumbs, Top Referers, Top Exits, Blog Verwaltung, Powered by,
Textformat.-s9y, -Smilies,-NL2BR,-Markdown,-Smarty Parsing
Browser Kompatiblilität, Spartacus, Freie Artikel Tags, Statistiken, Babelfish, Einträge ankündigen, GeoURL, Sample, Smilie Auswahl, Layout Plugin: Quote & Link-Format, Spamschutz & SURBL, erweiterte Option f. Bilderauswahl, Trackbacks kontrolieren, Einträge via xml-RPC, lightbox JS, Podcast, Tooltips, Erweiterte Eigenschaften v. Artikeln
Welches Betriebssystem? (+Version)
Welcher HTTP-Server?
(Deine s9y-Version sieht soweit gut aus, sprich es sind eigentlich keine Securityprobleme derzeit bekannt. Einen WYSISWG-Editor hattest du ja ebenfalls nicht verwendet, oder?)
Kann es sein, dass bei dir die index.php einfach nur umbenannt wurde und eine index.html mit dem neuen Inhalt (dem defacement) angelegt wurde? Oder wurden deine Tabellen auch manipuliert?
Warst du der einzige mit Zugriff auf das Blog?
Wie hast du s9y installiert? Per FTP? Wenn ja, welche Version hat dein ftp-client?
Sieh mal zu, dass du an die logfiles kommst. Vllt findet sich darin noch was insteressantes.
so long...
Rembrandt
Welcher HTTP-Server?
(Deine s9y-Version sieht soweit gut aus, sprich es sind eigentlich keine Securityprobleme derzeit bekannt. Einen WYSISWG-Editor hattest du ja ebenfalls nicht verwendet, oder?)
Kann es sein, dass bei dir die index.php einfach nur umbenannt wurde und eine index.html mit dem neuen Inhalt (dem defacement) angelegt wurde? Oder wurden deine Tabellen auch manipuliert?
Warst du der einzige mit Zugriff auf das Blog?
Wie hast du s9y installiert? Per FTP? Wenn ja, welche Version hat dein ftp-client?
Sieh mal zu, dass du an die logfiles kommst. Vllt findet sich darin noch was insteressantes.
so long...
Rembrandt
Blog wieder hergestellt. Danke für die Hilfe. 
In der Tat lag es an der Index Seite. Zum einen wurde der Inhalt der index.php komplett verändert und eine index.html, sowie bmp-Datein wurden zusätzlich abgelegt.
Ich habe dann die entsprechenden Seiten gelöscht und die Index.php wieder neu hochgeladen.
In der Tat lag es an der Index Seite. Zum einen wurde der Inhalt der index.php komplett verändert und eine index.html, sowie bmp-Datein wurden zusätzlich abgelegt.
Ich habe dann die entsprechenden Seiten gelöscht und die Index.php wieder neu hochgeladen.
Hallo!
Erstens freut es mich, das dein Blog wieder in gewohnter Form online ist. Hast du mittlerweile herausgefunden, wie es die Hacker geschafft haben, Zugriff auf deinen Server zu erlangen?
Denn wenn nicht ist es mehr als fahrlässig, lediglich die Umbenennungen rückängig zu machen und zu glauben, das könne nicht wieder passieren - noch dazu, wo du ja förmlich ein Einladung an deine "Ägyptischen Freunde" ausgesprochen hast.
just my 2¢
Rembrandt
Erstens freut es mich, das dein Blog wieder in gewohnter Form online ist. Hast du mittlerweile herausgefunden, wie es die Hacker geschafft haben, Zugriff auf deinen Server zu erlangen?
Denn wenn nicht ist es mehr als fahrlässig, lediglich die Umbenennungen rückängig zu machen und zu glauben, das könne nicht wieder passieren - noch dazu, wo du ja förmlich ein Einladung an deine "Ägyptischen Freunde" ausgesprochen hast.
just my 2¢
Rembrandt
Reine Unterschätzung und wohl auch eigene Fahrlässigkeit meinerseits durch eine Registrierungsfreigabe für Pixel Point meine Coppermine Galerie. Danach wurde eine .rar Datei anstelle eines Bildes hochgeladen, welche sich dann wohl automatisch auf dem Server entpackt hat.
wird mir kein zweites Mal passieren.
wird mir kein zweites Mal passieren.
-
garvinhicking
- Core Developer
- Posts: 30022
- Joined: Tue Sep 16, 2003 9:45 pm
- Location: Cologne, Germany
- Contact:
Ich habe auch vor 2 Wochen eine solche Hackmeldung erhalten. Auch damals war Coppermine mit im Spiel - ich denke, das kann ich dann jetzt auch beruhigt darauf schieben, da mir im s9y tatsächlich kein solches PRoblem bekannt wäre...
Viele Grüße,
Garvin
Viele Grüße,
Garvin
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/