"hacked by sam2k" |
Mich B...
Mitglied
Dabei seit: 24.02.05
Beiträge: 135
Forenversion: 2.3
|
|
Dies ist eine vorgefertigte Schablone.
Bitte fülle soviel aus, wie dir nur Möglich ist, du kannst auch gerne noch mehr Angaben machen.
Problembeschreibung:
Unser Forum wurde heute gehackt, ist es bekannt wie man diesen Hackangriff umgehen kann und die ACP Rechte zurückbekommt oder muss man eine Sicherung einspielen?
Hab in Mysql schon nachgeschaut ob er nur bei den Groupid ein Value verändert hat jedoch ist hier alles beim alten.
Da mein letztes Backup leider schon ca. ein Monat zurückliegt wäre es mir natürlich recht wenn es hier schon andere Lösungen geben würde?
Falls es keine andere Möglichkeit geben sollte wie spiele ich das Backup ein?
Link zum Forum oder Screenshot:
http://www.vwscene-forum.de/wbb2/index.php
|
|
24.04.06 17:24 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
erstmal scheint das nicht gehackt worden zu sein, sondern hat irgendjemand der die admin rechte hatte was angestellt. Order jemand der das passwort und usernamen hatte.
niemand hackt ein vw forum, wer so dumm ist, der hat echt nix zu tun. Also empfehlenswert wäre erstmal die sessions vom acp zu sichern, die ips zu sichern, screens zu machen und dann ggf Anzeige zu erstatten.
Dann solltest du erstmal überprüfen ob du noch ins forum kommst oder nicht. ob du in die datenbank kommst.
ansonsten scheint ja noch alles da zu sein, solltest also versuchen selbst ins forum zu kommen und den wartungsmodus zu beenden.
|
|
24.04.06 17:28 |
Finden
Als Freund hinzufügen
|
|
Mich B...
Mitglied
Dabei seit: 24.02.05
Beiträge: 135
Forenversion: 2.3
Themenstarter
|
|
Hab da jetzt mal ein wenig rumgesucht in phpmyadmin
Der "sam2k" ist eigentlich ich sieht man z.B. daran dass er die selbe Signatur hat. Er hat sich also meinen AdminNick gehackt und die Zugriffsrechte abgeschaltet denke ich mal.
Ich kann mich aber auch nicht mit seinem Namen+Passwort einloggen, ebenfalls ist bei dem User acpmode auf 2 gestellt die groupcombinationid war auf 1 jedoch hat die umstellung auf 11 nichts gebracht
Wenn ich mir aber die User anzeigen lassen unter bb1_user ist nur er drin und sonst niemand, ist das jetzt dann überhaupt noch sinnvoll weiter zu suchen oder sind die anderen Mitglieder noch vorhanden?
BTW.
Suche die ganze Zeit schon nach verwertbarem für eine Anzeige, wo finde ich den z.B. die IP-Adresse von ihm?
|
|
24.04.06 17:51 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|
wenn nur noch er drin ist, dann hat er den rest gelöscht, dann müsstest du die user neu einfügen aus dem backup und die beiträge wahrscheinlich auch.
allerdings sichere die sessions vorher, sofern du in erwägung ziehst, diesen user anzuzeigen, wenn er dumm war, dann hat er seine ip hinterlassen und du kannst anzeige erstatten, ist schließlich eine Straftat.
|
|
24.04.06 18:05 |
Finden
Als Freund hinzufügen
|
|
|
hm, das ist nicht so einfach, erstmal die userid muss stimmen, dann natürlich ab wann es nicht geht, also muss voher jemand eingeloggt gewesen sein, mit der ip, jedenfalls sichere diese datenbank komplett.
dann vergleiche eventuell mit deinem ips die du hast.
und den anhang würde ich entfernen, das posten von Ips ist nicht sehr gern gesehen.
|
|
24.04.06 18:15 |
Finden
Als Freund hinzufügen
|
|
|
Zitat: |
Original von Broken Sword
btw: http://www.woltlab.de/news/405_de.php
Zitat: |
Neben Darstellungsfehlern behebt Version 2.3.2 mehrere potenzielle Sicherheitslöcher. Wir empfehlen dringend die sofortige Durchführung des Updates.
|
edit³ xD""
=> selbst schuld oO |
danke fürs Geräusch
das hilft jetzt auch nicht weiter, zumal man sich davor nicht schützen kannst, selbst bei wbb 2.3.4 nich.
|
|
24.04.06 18:31 |
Finden
Als Freund hinzufügen
|
|
Mich B...
Mitglied
Dabei seit: 24.02.05
Beiträge: 135
Forenversion: 2.3
Themenstarter
|
|
Hmm ich glaub der ist nicht mehr drin, er hat ja die UserId 1 bei den Sessions haben aber alle UserId 0
Suche ich jetzt da einfach falsch oder ist er wirklich nicht drin, den wie oben schon gesagt kommen mir den wenigen Einträge etwas komisch vor.
Wo sind den die ACP Sessions gespeichert?
|
|
24.04.06 18:50 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
Mich B...
Mitglied
Dabei seit: 24.02.05
Beiträge: 135
Forenversion: 2.3
Themenstarter
|
|
Das hab ich direkt überlesen und siehe da es sind IP-Adresse drin
Kann mir noch jemand sagen wie ich hier noch die Zeit rausbekomme?
Bei lastactivity steht dann z.b. 1145871937 was soll das den bitte für eine Einheit/Zeit/Datum sein?
|
|
24.04.06 19:05 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
Mich B...
Mitglied
Dabei seit: 24.02.05
Beiträge: 135
Forenversion: 2.3
Themenstarter
|
|
Ha ha geil ich hab ihn heute um 5:45 war ich mit Sicherheit nicht im ACP und da ich der einzige Admin bin muss er das wohl sein oder nicht?
Kann man das 100%ig sagen wenn sicher ist das ich es nicht gewesen bin?
Die normalen Sessions scheint er schon gelöscht zu haben jedoch die fürs ACP scheint er übersehen zu haben, was freu ich mich wenn ich rausbekomme wer das ist dann bekommt er erstmal
äh ich meinte
|
|
24.04.06 19:19 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
lycoos
Frauenstimme 2007
Dabei seit: 05.08.05
Beiträge: 1.076
|
|
Ist ja kein Wunder. Du solltest vielleicht mal updaten!
__________________ mfg
der Lycoos
Der Satz des Pythagoras umfasst 24 Worte,die Zehn Gebote 279, die amerikanische Unabhängigkeitserklärung 300 und die Verordnung der EG über die Einfuhr von Karamelbonbons 25.911 Worte.
|
|
24.04.06 19:22 |
E-Mail
Finden
Als Freund hinzufügen
|
|
Mich B...
Mitglied
Dabei seit: 24.02.05
Beiträge: 135
Forenversion: 2.3
Themenstarter
|
|
Wenn ich eine Telefongesellschaft z.B. Telekom rausbekomme kann es kein Proxy sein oder?
Wollte nicht updaten weil ich sehr viele Zusätze drin hab und 2 Skins das wäre eine Woche arbeit gewesen wo kein Fehler unterlaufen darf.
|
|
24.04.06 19:44 |
E-Mail
WWW
Finden
Als Freund hinzufügen
|
|
|