gehackt?

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Tata
Posts: 3586
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: gehackt?

Post by Tata » Sat Nov 11, 2017 9:46 pm

Holger wrote:Das ganze Provider gehackt werden, geschieht zum Glück eher selten.
Hehe, solange ein National Sicherheitsdiens Büro ein Passwort "NSB123456" nutzt, wie in der Slowakei einige Jahre zurück. Damals hat ein Schüler ins System eingetreten. Kein Witz. Das war eine riesige Affäre.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

Tata
Posts: 3586
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: gehackt?

Post by Tata » Sat Nov 11, 2017 9:48 pm

Tata wrote:
Holger wrote:Das ganze Provider gehackt werden, geschieht zum Glück eher selten.
Hehe, solange das National Sicherheitsdiens Bureau ein Passwort "NSB123" fünf Jahre nutzt, wie in der Slowakei einige Jahre zurück. Damals hat ein Schüler ins System eingetreten. Kein Witz. Das war eine riesige Affäre.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

cmss
Posts: 244
Joined: Mon Jan 02, 2017 6:15 pm

Re: gehackt?

Post by cmss » Sat Nov 11, 2017 11:42 pm

Wenn man in der htaccess einen Error 404 - Eintrag macht wird die Seite wenigsten umgelenkt und der Browser hängt nicht.

albert-wilhelm.de ist bei strato - und die sind ziemlich sicher. Man kann zusätzlich noch einen Sicherheitsschild anklicken.

Auuserdem gibt es logfiles - mal die Hotline anmailen - und Zugriffstatistiken per Email.

Ansonsten würde ich in der Sprachdatei mal @ . und ? durch - o-ä. ersetzen.
Ich habe schon mal auf die evtl. risiken von php-self hingewiesen .

(Das man neu installiert und evtl. php 7 bei Strato auswählt versteht sich von selbst)

albert
Posts: 526
Joined: Sun Mar 07, 2010 8:01 pm
Location: Germany
Contact:

Re: gehackt?

Post by albert » Sun Nov 12, 2017 9:20 am

Holger wrote:Was genau hat der Hoster denn geantwortet? Wer ist es denn?
Ich bin bei Strato. Naja der Supportmensch schien mir nicht besonders kompetent... jedenfalls wollte er von logfiles nichts wissen und "SiteGuard Logfile" war nicht aktiviert.
In der neuen Installation ist übrigens nichts mehr aufgetreten, aber die Unsicherheit bleibt natürlich :?

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Post by olape » Sun Nov 12, 2017 9:24 am

cmss wrote:Wenn man in der htaccess einen Error 404 - Eintrag macht wird die Seite wenigsten umgelenkt und der Browser hängt nicht.
Jeder richtig konfigurierte Server liefert eine Fehlerseite, wahrscheinlich schneller, als eine eigene per htaccess-Weiterleitung.
Wenn da was hängt, dann hat es andere Ursachen.
cmss wrote:Ansonsten würde ich in der Sprachdatei mal @ . und ? durch - o-ä. ersetzen.
Das halte ich für ein Gerücht. Meines Wissens sind diese Einträge dafür gedacht, dass eine vernünftige URL generiert wird.
Nicht dafür, irgenwelche manuell eingegebenen und unerwünschten Zeichen aus der URL wieder zu entfernen.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: gehackt?

Post by cmb » Sun Nov 12, 2017 12:54 pm

cmss wrote:Ich betreibe selbst eine bei einigen Kreisen unbeliebte Seite bei Strato, auf der mir gxsecurity wöchentlich über 50 IPs sperrt und bin nie gehackt worden.
Automatisierte Sperren sind halt immer so eine Sache. Ich habe ein gmx.de Email-Konto, und da landen so viele erwünschte Mails im Spamordner, dass ich diesen schon vor langem deaktiviert habe.
Tata wrote:solange ein National Sicherheitsdiens Büro ein Passwort "NSB123456" nutzt
Amüsantes Beispiel!
Christoph M. Becker – Plugins for CMSimple_XH

albert
Posts: 526
Joined: Sun Mar 07, 2010 8:01 pm
Location: Germany
Contact:

Re: gehackt?

Post by albert » Tue Jan 23, 2018 7:05 pm

in meinen logs erscheint neuerdings häufig diese Meldung:

Code: Select all

2018-01-14 08:40:10	warning	moved	not found	%25252D%252564+%252561%25256C%25256C%25256F%252577%25255F%252575%252572%25256C%25255F%252569%25256E%252563%25256C%252575%252564%252565%25253D%25256F%25256E+%25252D%252564+%252573%252561%252566%252565% from unknown
meistens drei bis sechs mal im Sekundentakt, dann wieder stundenlang nichts...
Jemand ne Idee?

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Post by olape » Tue Jan 23, 2018 7:25 pm

albert wrote:
Tue Jan 23, 2018 7:05 pm
in meinen logs erscheint neuerdings häufig diese Meldung:

Code: Select all

2018-01-14 08:40:10	warning	moved	not found	%25252D%252564+%252561%25256C%25256C%25256F%252577%25255F%252575%252572%25256C%25255F%252569%25256E%252563%25256C%252575%252564%252565%25253D%25256F%25256E+%25252D%252564+%252573%252561%252566%252565% from unknown
meistens drei bis sechs mal im Sekundentakt, dann wieder stundenlang nichts...
Jemand ne Idee?
Wenn ich mich nicht täusche, dann steckt das

Code: Select all

-d allow_url_include=on -d safe%
dahinter.
Könnte möglicherweise schon noch mit der alten Sache zusammenhängen, muss aber nicht.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: gehackt?

Post by cmb » Tue Jan 23, 2018 7:38 pm

olape wrote:
Tue Jan 23, 2018 7:25 pm
Wenn ich mich nicht täusche, dann steckt das

Code: Select all

-d allow_url_include=on -d safe%
dahinter.
Jupp. Allerdings ist der Query-String höchstwahrscheinlich noch viel länger – wurde aber von CMSimple_XH abgeschnitten. Schau am besten mal im Apache-Access-Log nach, Albert. Ich vermute, das ist ein Versuch CVE-2012-1823 auszunutzen.
Christoph M. Becker – Plugins for CMSimple_XH

albert
Posts: 526
Joined: Sun Mar 07, 2010 8:01 pm
Location: Germany
Contact:

Re: gehackt?

Post by albert » Wed Jan 24, 2018 8:01 am

Danke für die Hinweise. Leider bin ich jetzt genauso schlau wie vorher.
Nebenbei: Ich habe php 5.6.33 und phpinfo sagt

Code: Select all

allow_url_include	Off
das ist ein Versuch CVE-2012-1823 auszunutzen
leider verstehe ich da nur Bahnhof...
Muss ich dringend etwas tuen, und was?

Post Reply