Antworten: 24
|
|
SilentRunner666 Wannabe poster Herkunft: Münster Beiträge: 24 |
# Thema - 28.11.2011 um 19:08 Uhr
Moinsen, letzte Woche erhielten unsere Member folgende Meldung : Forbidden You don't have permission to access / on this server. ( Threat dazu : http://www.csphere.eu/forum/board/thread/where/16287/start/0 ) Diese Meldung betraf / betrifft nur Member und Besucher aus dem Ausland und für Member sowie Besucher aus Deutschland öffnete sich die Website ( http://www.the-orders-of-souls.com ) nur in Zeitlupe. Strato teilte mir nach drei Tagen mit das sich ein PHP Script in den Resized Ordner meiner zweiten Website ( http://www.light-of-alliance.de/ ) eingeschlichen hat welches zu einer erhöhten Serverauslastung führt. Name des Scripts : li.php will das Script hier nicht unbedingt posten... Also habe ich dieses Script gelöscht, nach versteckten Dateien gesucht (keine gefunden) und die Seite ( http://www.light-of-alliance.de/ ) in den Wartungsmodus gesetzt. Ich dachte damit ist das Problem gelöst...nö...nun ist die Seite www.the-orders-of-souls.com wieder normal zu erreichen aber nur für Leute aus Deutschland und für alle andern Nationen kommt noch immer die Meldung : Forbidden You don't have permission to access / on this server. Strato hat es heute über einen Proxy-Server probiert und sieht die gleiche Meldung. Die Frage ist nun hab ich etwas übersehen (da Strato mich auch noch auf .htaccess Dateien hingewiesen hat) oder liegt es an Strato? Ich bin mit meinem Latein echt am ende angelangt. Vielen Dank für Tips, Infos und Hilfe schonmal im voraus. LG Silent |
Inaktiv |
|
ev0lution Geekboy Beiträge: 1103 |
# Antwort: 1 - 28.11.2011 um 19:25 Uhr
steht irgendwas in deiner blocklist ? /index.php?mod=contact&action=blocklist ps: weiss aber nicht ob es überhaupt damit zusammenhängen kann. habe nur die optionen nach evtl Blocklisten durchstöbert und auf die Funktion gestoßen. ------------------ Zuletzt editiert von ²waq am 28.11.2011 um 19:26 Uhr (1x Editiert) |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 2 - 28.11.2011 um 19:50 Uhr
Strato teilte mir nach drei Tagen mit das sich ein PHP Script in den Resized Ordner meiner zweiten Website ( http://www.light-of-alliance.de/ ) eingeschlichen hat welches zu einer erhöhten Serverauslastung führt. Name des Scripts : li.php Das Script einfach so zu löschen, war keine realtiv gute idee. Denn dieses Script könnte Aufschluss darüber geben, wer da dein Account gehackt hat. Des weiteren rät man bei solchen Aktionen, in Server-Bereichen zur Stillegung des Roots (also vom Netz nehmen), nach der Ursache zu suchen, den Server neu aufsetzen, und die offene Stelle, die mangefunden hat, stopfen/fixen korrigieren etc. Da deine Page nun wieder teilweise nicht erreichbar ist, gehe ich davon aus, dass die besagte Lücke immer noch vorhanden ist. Es kann ein Modul sein, es könnte das Explorer-Modul sein, aber auch dein PC, auf dem das FTP PW ausgespäht wurde. Wenn du dein FTP Pw nicht geändert hat, könnte der Hacker sich somit weiterhin Zugriff auf deinen Webspace verschaffen. Es gibt hier jetzt unzählige Szenarien die zutreffen könnten. Wichtig ist aber erstmal ,dass du die Page vom Netz nimmst. Sperr Sie mit einem htaccess Schutz, oder leg Sie komplett lahm. Lade