Einstellung werden verändert

ich_bins · January 17, 2009, 02:46:20 AM

Nun ist es mir bereits mehrfach passiert, dass in meinem Forum die Pfade und URLs umgestellt worden sind, jedesmal wurde auf irgendeine türkische Adresse umgeleitet. Folge: Das Layout war mehr oder minder zerschossen, Einloggen nicht mehr möglich etc. Mittels repair_settings-Datei kann ich das dann zwar immer wieder herrichten, aber es ist ärgerlich (die repair_settings-Datei wird übrigens jedes Mal wieder vom Webspace entfernt)

Was passiert da? Wer verschafft sich da auf welche Weise Zugriff auf die Eintellungen? Wie verhindere ich das?

Ich bin leider nicht sonderlich forumserfahren, was diesen technischen Unterbau angeht

dieter4 · January 17, 2009, 09:49:20 AM

Benutzt du die aktuellste Version?

ich_bins · January 17, 2009, 10:11:25 AM

Quote from: Neakro on January 17, 2009, 09:49:20 AM
Benutzt du die aktuellste Version?

Ich nutze SMF 1.1.5 - hatte nicht upgedatet, da das Theme nur bis 1.1.5 angeben ist

ThorstenE · January 17, 2009, 10:39:37 AM

Quote from: ich_bins on January 17, 2009, 10:11:25 AM
Ich nutze SMF 1.1.5 - hatte nicht upgedatet, da das Theme nur bis 1.1.5 angeben ist

das solltest du dringend tun, das was da passiert: dein Forum wurde gehackt!!! Das Theme wird auch problemlos unter 1.1.7 laufen.

Jorin · January 19, 2009, 02:53:35 AM

1) Dringend updaten!

2) Alle Passwörter ändern, das betrifft die Passwörter sämtlicher Admin-Accounts, das Datenbank- und das FTP-Passwort. Für alles unterschiedliche, nicht zu erratende Passwörter verwenden!

3) Prüfen, welche Admin-User es im SMF gibt. Nicht, dass da noch ein Türke existiert und trotz 1) und 2) munter weiter sein übles Werk verrichtet.

4) Schauen, ob irgendwelche Dateien auf dem Webspace liegen, die da nicht hin gehören.

5) Hoster informieren.

ich_bins · January 19, 2009, 03:08:35 AM

gut, ein Update habe ich nun gemacht, ich werde sehen, ob das Problem noch einmal auftritt. Passwörter sind vorsichtshalber auch mal alle geändert worden.

Was mir auffällt, ist, dass sich ständig Leute versuchen anzumelden ("Registriert ein neues Benutzerkonto im Forum."). Immer geht das von irgendwelchen exotischen IPs aus. Weit kommen sie allerdings nicht, da die Registrierung nur über Admin-Freigabe geht

Zu 4):

welche Dateien könnten das sein, die hier gefährlich sein könnten?
(Die repair_settings-Datei habe ich jedenfalls nach Gebrauch entfernt - aber die lag da ohnehin nicht)

Jorin · January 19, 2009, 03:16:07 AM

Na, alles, was du nicht kennst und nicht installiert hast. Ich weiß ja nicht, was du neben dem SMF noch auf den Server kopiert hast.

ich_bins · January 19, 2009, 03:21:46 AM

Quote from: nehcregit on January 19, 2009, 03:16:07 AM
Na, alles, was du nicht kennst und nicht installiert hast. Ich weiß ja nicht, was du neben dem SMF noch auf den Server kopiert hast.

ich dachte halt, es gibt vielleicht spezifische Dateien, die gefährlich sein könnten.

irgendwelche grossartigen Hacks etc. habe ich nicht installiert. Lediglich ein Theme und eine Mod zum Hervorheben von Suchergebnissen

Jorin · January 19, 2009, 03:31:44 AM

Ich würde die Augen nach HTML-Dateien aufhalten (besonders index.html) und auch nach PHP-Dateien oder JS-Skripten schauen, die nicht typisch wie SMF-Dateien aufgebaut sind, vom Dateinamen her (z.B. irgendwas.template.php).

News:

Einstellung werden verändert

ThorstenE