News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 24
Seite [1] 2 >
SilentRunner666


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Thema - 28.11.2011 um 19:08 Uhr
Moinsen,

letzte Woche erhielten unsere Member folgende Meldung :

Forbidden

You don't have permission to access / on this server.

( Threat dazu : http://www.csphere.eu/forum/board/thread/where/16287/start/0 )

Diese Meldung betraf / betrifft nur Member und Besucher aus dem Ausland und für Member sowie Besucher aus Deutschland öffnete sich die Website ( http://www.the-orders-of-souls.com ) nur in Zeitlupe.

Strato teilte mir nach drei Tagen mit das sich ein PHP Script in den Resized Ordner meiner zweiten Website ( http://www.light-of-alliance.de/ ) eingeschlichen hat welches zu einer erhöhten Serverauslastung führt.

Name des Scripts : li.php

will das Script hier nicht unbedingt posten...

Also habe ich dieses Script gelöscht, nach versteckten Dateien gesucht (keine gefunden) und die Seite ( http://www.light-of-alliance.de/ ) in den Wartungsmodus gesetzt. Ich dachte damit ist das Problem gelöst...nö...nun ist die Seite www.the-orders-of-souls.com wieder normal zu erreichen aber nur für Leute aus Deutschland und für alle andern Nationen kommt noch immer die Meldung :

Forbidden

You don't have permission to access / on this server.

Strato hat es heute über einen Proxy-Server probiert und sieht die gleiche Meldung.

Die Frage ist nun hab ich etwas übersehen (da Strato mich auch noch auf .htaccess Dateien hingewiesen hat) oder liegt es an Strato?

Ich bin mit meinem Latein echt am ende angelangt.

Vielen Dank für Tips, Infos und Hilfe schonmal im voraus.

LG

Silent
Inaktiv
ev0lution


Geekboy





Beiträge: 1103
# Antwort: 1 - 28.11.2011 um 19:25 Uhr
steht irgendwas in deiner blocklist ?

/index.php?mod=contact&action=blocklist

ps: weiss aber nicht ob es überhaupt damit zusammenhängen kann.

habe nur die optionen nach evtl Blocklisten durchstöbert und auf die Funktion gestoßen.


------------------


Zuletzt editiert von ²waq am 28.11.2011 um 19:26 Uhr (1x Editiert)
Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 2 - 28.11.2011 um 19:50 Uhr
Strato teilte mir nach drei Tagen mit das sich ein PHP Script in den Resized Ordner meiner zweiten Website ( http://www.light-of-alliance.de/ ) eingeschlichen hat welches zu einer erhöhten Serverauslastung führt.

Name des Scripts : li.php

Das Script einfach so zu löschen, war keine realtiv gute idee.
Denn dieses Script könnte Aufschluss darüber geben, wer da dein Account gehackt hat.
Des weiteren rät man bei solchen Aktionen, in Server-Bereichen zur Stillegung des Roots (also vom Netz nehmen), nach der Ursache zu suchen, den Server neu aufsetzen, und die offene Stelle, die mangefunden hat, stopfen/fixen korrigieren etc.

Da deine Page nun wieder teilweise nicht erreichbar ist, gehe ich davon aus, dass die besagte Lücke immer noch vorhanden ist.
Es kann ein Modul sein, es könnte das Explorer-Modul sein, aber auch dein PC, auf dem das FTP PW ausgespäht wurde.
Wenn du dein FTP Pw nicht geändert hat, könnte der Hacker sich somit weiterhin Zugriff auf deinen Webspace verschaffen.
Es gibt hier jetzt unzählige Szenarien die zutreffen könnten.
Wichtig ist aber erstmal ,dass du die Page vom Netz nimmst. Sperr Sie mit einem htaccess Schutz, oder leg Sie komplett lahm.
Lade den kompletten Inhalt runter, durchsuche ihn dabei nach Viren/Trojaner auf deinem PC. Sollte ein Anti-Vir Programm anspringen, weißt du bescheid. Dann kannst du im Internet nach diesem Virus suchen, ggf. findest du Anlaufstellen, wo es dazu weitere Informationen gibt.