den kompletten Inhalt runter, durchsuche ihn dabei nach Viren/Trojaner auf deinem PC. Sollte ein Anti-Vir Programm anspringen, weißt du bescheid. Dann kannst du im Internet nach diesem Virus suchen, ggf. findest du Anlaufstellen, wo es dazu weitere Informationen gibt. Sollte dein Anti-Vir nicht anspringen, durchsuch jegliche PHP Dateien im Kopfbereich nach verdächtigen Stellen. Gerne unterstütze ich dich bei der Suche, gegen eine gewisse Gegenleistung. //Edit: @²waq Nein, die Blocklisten gelten nur für E-Mail-Adressen. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. Zuletzt editiert von Fr33z3m4n am 28.11.2011 um 19:51 Uhr (1x Editiert) |
Inaktiv |
|
SilentRunner666 Thread-Ersteller Wannabe poster Herkunft: Münster Beiträge: 24 |
# Antwort: 3 - 28.11.2011 um 20:44 Uhr
Hi Fr33z3m4n, also das Script hab ich noch und kann es auch posten falls es nützlich ist. Runtergeladen und gescannt hab ich auch alles : Keine Funde. FTP PW ausgespäht : Ne nicht wirklich, benutze einen zweiten Rechner dafür der nur diesem Zweck dient und auch sauber ist. Ich habe aber eine .htaccess gefunden die ca.2.4 mb gross ist und in der Länder nebst IP als deny angegeben werden bin mir aber nicht sicher ob die zu Clanshere gehört oder nicht. |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 4 - 28.11.2011 um 20:50 Uhr
Ich habe aber eine .htaccess gefunden die ca.2.4 mb gross ist und in der Länder nebst IP als deny angegeben werden bin mir aber nicht sicher ob die zu Clanshere gehört oder nicht. Nein. Genau das ist das Problem, was du hast. Hatte gerade selber mit einem Proxy getestet. Das hauptverzeichnis sowie weitere Unterverzeichnisse werden durch die htaccess gesperrt. Kannst ja gerne mal die htaccess posten oder per msg/email an mich weiterleiten, genauso das besagte Script. //EDIT achja, änder erstmal den Namen der htaccess. am besten vorne den Punkt wegnehmen, damit ist die Regel erstmal deaktiviert. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. Zuletzt editiert von Fr33z3m4n am 28.11.2011 um 20:51 Uhr (1x Editiert) |
Inaktiv |
|
SilentRunner666 Thread-Ersteller Wannabe poster Herkunft: Münster Beiträge: 24 |
# Antwort: 5 - 28.11.2011 um 21:02 Uhr
Hab sie eben an dich gesendet |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 6 - 28.11.2011 um 21:13 Uhr
Also die li.php gibt nur die Infos über deinen Server aus, und sendet diesen an einen bestimmte Url. Ich gehe mal davon aus, dass er das auch zwischenspeichert, um weiteres durchzuführen. Wichtiger ist es jetzt, eigentlich herauszufinden, wie die li.php auf den space kam. Aber um das rauszufinden, müsste man diverse Logs durchkramen. Und sowas kostet sehr viel Zeit. Wie ich sehe, hast du die access schon deaktiviert. Die könnte durch einen Eingriff ins System eingespielt worden sein. Eine CSP htaccess ist es nicht. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
|
SilentRunner666 Thread-Ersteller Wannabe poster Herkunft: Münster Beiträge: 24 |
# Antwort: 7 - 28.11.2011 um 21:20 Uhr
Danke Danke für deine schnellen Antworten Was sagt die Seite den jetzt über Proxy? |
Inaktiv |
|
ev0lution Geekboy Beiträge: 1103 |
# Antwort: 8 - 28.11.2011 um 21:22 Uhr
28.11.2011 um 21:13 Uhr - Fr33z3m4n: Wie ich sehe, hast du die access schon deaktiviert.
