CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://forum.contenido.org/

Conentido hacked by TURKISH DEFACERS!

https://forum.contenido.org/viewtopic.php?f=108&t=12922

Seite 1 von 2

Conentido hacked by TURKISH DEFACERS!

Verfasst: Fr 19. Mai 2006, 17:53
von firstlevel
Servus,

mein Contenido ist gehacked wurden mit einer Startseite ala
HACKED !

By RudeBoy & xYz

TURKISH DEFACERS!

NoBody HACKER !
Ist das ein Einzelfall oder noch jemanden bekannt ? Im Prinzip kann ich doch jetzt alles neu machen oder ?

Edit rezeptionist:
Da bestimmt einige über diesen Thread stolpern bitten wir alle User die noch auf einer Version vor der 4.6.8 installiert haben, dieselbige Upzudaten.

Re: Conentido hacked by TURKISH DEFACERS!

Verfasst: Fr 19. Mai 2006, 17:58
von mvf
lass uns wissen was für eine version du nutzt, mher infos wären nicht schlecht
firstlevel hat geschrieben: Im Prinzip kann ich doch jetzt alles neu machen oder ?
nicht wirklich, mach schnell ein backup der DB, sollteste eh haben
da ist dass meisste drin

Verfasst: Fr 19. Mai 2006, 18:05
von firstlevel
servus, ich bin gerade am infos sammeln und backupen. im einsatz auf der domain ist 4.6.4. in den logs etc. ist momentan schwer etwas erkennbar. was genau sind noch für infos relevant ?

Verfasst: Fr 19. Mai 2006, 18:06
von mvf
firstlevel hat geschrieben:servus, ich bin gerade am infos sammeln und backupen. im einsatz auf der domain ist 4.6.4. in den logs etc. ist momentan schwer etwas erkennbar. was genau sind noch für infos relevant ?
das webserverlog wäre interessant dann siehst du wer von wo auf was zugegriffen hat, oder meinst du was für das backup relevant ist?

cms verzeichnis und die DB
vorausgestzt du hast das core nicht angefasst
plugins müsstest du dann auch noch manuell nachziehen

hast du im forum nicht die entwicklung zur 4.6.8. und dann 4.6.8.x verfolgt?

setze da neu auf, also auf der letzten 4.6.8.x von rezeptionist oder der 4.6.8_mr von stese, die auf eine 4.6.8.x meineswissens aufsetzt

Verfasst: Fr 19. Mai 2006, 18:11
von mvf
und bitte unbedingt mitteilen woran es lag, damit wir hier im board gleich nachziehen können

Verfasst: Fr 19. Mai 2006, 18:48
von Maribeauli
mvf hat geschrieben: und bitte unbedingt mitteilen woran es lag, damit wir hier im board gleich nachziehen können
Das waren keine Hacker, das waren Kiddys,

die eventuell über sysdamin oder admin und das default-PW gespielt haben.
Alles andere würde mich wundern.

Verfasst: Fr 19. Mai 2006, 19:10
von i-fekt
Maribeauli hat geschrieben:Das waren keine Hacker, das waren Kiddys,

die eventuell über sysdamin oder admin und das default-PW gespielt haben.
Alles andere würde mich wundern.
Kann ich mir nicht vorstellen, da das bei 4.6 selbst gewählt wird.

Verfasst: Fr 19. Mai 2006, 19:16
von Maribeauli
i-fekt hat geschrieben:
Maribeauli hat geschrieben:Das waren keine Hacker, das waren Kiddys,

die eventuell über sysdamin oder admin und das default-PW gespielt haben.
Alles andere würde mich wundern.
Kann ich mir nicht vorstellen, da das bei 4.6 selbst gewählt wird.
Erst ab 4.6.8.4 (Forums-Version)

Diese Art Hackerangriffe wurden ca. 12/2005-01/2006 bei einigen Seiten durchgeführt.
Meines Wissens (aber ohne Gewähr) ohne Schaden anzurichten, mehr als Info, just-for-fun, Mutprobe-...

Da sahen diese Hinweise aber andes aus, zumal rude_boy und Turkish defacers aus 2 verschiedenen "Lagern" kommen :lol:

Nachtrag:
Das PW für den admin wurde in der Version 4.6.4 noch als default gesetzt,
in der Version 4.6.8.4 wurde dann da was geändert.

Und nun Nachtrag 2:
Hier ist solch eine gehackte Seite:
http://www.heikobauer.de/

---> Mod: wenn es nicht richtig ist/war diese URL zu posten, bitte URL löschen!!!

Verfasst: Fr 19. Mai 2006, 20:03
von mvf
Maribeauli hat geschrieben: Das waren keine Hacker, das waren Kiddys, die eventuell über sysdamin oder admin und das default-PW gespielt haben.
Alles andere würde mich wundern.
kann ich mir eigentlich bei firstlevel nicht vorstellen, ist doch auch schon ein paar tage dabei.

andereseits kann ich auch nur immer wieder appelieren, das contenido verzeichnis .htaccess zuschützen, ein login mehr aber ein kunde wird wenn er hacking und sicherheit hört in der regel akzeptieren.

und natürlich, backup backup backup, am besten mit jobs automatisieren

würde mich trotzdem noch auf ein feedback von firstlevel freuen

Verfasst: Fr 19. Mai 2006, 20:21
von Maribeauli
mvf hat geschrieben:würde mich trotzdem noch auf ein feedback von firstlevel freuen
Ja, ich wäre auch interessiert zu erfahren wie und was da gelaufen ist.

