Mad Line
Newbie
 Offline
Beiträge: 14
|
 |
« Antwort #15 am: 29-09-2006, 01:09:41 » |
|
hey Jungs wir hatten heute über 14 000 zugriffe auf meiner willkommens Hacker Block seite  puretec hat sich doch glatt selber gemeldet  also das funzt *daumenhoch* |
|
|
|
|
Gespeichert
|
|
|
|
|
basti
|
|
« Antwort #16 am: 29-09-2006, 07:26:05 » |
|
Wie was hat Puretec denn gesagt?
|
|
|
|
|
Gespeichert
|
|
|
|
|
basti
|
|
« Antwort #17 am: 29-09-2006, 07:27:13 » |
|
Hallo zusammen,
die Hacker haben auch bei mir zugeschlagen. Reicht es prinzipiell wenn der Provider url_fopen deaktiviert oder sollte der Code noch geändert werden?
Gruß B.
Hi, wenn url_fopen deaktiviert ist, dann kann keine externe Datei, die den Schadcode enthält geladen werden. Und wenn die register_globals auf off stehe, dann kann die Variable erst gar nicht überschrieben werden. |
|
|
|
|
Gespeichert
|
|
|
|
|
barome
|
|
« Antwort #18 am: 29-09-2006, 10:01:41 » |
|
Hi,
wenn url_fopen deaktiviert ist, dann kann keine externe Datei, die den Schadcode enthält geladen werden. Und wenn die register_globals auf off stehe, dann kann die Variable erst gar nicht überschrieben werden.
Danke für die Info, das ist für mich alles totales Neuland. Puretec/1und1 hatte mich angeschrieben und mir mitgeteilt das sie die Parameter für den Ordner in dem der Newswriter steht deaktiviert haben. Reicht das denn überhaupt wenn sie die Parameter auf dem entsprechenden Ordner deaktivieren? Seit die daran rumgepfuscht haben bekomme ich auch eine Fehlermeldung statt des Newswriters zu sehen. Fatal error: Call to undefined function: newswriter() in /homepages/19/d19311943/htdocs/teamsite/index.php on line 209 Gruß B. |
|
|
|
|
Gespeichert
|
|
|
|
|
basti
|
|
« Antwort #19 am: 29-09-2006, 10:35:51 » |
|
Na die haben komplett den Newswriter auskommentiert denke ich mal.
Du siehst anhand der phpinfo, ob die Parameter deaktiviert sind oder nicht.
Am besten du nimmst den Workaround aus dem Thread hier und dann passt alles wieder.
|
|
|
|
|
Gespeichert
|
|
|
|
|
Berlingo
|
|
« Antwort #20 am: 29-09-2006, 10:49:39 » |
|
Hallo zusammen,
auch meine Seiten wurden innerhalb einer Woche 2x angegriffen. (Ich hab den NW unter mehreren Domains laufen).
Es waren der Q18 Hack und dieser türkische Schrott.
Meine Workaround ist dieses:
Ich habe die editfunc.inc.php einige Etagen höher untergebracht, _außerhalb_ der Root des Webservers. Dort sind übrigens auch alle meine Datenbank-Parameter abgelegt, man weisz ja nie.
So kann der Webserver dieses Files nicht ausliefern.
In den entsprechenden anderen Scripten die Verweise angepasst und es funktioniert!
Leider, leider ohne den WYSiWYG Editior, wie hier auch schon an anderer Stelle bei den anderen Workarounds bemerkt.
Mir ist nicht mehr klar, wie der Editior überhaupt eingebunden ist, da NW so zuverlässig war, musste ich lange nicht in den Scripten rummachen.
Kann mich jemand da bitte auf die Spur setzen?
Könnten noch andere Scripte gefährlich sein? Die filefunc.php o.ä.? Sind es die Scripte, die Uploads oder Formulare enthalten?
Danke,
Ralph
|
|
|
|
|
Gespeichert
|
|
|
|
|
basti
|
|
« Antwort #21 am: 29-09-2006, 10:58:27 » |
|
Hi,
also prinzipiell können alle Scripte angegriffen werden, die direkt aufrufbar sind, weil die Variable ja sehr oft im Newswriter existiert.
Der VisualEditor wird in der Header Datei des Admin Templates eingebunden.
