nicht angemeldet
!!!Wichtig!!! Fremdzugriff?
Hi!
Ich hab einen Onlineshop, heute waren aber um 12.00 alle Zahlungen plötzlich bestätigt, ich hab am Anfang nen Scriptfehler vermutet, sicherheitshalber jedoch das pw umgestellt.
Jetzt wurden nochmal ein paar Zahlungen bestätigt, woraufhin ich fürs erste das ganze Adminteil mal rausgelöscht hab.
Interessanterweise sind (nur für diese eine Domain) auf keine Access-logs nach dem 9.Sept. verfügbar.
Also falls das ein Hacker war:
Welche Rechte braucht er um das machen zu können?
(Admin-Zugangspasswort stand im Klartext in der PHP-Login-Datei, ähnlich dem SELFHTML Sessionbassierten Loginsystem.
Ohne FTP-Zugriff kann er ja keine Access-logs löschen, oder?
Welche Möglichkeiten gibts sonst, was kann ich machen um das in Zukunft zu verhindern?
Vielen Dank
Thomas
-
Er kann auch über Telnet, SSH, HTTP, SMTP, IMAP oder sogar über einen rein datenbankbasierten Angriff die Log-Dateien löschen (sofern die DB mit entsprechenden Rechten außerhalb eines chroot läuft). Alles, was Zugang zur Festplatte und zum Netzwerk hat, kommt als Angriffsmöglichkeit in Betracht.
Prüfe am Besten mal Deine Scripte auf Möglichkeiten zu SQL Injections (klassischer Anfängerfehler). Ansonsten schau mal in die /etc/passwd, ob sich der Angreifer einen eigenen Account angelegt hat. Ändere sämtliche Passwörter auf einigermaßen sichere Kombinationen aus Buchstaben und Zahlen (mindestens 8 Zeichen, Groß- und Kleinschreibung gemischt, Sonderzeichen optional). Bringe solche Serverdienste, die nur beschränkten Plattenzugang brauchen, in einem chroot-jail unter.
Gruß, LX
--
X-Self-Code: sh:( fo:) ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: Unusual
X-Please-Search-Archive-First: Absolutely Yes-
Das is nicht mein eigener Server, sondern nur ein Webspace...
lg
-
Guten Tag,
Das is nicht mein eigener Server, sondern nur ein Webspace...
Dann solltest du unbedingt deinen Service Provider kontaktieren. Es kann ja sein, dass zwar dein Account betroffen ist, aber ein anderer Account für die Modifikationen verwendet wurde.
Gruß
Christoph Jeschke--
Zend Certified Engineer
-
-
-
(Admin-Zugangspasswort stand im Klartext in der PHP-Login-Datei, ähnlich dem SELFHTML Sessionbassierten Loginsystem.
Also dieser Teil ist sehr Kritisch finde ich.
Mein Vorschlag um zumindestens dein Loginname + PW zu schützen:$username = md5($_POST['username']); $passwort = md5($_POST['passwort']); // Benutzername und Passwort werden überprüft if ($username == "b8cc5d5da274bddee03c425b6269837e" && $passwort == "451a0b137a64a0997157646e8cf4b9a9") { $_SESSION['angemeldet'] = true;-
Wieso denn kritisch?
Wenn jemand zugriff auf den Server (und somit die PHP-Datei hat), braucht er das pw auch nimma ...
lg
-