Verfasst: Fr 19. Mai 2006, 21:06
von firstlevel
Servus,
in den Logs finde ich akt. nichts. Ca 200-500 Einträge pro Tag.

Einzigst was ich akt. rausgefunden habe ist das die config.php getauscht wurde und irgendwelch Header Infos getauscht wurden.
Sysadmin und Admin Usern wurden beide geändert. Default war da also nicht mehr.

Die Entwicklung von 4.6.4 auf 4.6.8 habe ich leider nicht mitverfolgt. War ein paar Tage außerhalb des Businesses und heute wo ich ein neues Layout machen woltle etwas irritiert das jemand schneller war als ich :)

Kiddys waren es, ja. Aber den Einstieg habe ich noch nicht gesehen bzw. gefunden. Bekomme seid dem Upadte auch header Fehler angezeigt (thread im inst. 4.6.x)

soweit erstmal von mir
B!

Verfasst: Fr 19. Mai 2006, 21:11
von mvf
firstlevel hat geschrieben:Einzigst was ich akt. rausgefunden habe ist das die config.php getauscht wurde ...
hattest du das contenido verzeichnis .htaccess geschützt?
if not, do that next time.

gute andere lösung wäre auch eine subdomain für das backend ;)

Verfasst: Fr 19. Mai 2006, 21:15
von firstlevel
das mit der subdomain funktionierte leider nie. nein ich hatte es nicht. aber auch dieses hat sich geändert. zusätzlich wird jetzt ein cronjob server aufgesetzt welcher alle 2 tage ein komplettes backup macht.

ich persönlich vermute evtl. ein phpbb forum über eine andere domain, welches dann nur zufällig contenido getroffen hat.aber die header infos machen mich ein wenig stutzig

Verfasst: Fr 19. Mai 2006, 22:57
von firstlevel
Ich könnt KOTZ...ich habe gerade alles neu gemacht und kein 5min ist das Ding wieder platt ! Aber so richtig .

Wen es interessiert, der neue Text ist
TURKISH HACKER

Hacked By R3D4C!D

ARE YOU SURE FROM THE SECURITY ?

BAZILARININ HESABINI BİZ SORARIZ !

While All Islam World regard with reverence to your prophet and address him as Hz. ISA A.S ( Christ ) ( putting a holy prefix in front of his name ), You keep abusing, Islam's almighty Prophet with disgusting and disgraceful cartoons using excuses of freedom of speech. No doubt, Hz. Isa ( Christ ) would dislike and hate your nation. We Will be Your Curse on Cyber World !

Verfasst: Fr 19. Mai 2006, 23:30
von firstlevel
Irgendwo, ich weiß nicht wo und wieso wird die config.php umgeschrieben in

Code: Alles auswählen

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE> Hacked By R3D4C!D </TITLE>
<META NAME="Generator" CONTENT="EditPlus">
<META NAME="Author" CONTENT="">
<META NAME="Keywords" CONTENT="">
<META NAME="Description" CONTENT="">
</HEAD>
<center>
<BODY Bgcolor=black>
<IMG SRC="http://r3d4cid.sitemynet.com/kaab4.jpg" WIDTH="500" HEIGHT="335" BORDER="0" ALT="TURKISH HACKER."><BR>
<font face=Arial Black size=5 color=white><b>TURKISH<font size=5 face=Arial Black color=red> HACKER</font></b>

<BR><BR>
<font color=red size=5 face="Franklin Gothic Medium">Hacked By R3D4C!D</font><BR><BR>
<font color=lime face="Franklin Gothic Medium" size=5>ARE YOU SURE FROM THE SECURITY ?</font><BR><BR>
<font color=white face="Franklin Gothic Medium" size=5>BAZILARININ HESABINI BİZ SORARIZ !</font>
<BR><BR>
<font color=lime size=4 face="Franklin Gothic Medium">While All Islam World regard with reverence to your prophet and address him as Hz. ISA A.S ( Christ ) ( putting a holy prefix in front of his name ), You keep abusing, Islam's almighty Prophet with disgusting and disgraceful cartoons using excuses of freedom of speech. No doubt, Hz. Isa ( Christ ) would dislike and hate your nation. We Will be Your Curse on Cyber World ! </font><BR><BR>
</font>
<EMBED 
src=http://hackturka.com/burak/r.swf hidden=true AUTOSTART="TRUE" 

LOOP="TRUE" width="1" height="1"> <NOEMBED><BGSOUND src="http://hackturka.com/burak/r.swf" 

loop=infinite></NOEMBED></EMBED>

</BODY>
</HTML>
</center>

<script language="Javascript1.2"> 
<!--
// please keep these lines on when you copy the source
// made by: Nicolas - http://www.javascript-page.com
var mymessage = "R3D4C!D tarafindan bu sitenin yayinina son verildi. HESAP GUNU GELDI CATTI !!!";
function rtclickcheck(keyp){
  if (navigator.appName == "Netscape" && keyp.which == 3) {
    alert(mymessage);
    return false;
  }
  if (navigator.appVersion.indexOf("MSIE") != -1 && event.button == 2) {
    alert(mymessage);
    return false;
  }
}
document.onmousedown = rtclickcheck
//--> 



</script>
<!-- Start add - Birthday MOD -->
<!-- End add - Birthday MOD -->
<script type="text/javascript">
<!--
window.status = "Hacked by R3D4C!D~~WaS HeRe";
// -->
</script>
den Angriff habe ich mittlerweile gefunden. Läuft über ein Shell Script, über ein anderes Script und wird irgendwie auf die root index datei umgeleitet
Alle Zeiten sind UTC+01:00
Seite 1 von 2

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de