AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Angriff auf Webspace?

Ein Thema von Luckie · begonnen am 2. Sep 2015 · letzter Beitrag vom 2. Sep 2015
Antwort Antwort
Seite 1 von 2  1 2   
Benutzerbild von Luckie
Luckie
(Moderator)

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#1

Angriff auf Webspace?

  Alt 2. Sep 2015, 02:10
Ich administriere ein Forum und ein Wiki. Es ist ein Webspace von 1&1. Forum und Wiki nutzen die selbe DB. Version Forum: phpBB 3.1.3. Version Wiki: MediaWiki, aktuelle Version von vor 2 Monaten. Also in den Konfigurationsdateien vom Forum und Wiki sind die gleichen Zugangsdaten für die DB hinterlegt.
Verzeichnisstruktur:
/1u1/born/forum
/1u1/born/wiki

Folgendes Problem: Alle 15 Minuten oder so ändert sich das Passwort zur DB. Setze ich es zurück auf die in den Konfigurationsdateien eingetragen Dateien, funktioniert es ca. 15 Minuten. Dann bekomme ich vom Forum und dem Wiki wieder die Meldung, dass der DB-Benutzer keinen Zugriff auf die DB hat. Logisch, das DB-Passwort wurde geändert.

Für mich ergeben sich zwei mögliche Szenarien, um das Passwort der DB zu ändern:
1. Jemand hat Zugriff auf den Controlcenter von 1&1 und ändert über den Controlcenter das DB-Passwort.
2. Jemand hat auf den Webspace ein Script hochgeladen, welches in Intervallen aufgerufen wird und das DB-Passwort ändert.

Zu 1.: Eher unwahrscheinlich, da das PW auch geändert wurde während ich im Controlcenter eingeloggt war. Und es kann sich immer nur einer anmelden.
Zu 2.: Script. Ich haben den Ordner umbenannt und die Subdomain auf den neuen Order umgeleitet. Ein Aufruf des Scripts sollte über den Browser nicht mehr möglich sein. Die neue Subdomain und den neuen Ordner, auf dem die neun Subdomain zeigt, kenne nur ich.

Ich habe jetzt den Ordner /1u1/born Passwort geschützt über den Conrolcenter von 1&1. Und bisher scheint es zu funktionieren. Also ich kann Beiträge verfassen ohne, dass die Meldung kommt, dass der DB-Benutzer keine Zugriffsrechte auf die DB hätte. Das ist nur keine Lösung.

3. Cron-Job: Ich kann im Controlcenter von 1&1 nichts finden, wo man Cron-Jobs einrichten könnte.

Auf welche Art und Weise kann das DB-Passwort noch geändert werden? Anhhlatspunkt: Ordner PW geschützt, keine Probleme mehr.
Michael
Ein Teil meines Codes würde euch verunsichern.

Geändert von Luckie ( 2. Sep 2015 um 02:16 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.532 Beiträge
 
#2

AW: Angriff auf Webspace?

  Alt 2. Sep 2015, 08:54
Option 3: Eine SQL Injection Attacke. Irgend eine Funktion des Blogs oder des Forums lässt SQL in url-parametern oder POST-Daten 1:1 an die Datenbank durch, ohne das zu escapen.
Bei MySQL ist es relativ einfach das password des aktuellen Users zu ändern: SET PASSWORD = neuesPw. Das kann man sehr einfach unterjubeln wenn eine Software SQL Injections zulässt.

Um das herauszufinden schau einfach mal in die Http-Logs und suche dort nach "SET PASSWORD".
Sebastian P.R. Gingter
不死鳥 Visit my Blog.
Do not argue with an idiot. They lower you to their level and then try to beat you with experience.
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie
(Moderator)

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#3

AW: Angriff auf Webspace?

  Alt 2. Sep 2015, 10:11
Ok, das wäre noch eine Möglichkeit. Und per MySQL kann man auch das Passwort der Datenbank ändern?
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Perlsau
(Gast)

n/a Beiträge
 
#4

AW: Angriff auf Webspace?

  Alt 2. Sep 2015, 10:18
@Lucky:
  1. Hast du mal bei 1&1 nachgefragt? Wenn es ein Angriff ist, bemerken vielleicht auch andere User derartige Merkwürdigkeiten.
  2. Kannst du herausfinden, welches Passwort da immer neu gesetzt wird? Oder anders gefragt: Ist es immer dasselbe Passwort?
  3. Hast du dein Passwort für den Zugang zum ControlCenter bereits geändert? Wenn ja, kann eigentlich nur jemand von 1&1 intern Zugriff darauf nehmen, womit wir wieder bei #1 wären ...

Es soll in der Tat Menschen geben, die Vertrauen mißbrauchen. Jawoll!
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#5

AW: Angriff auf Webspace?

  Alt 2. Sep 2015, 10:25
Ok, das wäre noch eine Möglichkeit. Und per MySQL kann man auch das Passwort der Datenbank ändern?
Schau mal hier:https://dev.mysql.com/doc/refman/5.0...-password.html
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie
(Moderator)

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#6

AW: Angriff auf Webspace?

  Alt 2. Sep 2015, 11:05
Es ist leider nicht mein Webspace. Und angeblich wurde schon mit dem Support von 161 gesprochen. Das Passwort vom Controlcenter wurde mittlerweile geändert und dass vom FTP-Zugang auch. Trotzdem wurde das DB-Passwort wieder geändert ohne unser Zutun.

Ich hatte dann den Ordner umbenannt und die Subdomain auf den neuen Ordner umgeleitet. Wieder wurde das DB-Passwort geändert. Dann habe ich eine neue Subdomain angelegt und auf den Ordner zeigen lassen. Wieder wurde das DB-Passwort geändert. Erst als ich den Ordner mit einem htaccess Passwort geschützt habe, fanden keine Änderungen mehr statt.

Ich muss mal sehen, ob ich im Controlcenter irgendwo die HTTP-Logs finde.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von haentschman
haentschman

Registriert seit: 24. Okt 2006
Ort: Seifhennersdorf / Sachsen
4.830 Beiträge
 
Delphi 10.1 Berlin Professional
 
#7

AW: Angriff auf Webspace?

  Alt 2. Sep 2015, 11:23
Hallo Luckie,

im Control-Center findest du die nicht. Du mußt via FTP auf den Webspace.
Miniaturansicht angehängter Grafiken
log.png  
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie
(Moderator)

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#8

AW: Angriff auf Webspace?

  Alt 2. Sep 2015, 12:23
Ich kann in den Logdateien der letzten Tage und von gestern, wo es ja auch passiert ist, leider kein "SET PASSWORD" finden.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Daniel
(Administrator)

Registriert seit: 30. Mai 2002
Ort: Hamburg
15.478 Beiträge
 
Delphi 10.4 Sydney
 
#9

AW: Angriff auf Webspace?

  Alt 2. Sep 2015, 12:27
Wie umfangreich ist denn die Installation auf dem Webspace? Hast Du eine Chance, nach "fremden" PHP-Skripten zu suchen? Sei es über das Datei-Datum, Datei-Rechte?
Möglicherweise hat jemand sein Script auf Deinem Webspace abgelegt.

Gibt es eigentlich außer dem DB-Passwort noch andere Symptome? Das allein erscheint mir etwas mau. Ich verstelle ja nicht ein DB-Passwort, nur um wen zu ärgern. Normalerweise will ich ja die Kontrolle über die DB übernehmen und z.B. Daten abgreifen.
Daniel R. Wolf
Admin Delphi-PRAXiS
mit Grüßen aus Hamburg
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.802 Beiträge
 
Delphi 10.4 Sydney
 
#10

AW: Angriff auf Webspace?

  Alt 2. Sep 2015, 12:30
Aber auch dann wäre es unauffälliger einen weiteren Benutzer anzuleegn und dem entsprechende Rechte einzuräumen. Aber vielelicht lässt das System da ja auch nicht zu.
Markus Kinzler
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2   

Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:47 Uhr.
Powered by vBulletin® Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf