Simple Machines Community Forum

Muste feststellen das mein Forum gehackt wurde und mit MP3 und Programme von über 3 GB belegt wurden.

Setze hier mal für Kurze Zeit die Gehackte Seite rein (die im Hintergrund läuft extra Ordner "Rapid" incl. "index.php")
http://www.berliner-brandenburger.de/forum/avatars/rapid/ (http://www.berliner-brandenburger.de/forum/avatars/rapid/)


Wie konnte der Angreifer das machen?
Wo liegt mein Fehler ?

ps. den "rapid" ordner habe ich nicht angelegt (hatt 777)
Auch ist kein anderer User angemeldet oder hat ein Beitrag geschrieben außer mir!

Ohne Logfiles kann man da wenig sagen.

Bin gerade dabei sie mir anzusehen ...leider bin ich ein Laie :-(

Hier mal die FTP_log
vom 03.06.07:

Sun Jun 3 19:46:52 2007 0 88.233.237.241 122 /www/htdocs/krasbb/forum/avatars/rapid/.htaccess a _ d r krasbb ftp 0 * c

vom.02.06.07:
Sat Jun 2 21:57:39 2007 18 85.101.150.164 122 /www/htdocs/krasbb/forum/avatars/rapid/.htaccess a _ i r krasbb ftp 0 * c


vom 29.05.07

Tue May 29 16:49:44 2007 0 88.235.64.208 1117 /www/htdocs/krasbb/forum/avatars/rapid/config.php a _ i r krasbb ftp 0 * c
Tue May 29 16:49:47 2007 1 88.235.64.208 612 /www/htdocs/krasbb/forum/avatars/rapid/currently_works_with.gif b _ i r krasbb ftp 0 * c
Tue May 29 16:49:49 2007 1 88.235.64.208 49 /www/htdocs/krasbb/forum/avatars/rapid/dots_vert.gif b _ i r krasbb ftp 0 * c
Tue May 29 16:49:56 2007 10 88.235.64.208 61637 /www/htdocs/krasbb/forum/avatars/rapid/function.php a _ i r krasbb ftp 0 * c
Tue May 29 16:49:56 2007 10 88.235.64.208 2651 /www/htdocs/krasbb/forum/avatars/rapid/cookie.php a _ i r krasbb ftp 0 * c
Tue May 29 16:50:00 2007 1 88.235.64.208 607 /www/htdocs/krasbb/forum/avatars/rapid/links.gif b _ i r krasbb ftp 0 * c
Tue May 29 16:50:03 2007 4 88.235.64.208 10061 /www/htdocs/krasbb/forum/avatars/rapid/index.php a _ i r krasbb ftp 0 * c
Tue May 29 16:50:13 2007 15 88.235.64.208 76884 /www/htdocs/krasbb/forum/avatars/rapid/host.php a _ i r krasbb ftp 0 * c
Tue May 29 16:50:13 2007 11 88.235.64.208 7466 /www/htdocs/krasbb/forum/avatars/rapid/logo.gif b _ i r krasbb ftp 0 * c
Tue May 29 16:50:14 2007 0 88.235.64.208 1481 /www/htdocs/krasbb/forum/avatars/rapid/main_window.gif b _ i r krasbb ftp 0 * c
Tue May 29 16:50:30 2007 7 88.235.64.208 688 /www/htdocs/krasbb/forum/avatars/rapid/redir.php a _ i r krasbb ftp 0 * c
Tue May 29 16:50:33 2007 18 88.235.64.208 89527 /www/htdocs/krasbb/forum/avatars/rapid/notlink.php a _ i r krasbb ftp 0 * c
Tue May 29 16:51:09 2007 48 88.235.64.208 34264 /www/htdocs/krasbb/forum/avatars/rapid/PEAR.php a _ i r krasbb ftp 0 * c
Tue May 29 16:51:17 2007 0 88.235.64.208 1495 /www/htdocs/krasbb/forum/avatars/rapid/server_files.gif b _ i r krasbb ftp 0 * c
Tue May 29 16:51:17 2007 0 88.235.64.208 1458 /www/htdocs/krasbb/forum/avatars/rapid/settings.gif b _ i r krasbb ftp 0 * c
Tue May 29 16:51:20 2007 0 88.235.64.208 990 /www/htdocs/krasbb/forum/avatars/rapid/sendspace.php a _ i r krasbb ftp 0 * c
Tue May 29 16:51:29 2007 9 88.235.64.208 59165 /www/htdocs/krasbb/forum/avatars/rapid/Tar.php a _ i r krasbb ftp 0 * c
Tue May 29 16:51:54 2007 97 88.235.64.208 177300 /www/htdocs/krasbb/forum/avatars/rapid/pclzip.php a _ i r krasbb ftp 0 * i
Tue May 29 16:54:53 2007 57 88.235.64.208 243472 /www/htdocs/krasbb/forum/avatars/rapid/pclzip.php a _ i r krasbb ftp 0 * c



