Deutsche in Finnland

Scheint so, dass da ein freundlicher türkischer Mitbürger sich auf die Eingangsseite des Forums gehackt hat (http://www.saksalaiset.fi).

Da sind wir wohl nicht alleine.

Seufz. Betrifft wohl nur die Eingangsseite von saksalaiset.fi, soweit ich sehen kann ist das Forum an sich nicht betroffen. D.h. das Problem liegt beim Apache Webserver, nicht bei phpBB. Da das ganze gehostet ist, haben wir leider nicht mal Zugriff auf die relevanten Logs. Der Link von jordekorre trifft auch nur auf Versionen von phpBB 3 vor dem offiziellen Release zu.

Die Eingangsseite habe ich wiederhergestellt, aber solange wir nicht wissen, wo das Loch ist, lässt sich das schlecht stopfen. Generell sind die Versionen von Apache und Linux, die auf dem Server hier laufen, recht alt. Das muss nichts schlechtes sein, aber offensichtlich ist die Geschichte sicherheitstechnisch nicht auf dem letzten Stand.

Generell wollte ich schon früher mal darauf hinweisen, dass der Server und das Forum sicher nicht bis in alle Ecken abgedichtet sind und man besser davon ausgeht, dass ein entschlossener Hacker sämtliche Daten inkl. Passwörtern, Emailadressen, etc. in Erfahrung bringen kann. Wenn es schlau angestellt wird, merken wir nicht mal was davon.

Stefan hat geschrieben:Über cPanel hat man auch Zugriff auf die Raw Logs.

Ja, da war allerdings nichts auffälliges drin. Es war der ganze Server betroffen, nicht nur saksalaiset.fi, aber Neobitti ist bisher nicht mit viel Infos rausgerückt.

Stefan hat geschrieben:

fax hat geschrieben:Es war der ganze Server betroffen, nicht nur saksalaiset.fi, aber Neobitti ist bisher nicht mit viel Infos rausgerückt.

Was dann sehr für ein Eindringen durch cPanel spricht. Haste mal an deren Support gemailt? Bzw. ein Ticket aufgemacht?

ich hatte sowas auchmal, mein apache ist uralt - aber richtig eingestellt ziemlich sicher. Schuld war altes php machwerk
das ich im system vergessen hatte. (ein altes nuke-php portal war schon lange nicht mehr in verwendung.. das eigentliche forum befand sich auf einer anderen url, mit einer neuer phpBB variante auf dem selben server - und wurde von dem tyrkenhack nie gestört)

also nicht apache, aber moeglicherweise zeug in /cgi-bin und richtig /falsch gesetzte rechte im filesystem. etc

was immer gut ist, ist altes zeug auch tatsächlich vom netz zu nehmen - auch denkbar ist alle dateien mit md5 has zu katalogisieren und per cronjob ein compare laufen zu lassen, wenn was faul ist - automatische admin mail mit curl - und vom netz nehmen (httpd2 -k stop)

zoolkhan hat geschrieben: was immer gut ist, ist altes zeug auch tatsächlich vom netz zu nehmen

[OT but related]
jep, sowas macht bestimmt Sinn. Habe neulich irgendwann mal via google nach dieser "wundersamen Terra-preta" Erde (ich halt's für Schmu) gesucht, und auf einer Seite von ner Uni hatte ein Prof/Assistent da einen tollen lobenden Artikel - und verlinkte Lehrveranstaltungsseiten mit Datum von 2004.

Wenn man dann aber über die Hauptseite der Uni kam - der Name tauchte nirgendswo im Lehrkörper auf, Veröffentlichungen auch nur bis 2004, dann 2007 irgendwo einmal als Co-Autor.
Sprich offiziell ist der Typ wohl weg vom Fenster, aber die Seiten gammeln irgendwo auf den servern rum, und google findet halt quasi alles -- ohne Rücksicht auf Verluste, sozusagen.

Ob der Leiter von der Uni/dem Institut weiss dass "seine Uni" immer noch Seiten hat die dieses Terra-Preta-Zeugs in allerhöchsten Tönen loben.... ?

Grüsslis,

-Clemens

[/OT]