Sollte dein Anti-Vir nicht anspringen, durchsuch jegliche PHP Dateien im Kopfbereich nach verdächtigen Stellen.

Gerne unterstütze ich dich bei der Suche, gegen eine gewisse Gegenleistung.

//Edit: @²waq Nein, die Blocklisten gelten nur für E-Mail-Adressen.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Zuletzt editiert von Fr33z3m4n ClanSphere Team am 28.11.2011 um 19:51 Uhr (1x Editiert)
Inaktiv
|
SilentRunner666
Thread-Ersteller


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Antwort: 3 - 28.11.2011 um 20:44 Uhr
Hi Fr33z3m4n,

also das Script hab ich noch und kann es auch posten falls es nützlich ist.

Runtergeladen und gescannt hab ich auch alles : Keine Funde.

FTP PW ausgespäht : Ne nicht wirklich, benutze einen zweiten Rechner dafür der nur diesem Zweck dient und auch sauber ist.

Ich habe aber eine .htaccess gefunden die ca.2.4 mb gross ist und in der Länder nebst IP als deny angegeben werden bin mir aber nicht sicher ob die zu Clanshere gehört oder nicht.


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 4 - 28.11.2011 um 20:50 Uhr
Ich habe aber eine .htaccess gefunden die ca.2.4 mb gross ist und in der Länder nebst IP als deny angegeben werden bin mir aber nicht sicher ob die zu Clanshere gehört oder nicht.

Nein. Genau das ist das Problem, was du hast.
Hatte gerade selber mit einem Proxy getestet.
Das hauptverzeichnis sowie weitere Unterverzeichnisse werden durch die htaccess gesperrt.
Kannst ja gerne mal die htaccess posten oder per msg/email an mich weiterleiten, genauso das besagte Script.

//EDIT achja, änder erstmal den Namen der htaccess. am besten vorne den Punkt wegnehmen, damit ist die Regel erstmal deaktiviert.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Zuletzt editiert von Fr33z3m4n ClanSphere Team am 28.11.2011 um 20:51 Uhr (1x Editiert)
Inaktiv
|
SilentRunner666
Thread-Ersteller


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Antwort: 5 - 28.11.2011 um 21:02 Uhr
Hab sie eben an dich gesendet


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 6 - 28.11.2011 um 21:13 Uhr
Also die li.php gibt nur die Infos über deinen Server aus, und sendet diesen an einen bestimmte Url.
Ich gehe mal davon aus, dass er das auch zwischenspeichert, um weiteres durchzuführen.

Wichtiger ist es jetzt, eigentlich herauszufinden, wie die li.php auf den space kam.
Aber um das rauszufinden, müsste man diverse Logs durchkramen. Und sowas kostet sehr viel Zeit.

Wie ich sehe, hast du die access schon deaktiviert.
Die könnte durch einen Eingriff ins System eingespielt worden sein. Eine CSP htaccess ist es nicht.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
SilentRunner666
Thread-Ersteller


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Antwort: 7 - 28.11.2011 um 21:20 Uhr
Danke Danke für deine schnellen Antworten

Was sagt die Seite den jetzt über Proxy?


Inaktiv
|
ev0lution


Geekboy





Beiträge: 1103
# Antwort: 8 - 28.11.2011 um 21:22 Uhr
28.11.2011 um 21:13 Uhr - Fr33z3m4n:
Wie ich sehe, hast du die access schon deaktiviert.
.


------------------


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 9 - 28.11.2011 um 21:24 Uhr
28.11.2011 um 21:20 Uhr - SilentRunner666:
Danke Danke für deine schnellen Antworten

Was sagt die Seite den jetzt über Proxy?

light-of-alliance.de -> Wartungsarbeiten
the-orders-of-souls.com -> Normale Webseitendarstellung

Aber wie gesagt, das Thema ist noch nicht vom Tisch. So lange du Nicht die Lücke gefunden hast, kann das jeden Tag wieder passieren.