Danach war ich nicht mit FTP auf der Seite und davor einige Wochen zum letzten mal!




Hier aus dem access_log

38.99.44.101 - - [03/Jun/2007:16:36:33 +0200] "GET /index.php?option=com_smf&Itemid=26&action=unread;board=15.0 HTTP/1.0" 302 0 "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuill.com/twiceler/robot.html)"
66.249.65.11 - - [03/Jun/2007:16:37:48 +0200] "GET /robots.txt HTTP/1.1" 200 286 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.65.11 - - [03/Jun/2007:16:37:49 +0200] "GET /index.php HTTP/1.1" 200 19435 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.65.11 - - [03/Jun/2007:18:31:45 +0200] "GET /reinigung/index.php?option=com_google_maps&Itemid=32 HTTP/1.1" 200 8226 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
38.99.44.101 - - [03/Jun/2007:18:47:04 +0200] "GET /index.php?option=com_content&task=view&id=12&Itemid=27 HTTP/1.0" 200 2038 "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuill.com/twiceler/robot.html)"
38.99.44.101 - - [03/Jun/2007:19:15:58 +0200] "GET /index.php?option=com_content&task=view&id=15&Itemid=2 HTTP/1.0" 200 2068 "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuill.com/twiceler/robot.html)"
66.249.65.11 - - [03/Jun/2007:19:32:41 +0200] "GET /reinigung/index.php?option=com_weblinks&Itemid=23 HTTP/1.1" 200 6200 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
88.233.237.241 - - [03/Jun/2007:19:46:57 +0200] "GET /forum/avatars/rapid/logo.gif HTTP/1.1" 200 7466 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:46:57 +0200] "GET /forum/avatars/rapid/index.php HTTP/1.1" 200 25693 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:46:58 +0200] "GET /forum/avatars/rapid/links.gif HTTP/1.1" 200 607 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:46:58 +0200] "GET /forum/avatars/rapid/currently_works_with.gif HTTP/1.1" 200 612 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:46:58 +0200] "GET /forum/avatars/rapid/main_window.gif HTTP/1.1" 200 1481 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:46:59 +0200] "GET /forum/avatars/rapid/settings.gif HTTP/1.1" 200 1458 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:46:59 +0200] "GET /forum/avatars/rapid/server_files.gif HTTP/1.1" 200 1495 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:47:04 +0200] "POST /forum/avatars/rapid/index.php HTTP/1.1" 200 26918 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:47:07 +0200] "POST /forum/avatars/rapid/index.php HTTP/1.1" 200 24907 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:47:36 +0200] "POST /forum/avatars/rapid/index.php HTTP/1.1" 200 5388 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:47:41 +0200] "POST /forum/avatars/rapid/redir.php?capthatag=accesscode&saveto=&path=/www/htdocs/krasbb/forum/avatars/rapid&comment=&domail=&email=&useproxy=&proxy=&split=&method=tc&partSize=10&redirto=/forum/avatars/rapid/index.php&link=redir.php?capthatag=accesscode&saveto=&path=/www/htdocs/krasbb/forum/avatars/rapid&comment=&domail=&email=&useproxy=&proxy=&split=&method=tc&partSize=10&redirto=/forum/avatars/rapid/index.php&link=http://rs129gc.rapidshare.com/files/27446037/1491520/eda_berker.rar HTTP/1.1" 302 5 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:47:42 +0200] "GET /forum/avatars/rapid/index.php?saveto=&path=/www/htdocs/krasbb/forum/avatars/rapid&comment=&email=&split=&method=tc&partSize=10&link=http%3A%2F%2Frs129gc.rapidshare.com%2Ffiles%2F27446037%2F1491520%2Feda_berker.rar%3Faccesscode%3Dr860 HTTP/1.1" 200 1281 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:48:23 +0200] "POST /forum/avatars/rapid/index.php HTTP/1.1" 200 21461 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php?saveto=&path=/www/htdocs/krasbb/forum/avatars/rapid&comment=&email=&split=&method=tc&partSize=10&link=http%3A%2F%2Frs129gc.rapidshare.com%2Ffiles%2F27446037%2F1491520%2Feda_berker.rar%3Faccesscode%3Dr860" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:48:46 +0200] "GET /forum/avatars/rapid/index.php HTTP/1.1" 200 25802 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
193.138.204.122 - - [03/Jun/2007:19:49:19 +0200] "GET /forum/avatars/rapid/eda_berker.rar HTTP/1.0" 200 42945188 "http://www.berliner-brandenburger.de/forum/avatars/rapid/eda_berker.rar" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Alexa Toolbar)"
74.6.87.42 - - [03/Jun/2007:19:49:41 +0200] "GET /robots.txt HTTP/1.0" 200 286 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
88.233.237.241 - - [03/Jun/2007:19:50:01 +0200] "POST /forum/avatars/rapid/index.php HTTP/1.1" 200 1530 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:50:04 +0200] "POST /forum/avatars/rapid/index.php HTTP/1.1" 200 6259 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:50:07 +0200] "GET /forum/avatars/rapid/index.php HTTP/1.1" 200 26994 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:50:15 +0200] "POST /forum/avatars/rapid/index.php HTTP/1.1" 200 28251 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"
88.233.237.241 - - [03/Jun/2007:19:50:18 +0200] "POST /forum/avatars/rapid/index.php HTTP/1.1" 200 25918 "http://www.berliner-brandenburger.de/forum/avatars/rapid/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4"




Reicht das oder soll ich die gesamte  Datei anhängen?

EIN Schadprogramm "RFI-Master.rar" (ist noch auf der Seite <siehe Link oben>...zum runterladen/ansehen)habe ich auch noch gefunden.

/me erstellte Codeboxen

Hier ist nochmals ein Link für die Webseiten Statistik /Analyse
http://www.berliner-brandenburger.de/usage/usage_200706.html

Hilft das ?

Also ich bin jetzt nicht so er Spezialist im Analysieren von Logfiles ;)

Aber irgendwie kommt mir die IP-Adresse 88.233.237.241 sehr merkwürdig vor. Besonders weil DNSStuff (http://www.dnsstuff.com/tools/whois.ch?ip=88.233.237.241) einen Fehler liefert. Genau so wie RIPE und Co.

Erstmal Danke für deine Bemühung :-)

Die IP ist aus:
Location: Turkey (high) [City: Istanbul, Istanbul]

Auch sonstige Dateien und  "interne" Links sowie die viele Anzeichen sprechen dafür das es jemand aus der Türkei war, wie so häufig  wenn Seiten von Joomla oder SMF Gehackt werden ;-)

Was ich aber suche ist eine Antwort, wie er es geschafft hat !


Ich habe die Vermutung über ein Thema von hier, hatte das ein Türkisches Forums Designe mal ausprobiert und wieder gelöscht weil irgend was nachgeladen wurde.

Wo kann ich suchen wie der etwas auf den Webspace hochladen und installieren konnte


   ps. Habe schon mal über 2,3 GB der MP3 und Programme gelöscht der Rest was zu sehen ist bleibt noch ein paar Tage zur Ansicht

Na, ich denke mal, das er zu deinem FTP Zugangsdaten gekommen ist. ;)