Webseite gehackt

[sailor1]

Hi,

auch meine Webseite, besonders das phpbb-Forum ist ein Opfer der Hacker geworden. Folgendes habe ich bereits abgearbeitet:

• Forum offline gestellt und verzeichnis umbenannt.
  Datenbank gespeichert.
  Hinweis bei der Verlinkung für die User eingefügt
  alle Passwörter geändert

Dass ich das Forum neu installieren muß weis ich, ist halt so
Aber die Webseite besteht aus hunderten Dateien. Kann ich einfach die ganze Seite löschen und mit Dreamweaver die Dateien vom lokalen Rechner neu hochladen?

Dann müßten doch alle infizierte Datein weg sein?

Mach ich da einen Gedankenfehler?

Bitte um einen kleinen Anstoß, danke

[Frangulus]

Hi Sailor,

zu erst sollte man wissen wo die Lücke war bzw. wie die Hacker eingedrungen waren.
Sonst ist nach dem neu hochladen in eine paar Tagen die Seite wieder gehackt.
Wenn z.Bsp phpbb Forum eine Lücke ist, dann muss die zuerst geschlossen werden.

Bei Foren, CMS, etc. könnte unter Umständen auch Schadcode in die Datenbank eingeschleust worden sein.
Diese mal nach "eval" durchsuchen und prüfen ob nicht User mit hoher Berechtigung eingetragen wurden.

[sailor1]

Danke Dir,

nach eval habe ich gesucht und mehrere Treffer gefunden.
1 Treffer in _posts
11 Treffer in _wordlist
1 Treffer in _post_text
1 Treffer in _search_wordlist

was nun? Wo suche ich nach einem User mit hoher Berechtigung?

[Frangulus]

Hi,

das phpBB kenne ich nicht so gut, kann Dir deshalb nicht genau sagen worauf bei den User Berechtigungen zu achten ist.
Eventuell mal in einem Forum für das phpBB-Forum nachschauen.

Wen hinter dem eval eine ( und function bzw. eine Menge kryptischer Zeichen kommen, ist das vermutlich eingeschleuster JavaScript-Code.
Das Zeug würde ich löschen, selbst auf die Gefahr hin einen echten Beitrag zu zerstören.

Bitte auch noch nach "preg_replace(" suchen, hatte ich gestern vergessen. Dafür gilt das Gleiche.

Siehe auch hier der erste Absatz: http://www.suleitec.de/blog/20-000-w...informiert/766

[karoAS]

Schau mal hier: webseiten-schutz.de

Von meinem Verein wurde die Webseite 2mal gehackt innerhalb eines Jahres. Das war glaub ich ein Joomla Portal. Da sich keiner so richtig auskannte haben die den Service genutzt und in den letzten 2 Jahren war nix mehr.

[chris1407]

Wenn du dich nicht auskennst und der Angreifer ein bisschen Grips hat, kannst du als Laie Schadcode nicht von normalem Code unterscheiden. Mach die Sicherheitslücke ausfindig, beseitige diese, mach ein DB Backup und installiere die Applikation neu. Oder du nutzt so ne Service wie der karoas geschrieben hat.

mfg chris

[btgson2000]

nach eval habe ich gesucht und mehrere Treffer gefunden.

[karoAS]

Eval findest du auch in ungefährlichem Programmcode. Poste mal den Code hier.