. ------------------ |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 9 - 28.11.2011 um 21:24 Uhr
28.11.2011 um 21:20 Uhr - SilentRunner666: Danke Danke für deine schnellen Antworten Was sagt die Seite den jetzt über Proxy? light-of-alliance.de -> Wartungsarbeiten the-orders-of-souls.com -> Normale Webseitendarstellung Aber wie gesagt, das Thema ist noch nicht vom Tisch. So lange du Nicht die Lücke gefunden hast, kann das jeden Tag wieder passieren. //EDIT: Wobei ich mich doch frage, was es einem bringt, bestimmte Netzwerke zu blockieren. Den Sinn dahinter versteh ich nicht. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. Zuletzt editiert von Fr33z3m4n am 28.11.2011 um 21:26 Uhr (1x Editiert) |
Inaktiv |
|
SilentRunner666 Thread-Ersteller Wannabe poster Herkunft: Münster Beiträge: 24 |
# Antwort: 10 - 28.11.2011 um 21:28 Uhr
Also die li.php lag im Resized Ordner in dem eigentlich nur verkleinerte Bilder aus dem Guestbook liegen. |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 11 - 28.11.2011 um 21:31 Uhr
28.11.2011 um 21:28 Uhr - SilentRunner666: Also die li.php lag im Resized Ordner in dem eigentlich nur verkleinerte Bilder aus dem Guestbook liegen. Dann schau doch mal ins Gästebuch, ob dort irgendwo ein Eintrag mit einem image vorhanden ist, was nciht angezeigt werden kann. Ansonsten sag mir bei welcher Page, und wenn es die im Wartungsmodus ist, gib mal Zugangsdaten, damit ich dort mal reingucken kann. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
|
SilentRunner666 Thread-Ersteller Wannabe poster Herkunft: Münster Beiträge: 24 |
# Antwort: 12 - 28.11.2011 um 21:39 Uhr
Ist die Seite im Wartungsmodus. Zugangsdaten schick ich dir sofort. |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 13 - 28.11.2011 um 21:47 Uhr
28.11.2011 um 21:28 Uhr - SilentRunner666: Also die li.php lag im Resized Ordner in dem eigentlich nur verkleinerte Bilder aus dem Guestbook liegen. Kannst du mir den genauen Pfad nennen ? ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
|
SilentRunner666 Thread-Ersteller Wannabe poster Herkunft: Münster Beiträge: 24 |
# Antwort: 14 - 28.11.2011 um 21:57 Uhr
Welchen Pfad? Den zum Resized? Weil den habe ich nie festgelegt |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 15 - 28.11.2011 um 21:59 Uhr
Öhm, bevor wir hier jetzt irgendwie weitermachen. Update CSP aber mal schleunigst auf die neuste Version. CSP v. 2009.0 RC2 zu nutzen, ist genauso grob Fahrlässig Leider gab es in den älteren Versionen einige Exploits. Ohne die Serverlogs nun zu durchforsten, würde ich mal glatt darauf tippen, dass ein Exploit dafür ausgenutzt wurde. Also: als erstes UPDATEN !!!!!!! ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
|
SilentRunner666 Thread-Ersteller Wannabe poster Herkunft: Münster Beiträge: 24 |
# Antwort: 16 - 28.11.2011 um 22:05 Uhr
Gibts zum updaten irgenwo ne Anleitung ? Trau mich da nicht so wirklich ran... Und VIELEN DANK für deine Hilfe Patrick hast was gut bei mir wohnen ja nicht so weit auseinander |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 17 - 28.11.2011 um 22:07 Uhr
Anleitung: http://wiki.csphere.eu/ClanSphere_Update_2008_2009 Die Angabe der Versionsnummern ist hier in der Anleitung erstmal zu missachten. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. Zuletzt editiert von Fr33z3m4n am 28.11.2011 um 22:07 Uhr (1x Editiert) |
Inaktiv |
|
SilentRunner666 Thread-Ersteller Wannabe poster Herkunft: Münster Beiträge: 24 |
# Antwort: 18 - 28.11.2011 um 22:11 Uhr
Kann ich sofort auf die neuste Version updaten oder Step by Step ? |
Inaktiv |
|
Tress13 Highlander Herkunft: Lüdenscheid Beiträge: 3048 |
# Antwort: 19 - 28.11.2011 um 22:41 Uhr
Jede sql-Datei der Reihe nach importieren. Und das ab deiner jetzigen Version. Keine vergessen ! FTP-Daten kannst du direkt die aktuellste CS-Version nehmen. ------------------ www.iv-gaming.de | www.iv-artwork.de |
Inaktiv |
|
SilentRunner666 Thread-Ersteller Wannabe poster Herkunft: Münster Beiträge: 24 |
# Antwort: 20 - 28.11.2011 um 22:57 Uhr
Danke Tress |
Inaktiv |
|
Antworten: 24
|
Sie müssen sich registrieren, um zu antworten. |