Ich werde mich bemühen eine überarbeitete Version bereit zu stellen.
|
|
|
|
|
Gespeichert
|
|
|
|
|
barome
|
|
« Antwort #22 am: 29-09-2006, 11:47:46 » |
|
Am besten du nimmst den Workaround aus dem Thread hier und dann passt alles wieder.
gut werde ich ausprobieren, nur ist mir nicht ganz klar was ich für den part 'HAUPTSEITE' einsetzten muß |
|
|
|
|
Gespeichert
|
|
|
|
|
basti
|
|
« Antwort #23 am: 29-09-2006, 12:37:32 » |
|
Nix, das muss in der confo.php definiert sein. (und steht auch so im Thread).
|
|
|
|
|
Gespeichert
|
|
|
|
work
Newbie
Offline
Beiträge: 25
|
|
« Antwort #24 am: 29-09-2006, 17:08:34 » |
|
Hallo, auch meine Seite wurde nun inzwischen bereits 2x gehackt. Was ist nun genau zu tun um weitere hacks zu verhindern bzw. gibt es schon eine Lösung? Bei meinem Provider sind register_globals und allow_url_fopen auf on, ich denke das hier auch nichts geändert wird.
Vielen Dank für eine Antwort/Hilfe!
|
|
|
|
|
Gespeichert
|
|
|
|
|
basti
|
|
« Antwort #25 am: 29-09-2006, 17:24:58 » |
|
Na den Workaround hier in diesem Thread einbauen und gut ist es. Oder Hoster fragen, ob er es umstellt.
|
|
|
|
|
Gespeichert
|
|
|
|
work
Newbie
Offline
Beiträge: 25
|
|
« Antwort #26 am: 29-09-2006, 17:32:28 » |
|
Hallo, also genügt es die Änderungen in der editfunc.inc.php und in der main.inc.php zu machen ? Sorry für meine lästigen fragen, will nur sicher gehen  Danke! |
|
|
|
|
Gespeichert
|
|
|
|
|
basti
|
|
« Antwort #27 am: 29-09-2006, 17:37:56 » |
|
Im Moment schon ja.
|
|
|
|
|
Gespeichert
|
|
|
|
|
Berlingo
|
|
« Antwort #28 am: 29-09-2006, 19:34:41 » |
|
Hat schon jemand seinen Server gescanned und eingeschleuste, böse Scripte gefunden? Mein Hoster puretec meint, ich solle das selber machen, da sie nicht zwischen bösen und guten Scripten unterscheiden können. Das Ganze ist also absolut kein Spaß und ernst zu nehmen. Es gibt Leute, die meinen, eine veränderte index.php und deren Wiederherstellung soll unter Umständen nur von der Schweinerei ablenken, die wirklich beim Hack läuft, und den Webmaster in Sicherheit wiegen.  Ralph |
|
|
|
|
Gespeichert
|
|
|
|
mattin
Newbie
Offline
Beiträge: 39
|
|
« Antwort #29 am: 29-09-2006, 20:12:29 » |
|
Hi,
hab etwas im Forum gestöbert, und bin auch auf die Sicherheitslücke aufmerksam geworden.
Die Codezeilen hab ich dann in die Dateien kopiert, bekomme aber nun folgende Fehlermeldung:
Parse error: parse error, unexpected T_CONSTANT_ENCAPSED_STRING in .../include/editfunc.inc.php on line 826
Und hier der Code der in der editfunc und der main wie beschrieben eingefügt wurde:
if(!defined('HAUPTSEITE')) {
header("Location: ../index.htm");
exit;
}
Ist da was nicht korrekt?
in der conf.php steht dann noch: define('HAUPTSEITE', 1);
Also eigentlich so wie hier im thread...
Bin nun etwas ratlos, wo liegt der Fehler.
Die Sicherheit scheint auch nötig zu sein, in einem Referrer auf einer meiner Seiten konnte ich gut nachvollziehen, daß momentan so ziemlich alle möglichen Suchmaschinen b enutzt werden um nach "newswriter + sw" zu suchen...
edit:
die Datei war scheinbar zerschossen, wie und warum, keine Ahnung...
Hab sie durch das Original ersetzt und den Code nochmal reingesetzt - nun klappt es!
|
|
|
|
« Letzte Änderung: 29-09-2006, 23:30:30 von mattin »
|
Gespeichert
|
|
|
|
|
Scriptfragen
