• Welcome to Simple Machines Community Forum. Please login or sign up.
November 28, 2021, 11:11:32 AM

News:

Follow SMF on Twitter.


Einbruch ins Forum

Started by Gerd 66, December 08, 2020, 09:58:35 AM

Previous topic - Next topic

Gerd 66

Die Homepage meines Forums wird nicht mehr angezeigt. Beim Aufruf gibt es keine Fehlermeldung. Das ist bisher die einzige Fehlfunktion, die ich bemerken konnte.

Siehe: https://www.simplemachines.org/community/index.php?topic=575905.0

Mit dem folgenden Aufruf kann ich die entsprechenden Boards normal aufrufen:
https://www.beispiel.de/index.php?board=2.0

Danach kann ich mich als Administrator einloggen.
Zu meiner Überraschung bemerkte ich, dass ein Board mit dem folgenden Namen angelegt wurde: Günstig einkaufen

Wie kann man mit Administrationsrechten verhindern, dass https://www.beispiel.de die Startseite des Forums anzeigt?

m4z

Quote from: Gerd 66 on December 08, 2020, 09:58:35 AM
Wie kann man mit Administrationsrechten verhindern, dass https://www.beispiel.de die Startseite des Forums anzeigt?

Statt dich auf die technischen Details zu konzentrieren, wie genau der Einbrecher es geschafft hat, die Farbe deiner Tapeten zu verändern, solltest du dich darum kümmern, ihn rauszuwerfen, die Sicherheit der Tür bzw. des Hauses zu verbessern und Tür abzuschließen.

Also:
- Hosting- und Forum-Passworte ändern,
- ggf. Hosting-Provider kontaktieren und um Unterstützung bei Wiederherstellung und Analyse bitten,
- aktuelle (kompromittierte) Forums-Dateien an einen Ort bewegen, der nicht direkt via Browser erreichbar ist,
- saubere Versionen der SMF-Dateien (evtl. aus einem Backup, sonst aus dem Installationspaket) hochladen,
- ggf. Dateiliste mit einem Backup vergleichen, um besser zu verstehen, was verändert wurde (und/oder Datei-Checksummen des Installationspakets mit den kompromittierten Dateien vergleichen),
- falls das Forum nicht auf der aktuellen SMF-Version ist, so schnell wie möglich auf diese updaten.

Falls das Server-Betriebssystem halbwegs aktuell ist, ist davon auszugehen, dass der Angreifer eine Sicherheitslücke in SMF oder einer weiteren Software auf deinem Webserver ausgenutzt hat. Laut dem o.g. anderen Thread verwendest du aber 2.0.17; in dieser SMF-Version sind bisher keine Sicherheitslücken bekannt. Daher solltest du unbedingt deinen Hoster kontaktieren, um zu klären, ob die ausgenutzte Sicherheitslücke in der Software auf deinem Webhosting-Account existiert oder ein Problem bei deinem Hosting-Provider ausgenutzt wurde!
"Faith is what you have in things that don't exist."
--Homer Simpson

Es gibt hier im Forum ein deutsches Support-Board!
<werbung>Meine Freundin hat ihr erstes Buch veröffentlicht!</werbung>

Gerd 66

m4z, danke für die Antwort!
Beim Provider werde ich kein Glück haben, er wird sich wahrscheinlich zuerst zurecht auf den Standpunkt stellen, dass das Problem bei mir liegt. Ich werde trotzdem vorsichtig fragen, ob er das Problem kennt.

Ich habe schon einiges geprüft, unter anderem die Daten der Files der Installation.
Die ersten Passwörter sind auch schon geändert.

Glücklicherweise gibt es ein zweites Forum, das zur selben Zeit installiert wurde.


Jetzt bin ich gerade dabei, mit den Möglichkeiten des Firefox-Browsers (Webentwickler, Netzwerkanalyse) die Kommunikation zwischen Browser und Forum zu untersuchen.

So bekomme ich beim Firefox unter Netzwerkanalyse:
Status 200 GET Beispiel.de

Datei index.php
Initiator document
Typ html
Übertragen 459 B
Größe 0 B

Beim Forum, das funktioniert, ist die Größe 14,54 KB. Was auch in etwa der Größe von index.php auf dem Server des Providers entspricht.

Eben habe ich https://www.beispiel.de/index.php?board=7.0 aufgerufen. Das funktioniert, die Größe ist 20,72 KB.

Ich werde mich wieder melden!

Advertisement: