Hi..

Ich habe jetzt zweimal Fremdzugriff von russischen IPs auf meinem EF gehabt.
Es liegt definitiv nicht Passwort, ich bin Keepass-Nutzer. ;)

Problem ist dass ich eine 8 Jahre alte Seite habe, die mehr ober weniger eine geupdatete VMS 1.1 ist.
Es gibt zB. keine lib/extras.lib.php.

Kurzum..ich brauche Rat oder Hilfe wie die Hacker es schaffen an die Daten zu kommen.

Gruss
Tschaet

PS: Ich hatte gestern noch einen Serverumzug und mein FTP funzt nicht (Hoster ist dran)....

Hallo,

stehen deine EF Daten im Adminbereich drinne?
Und sind diese dort Sichtbar ???

Mfg René

Hatte das gleiche Problem hat aber mit der VMS version nichts zu tun(hatte auf Premiumklicks 1.2.4 drauf)

zu rene bei mir nicht.

Meine Vermutung ist das irgendein Addon eine Lücke ermöglich

Bei vielen kommt er ins Adminforce rein und da dort die EF Daten drinne stehen kann er diese einfach übernehmen deswegen habe ich die Datei bei mir so bearbeitet das die EF Daten nicht sichtbar sind sondern nur in der DB stehen.

Hi..

Die Daten standen zumindest im Adminforce, nun sind die "falschen" drin.
Ich vermute auch eher eine Lücke in einem Addon.

Laut Errorlog wurde letzte Woche die Seite mit einer speziellen Software gescannt und demnach wohl auch eine Lücke gefunden.

Wo, ist allerdings immernoch die Frage.

Gruss
Tschaet

Hm die ist so ohne die Logfiles, die Skripte etc zu kennen auch kaum zu beantworten.

Hast du dein adminforce via .htaccess mit einem Passwort geschützt?

war da nicht mal was mit dem logout addon für den adminberreich ? das dort irgendeine lücke drin war? vieleicht hast du es ja bei dir drin

da war keine lücke drin.. also ja doch schon aber eine absichtliche... sodass jeder sich einloggen kann ohne die daten zu kennen...

Hoi..

Adminforce ist mit .htaccess geschützt, deswegen auch die Vermutung mit einem löchrigen Addon.

Gruss
Tschaet

Ok, weil eben relativ unwahrscheinlich, dass jemand den Apache gehackt hat (wenn auch nicht ganz auszuschließen...).

Hast du mal das/ein "Modulsystem" für das VMS 1.1 nachgerüstet?

Dann könnte es auch helfen, den adminforce Ordner umzubenennen.
Klar, das ist keine echte Sicherheit, aber der "Angreifer" muss dann erstmal rausfinden, wie das Verzeichnis heißt, und das kann schon lange dauern ;-)

Ansonsten solltest du mal alle include/require_(once) überprüfen, ob da nur ein fester Pfad drinsteht oder eine Variable benutzt wird. Die mit Variable dann entsprechend prüfen, ob man iwo was einschleusen könnte.

Dann könnte man noch, die Datei im Adminforce gegen include aus nicht erlaubter Datei absichern, indem man:

in der index.php im Adminforce folgendes einfügt:

define('IN_ADMINFORCE', 1);
in der include'ten Datei ganz oben dann:

if (!defined('IN_ADMINFORCE')) die('Direct access or include not allowed!');

Hi..

Nein, das Modulsystem habe ich nicht mit nachgerüstet, hielt ich für unnötig.

Alles andere muss ich mir jetzt erst ein paar mal durchlesen, bis ich es verstehe. ;)

Gruss
Tschaet

PS: Ich weiss auch nicht ob es Sinn für mich macht mich auf das Adminforce zu konzentrieren, ich denke vielmehr in die Richtung Datenbank.

Hatte gleiches ja auch schon durch, bis heute weiß ich nicht wie die an mein EF Passwort gekommen sind, das Problem ist und bleibt das es in der Datenbank steht, klar lesbar.