//EDIT: Wobei ich mich doch frage, was es einem bringt, bestimmte Netzwerke zu blockieren. Den Sinn dahinter versteh ich nicht.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Zuletzt editiert von Fr33z3m4n ClanSphere Team am 28.11.2011 um 21:26 Uhr (1x Editiert)
Inaktiv
|
SilentRunner666
Thread-Ersteller


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Antwort: 10 - 28.11.2011 um 21:28 Uhr
Also die li.php lag im Resized Ordner in dem eigentlich nur verkleinerte Bilder aus dem Guestbook liegen.


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 11 - 28.11.2011 um 21:31 Uhr
28.11.2011 um 21:28 Uhr - SilentRunner666:
Also die li.php lag im Resized Ordner in dem eigentlich nur verkleinerte Bilder aus dem Guestbook liegen.

Dann schau doch mal ins Gästebuch, ob dort irgendwo ein Eintrag mit einem image vorhanden ist, was nciht angezeigt werden kann.

Ansonsten sag mir bei welcher Page, und wenn es die im Wartungsmodus ist, gib mal Zugangsdaten, damit ich dort mal reingucken kann.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
SilentRunner666
Thread-Ersteller


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Antwort: 12 - 28.11.2011 um 21:39 Uhr
Ist die Seite im Wartungsmodus. Zugangsdaten schick ich dir sofort.


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 13 - 28.11.2011 um 21:47 Uhr
28.11.2011 um 21:28 Uhr - SilentRunner666:
Also die li.php lag im Resized Ordner in dem eigentlich nur verkleinerte Bilder aus dem Guestbook liegen.

Kannst du mir den genauen Pfad nennen ?


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
SilentRunner666
Thread-Ersteller


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Antwort: 14 - 28.11.2011 um 21:57 Uhr
Welchen Pfad? Den zum Resized? Weil den habe ich nie festgelegt


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 15 - 28.11.2011 um 21:59 Uhr
Öhm,
bevor wir hier jetzt irgendwie weitermachen.
Update CSP aber mal schleunigst auf die neuste Version.
CSP v. 2009.0 RC2 zu nutzen, ist genauso grob Fahrlässig
Leider gab es in den älteren Versionen einige Exploits. Ohne die Serverlogs nun zu durchforsten, würde ich mal glatt darauf tippen, dass ein Exploit dafür ausgenutzt wurde.

Also: als erstes UPDATEN !!!!!!!


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
SilentRunner666
Thread-Ersteller


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Antwort: 16 - 28.11.2011 um 22:05 Uhr
Gibts zum updaten irgenwo ne Anleitung ? Trau mich da nicht so wirklich ran...

Und VIELEN DANK für deine Hilfe Patrick hast was gut bei mir wohnen ja nicht so weit auseinander


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 17 - 28.11.2011 um 22:07 Uhr
Anleitung: http://wiki.csphere.eu/ClanSphere_Update_2008_2009
Die Angabe der Versionsnummern ist hier in der Anleitung erstmal zu missachten.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Zuletzt editiert von Fr33z3m4n ClanSphere Team am 28.11.2011 um 22:07 Uhr (1x Editiert)
Inaktiv
|
SilentRunner666
Thread-Ersteller


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Antwort: 18 - 28.11.2011 um 22:11 Uhr
Kann ich sofort auf die neuste Version updaten oder Step by Step ?


Inaktiv
|
Tress13


Highlander




Herkunft: Lüdenscheid
Beiträge: 3048
# Antwort: 19 - 28.11.2011 um 22:41 Uhr
Jede sql-Datei der Reihe nach importieren.
Und das ab deiner jetzigen Version. Keine vergessen !

FTP-Daten kannst du direkt die aktuellste CS-Version nehmen.


------------------


www.iv-gaming.de | www.iv-artwork.de

Inaktiv
|
SilentRunner666
Thread-Ersteller


Wannabe poster



Herkunft: Münster
Beiträge: 24
# Antwort: 20 - 28.11.2011 um 22:57 Uhr
Danke Tress


Inaktiv
|
Antworten: 24
Seite [1] 2 >


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo