Angriff auf Webspace?
 

Ich administriere ein Forum und ein Wiki. Es ist ein Webspace von 1&1. Forum und Wiki nutzen die selbe DB. Version Forum: phpBB 3.1.3. Version Wiki: MediaWiki, aktuelle Version von vor 2 Monaten. Also in den Konfigurationsdateien vom Forum und Wiki sind die gleichen Zugangsdaten für die DB hinterlegt.
Verzeichnisstruktur:
/1u1/born/forum
/1u1/born/wiki

Folgendes Problem: Alle 15 Minuten oder so ändert sich das Passwort zur DB. Setze ich es zurück auf die in den Konfigurationsdateien eingetragen Dateien, funktioniert es ca. 15 Minuten. Dann bekomme ich vom Forum und dem Wiki wieder die Meldung, dass der DB-Benutzer keinen Zugriff auf die DB hat. Logisch, das DB-Passwort wurde geändert.

Für mich ergeben sich zwei mögliche Szenarien, um das Passwort der DB zu ändern:
1. Jemand hat Zugriff auf den Controlcenter von 1&1 und ändert über den Controlcenter das DB-Passwort.
2. Jemand hat auf den Webspace ein Script hochgeladen, welches in Intervallen aufgerufen wird und das DB-Passwort ändert.

Zu 1.: Eher unwahrscheinlich, da das PW auch geändert wurde während ich im Controlcenter eingeloggt war. Und es kann sich immer nur einer anmelden.
Zu 2.: Script. Ich haben den Ordner umbenannt und die Subdomain auf den neuen Order umgeleitet. Ein Aufruf des Scripts sollte über den Browser nicht mehr möglich sein. Die neue Subdomain und den neuen Ordner, auf dem die neun Subdomain zeigt, kenne nur ich.

Ich habe jetzt den Ordner /1u1/born Passwort geschützt über den Conrolcenter von 1&1. Und bisher scheint es zu funktionieren. Also ich kann Beiträge verfassen ohne, dass die Meldung kommt, dass der DB-Benutzer keine Zugriffsrechte auf die DB hätte. Das ist nur keine Lösung.

3. Cron-Job: Ich kann im Controlcenter von 1&1 nichts finden, wo man Cron-Jobs einrichten könnte.

Auf welche Art und Weise kann das DB-Passwort noch geändert werden? Anhhlatspunkt: Ordner PW geschützt, keine Probleme mehr.

AW: Angriff auf Webspace?
 

Option 3: Eine SQL Injection Attacke. Irgend eine Funktion des Blogs oder des Forums lässt SQL in url-parametern oder POST-Daten 1:1 an die Datenbank durch, ohne das zu escapen.
Bei MySQL ist es relativ einfach das password des aktuellen Users zu ändern: SET PASSWORD = neuesPw. Das kann man sehr einfach unterjubeln wenn eine Software SQL Injections zulässt.

Um das herauszufinden schau einfach mal in die Http-Logs und suche dort nach "SET PASSWORD".

AW: Angriff auf Webspace?
 

Ok, das wäre noch eine Möglichkeit. Und per MySQL kann man auch das Passwort der Datenbank ändern?

AW: Angriff auf Webspace?
 

@Lucky:

1. Hast du mal bei 1&1 nachgefragt? Wenn es ein Angriff ist, bemerken vielleicht auch andere User derartige Merkwürdigkeiten.
2. Kannst du herausfinden, welches Passwort da immer neu gesetzt wird? Oder anders gefragt: Ist es immer dasselbe Passwort?
3. Hast du dein Passwort für den Zugang zum ControlCenter bereits geändert? Wenn ja, kann eigentlich nur jemand von 1&1 intern Zugriff darauf nehmen, womit wir wieder bei #1 wären ...

Es soll in der Tat Menschen geben, die Vertrauen mißbrauchen. Jawoll!

AW: Angriff auf Webspace?
 

Schau mal hier:https://dev.mysql.com/doc/refman/5.0...-password.html

AW: Angriff auf Webspace?
 

Es ist leider nicht mein Webspace. Und angeblich wurde schon mit dem Support von 161 gesprochen. Das Passwort vom Controlcenter wurde mittlerweile geändert und dass vom FTP-Zugang auch. Trotzdem wurde das DB-Passwort wieder geändert ohne unser Zutun.

Ich hatte dann den Ordner umbenannt und die Subdomain auf den neuen Ordner umgeleitet. Wieder wurde das DB-Passwort geändert. Dann habe ich eine neue Subdomain angelegt und auf den Ordner zeigen lassen. Wieder wurde das DB-Passwort geändert. Erst als ich den Ordner mit einem htaccess Passwort geschützt habe, fanden keine Änderungen mehr statt.

Ich muss mal sehen, ob ich im Controlcenter irgendwo die HTTP-Logs finde.

AW: Angriff auf Webspace?
 

Hallo Luckie,

im Control-Center findest du die nicht. Du mußt via FTP auf den Webspace. :wink:

AW: Angriff auf Webspace?
 

Ich kann in den Logdateien der letzten Tage und von gestern, wo es ja auch passiert ist, leider kein "SET PASSWORD" finden.

AW: Angriff auf Webspace?
 

Wie umfangreich ist denn die Installation auf dem Webspace? Hast Du eine Chance, nach "fremden" PHP-Skripten zu suchen? Sei es über das Datei-Datum, Datei-Rechte?
Möglicherweise hat jemand sein Script auf Deinem Webspace abgelegt.

Gibt es eigentlich außer dem DB-Passwort noch andere Symptome? Das allein erscheint mir etwas mau. Ich verstelle ja nicht ein DB-Passwort, nur um wen zu ärgern. Normalerweise will ich ja die Kontrolle über die DB übernehmen und z.B. Daten abgreifen.

AW: Angriff auf Webspace?
 

Aber auch dann wäre es unauffälliger einen weiteren Benutzer anzuleegn und dem entsprechende Rechte einzuräumen. Aber vielelicht lässt das System da ja auch nicht zu.

AW: Angriff auf Webspace?
 

Es ist, wie gesagt, nicht mein Webspace. Ich hatte mich dummer weise nur bereit erklärt, denen das Forum und Wiki zu installieren.

Vor ein paar Wochen haben Spamer deren Wiki komplett zu gespamt. Die Hauptseite wurde über 10.000 mal geändert und es gab mehrere 1.000 neue Benutzer. Das Wiki habe ich jetzt komplett dicht gemacht. Seitdem ist diesbezüglich Ruhe.

Andere Symptome habe ich noch nicht festgestellt, außer dass eben das DB-Passwort geändert wurde. Aber wie schon gesagt, seit der Ordner Passwort geschützt ist, passiert das nicht mehr.

Gibt es irgendwie Software, mit der man so Loghdateien auswerten kann? Der Plaintext im Editor ist doch etwas unübersichtlich.

Auf dem Server liegt sehr viel Mist. Weil da in der Vergangenheit wohl schon sehr viele was dran gemacht haben. Zudem wird der Webspace beruflich als auch privat genutzt. Da was zu finden, ist mehr als schwierig. Zumal die Person teilweise selbst nicht weiß, was sich hinter den einzelnen Ordner verbirgt, zu was sie gehören, wer sie erstellt hat und zu welchen Zweck.

AW: Angriff auf Webspace?
 

Hallo Luckie,

wenn ich das

lese, dann kann ich nur empfehlen Alles (inklusive DB) vom Webspace runterladen und in eine VM ohne Internetzugang packen. Alles im Webspace löschen und dann Stück für Stück neu aufbauen. Neue Subdomains (getrennt für Privat und Beruflich), neue Passwörter, neue DB, neue Installationen vom Forum und Wiki, nur die Inhalte vom alten Webspace übernehmen die wirklich noch gebraut werden und dabei jede Datei, jede Skriptzeile genau anschauen. Wenn man eine Skriptzeile nicht versteht, dann löschen.

Das eigentliche Setzen des DB-Passwortes kann auch in der Datenbank geschehen. Auch vorstellbar ist, dass der Befehl verschlüsselt ist, um ihn schwerer zu finden.

einbeliebigername.

AW: Angriff auf Webspace?
 

Das werde ich bestimmt nicht machen. Ich wurde nur gebeten das Forum und Wiki zu installieren. Mit dem rest hab eich nichts zu tun. Mit der Zeitung, Shop und was weiß ich, was da noch alles auf dem Webspace ist.

AW: Angriff auf Webspace?
 

Probier doch mal das Wiki vom Netz zu nehmen und schau ob das dann immer noch passiert. Wenn ja, dann mach das gleiche mit dem Forum und aktiviere dafür das Wiki. Quasi per Ausschlussverfahren testen wo die Ursache liegt.

AW: Angriff auf Webspace?
 

Ich denke, dass Du genau das klar kommunizieren und Dich dann distanzieren solltest. Ich sehe da die Parallelen zu einem mit Viren befallenen PC - sichern, was zu sichern ist und den Rest ins digitale Nirvana senden. Es ist klar, dass man das nicht nebenbei machen kann - ich sehe nach Deiner Schilderung nur wenig Chancen, hier wieder zu einem absolut verlässlichen Zustand zu gelangen.

AW: Angriff auf Webspace?
 

Das werde ich auch tun. Mir fällt nichts mehr ein und das habe ich denen schon mitgeteilt.

Und das man den Webspace eigentlich komplett neu machen müsste, habe ich denen auch schon gesagt.