Hier sollte man ansetzten, und das EF Passwort auch verschlüsseln, wie man es mit den normalen Passwörtern auch macht, ob dies geht weiß ich natürlich nicht.

MfG

H
...
PS: Ich weiss auch nicht ob es Sinn für mich macht mich auf das Adminforce zu konzentrieren, ich denke vielmehr in die Richtung Datenbank.

An diese Informationen in der DB sollte "der Hacker" aber ohne weitere Lücken gar nicht drankommen.



Hatte gleiches ja auch schon durch, bis heute weiß ich nicht wie die an mein EF Passwort gekommen sind, das Problem ist und bleibt das es in der Datenbank steht, klar lesbar.

Hier sollte man ansetzten, und das EF Passwort auch verschlüsseln, wie man es mit den normalen Passwörtern auch macht, ob dies geht weiß ich natürlich nicht.

MfG


Das EF Passwort muss leider irgendwo im Klartext vorhanden sein, da man sonst keine AZ machen kann.
Sobald man es braucht muss es entschlüsselt werden.
Der Entschlüsselungsschlüssel muss dann auch irgendwo als Klartext gespeichert sein.

Hatte gleiches ja auch schon durch, bis heute weiß ich nicht wie die an mein EF Passwort gekommen sind, das Problem ist und bleibt das es in der Datenbank steht, klar lesbar.

Hier sollte man ansetzten, und das EF Passwort auch verschlüsseln, wie man es mit den normalen Passwörtern auch macht, ob dies geht weiß ich natürlich nicht.

MfG

meine Idee wäre die EF daten aus der DB zu löschen und in einer Datei hinterlegen.

An diese Informationen in der DB sollte "der Hacker" aber ohne weitere Lücken gar nicht drankommen.

Hm?! *g* Darum gehts doch hier, um Lücken irgendwo? *g*

Was hilft es wenn das EF-Passwort "ausgelagert" wird? Hatte der Hacker zuvor darauf Zugriff, dann wohl auch auf andere Daten, das beruhigt nicht wirklich auch wenn man weiss dass kein rankommen ans EF-Passwort ist. ;)

Hm?! *g* Darum gehts doch hier, um Lücken irgendwo? *g*
...


Und genau deswegen solltest Du Dich nicht auf die DB sondern auf die Addons konzentrieren.
Da vermute ich das grösste Angriffspotential.

Die Daten in der DB zu schützen ist meiner Meinung nach nicht möglich, solange die Daten vom VMS automatisch genutzt werden sollen.
Auch das Auslagern in eine Datei bringt meiner Meinung nach nichts, solange diverse Scripte auf diese Datei zugreifen können, um den Inhalt zu nutzen.

Nicht nur die Addons/Erweiterungen sind bei dir die Bereiche, die Lücken enthalten können, du schriebst das du das VMS von vor ca 8 Jahren nutzt.
Solltest du über Programmierkenntnisse verfügen solltest du jede da einmal durchgehen und auf eventuelle Lücken durchsehen. Oder einen Programmierer deines Vertrauens drauf ansetzen.

Leider kann man hier nur allgemeine Ratschläge geben, da wir keine Einsicht auf den Code deiner Seite haben.

meine Idee wäre die EF daten aus der DB zu löschen und in einer Datei hinterlegen.

Noch besser: die Daten "splitten" und in Datenbank und Datei ablegen. So dass der "Angreifer" Zugriff auf beides haben muss, um sie zu benutzen.
Hier kommt dann Verschlüsseln ins Spiel:

In der Datenbank legt man das verschlüsselte EF Passwort ab (bspw. AES, dann kann man das direkt in MySQL (https://dev.mysql.com/doc/refman/4.1/en/encryption-functions.html#function_aes-decrypt) machen, PHP braucht afaik Module wie mcrypt zum Verschlüsseln, die ein Shared-Hoster evtl. nicht anbietet), in der Datei den Schlüssel.