gelöst - Was ist den da passiert - Homepage gecrackt???

[Phrosch]

Moin
ich hätte da mal eine Frage. Seht doch bitte mal unter www.physio-team.com - dort ist die Menüleiste seit eben verschwunden und ich bin als admin im BAckend deaktiviert und habe auf meine site keine "Macht" mehr. Habt ihr da eine Idee....

Danke

Hagen

p.s. mir brennt der Kittel

[antibart]

Das Menü?

Sorry - ich sehe gar nichts mehr außer "Adresse nicht gefunden" ...

sicher, dass der Link richtig ist?

Und warum die Abstimmung? Worüber wird denn da überhaupt abgestimmt?

[Rolf]

Hallo Phrosch

Vielleicht ist http://www.physio-team.com/ besser? 

When Ich http://www.physio-team.com/admin offnen will in meine Browser
seht man http://www.physio-team.com/kuehlschrank/login.php und nicht http://www.physio-team.com/admin/login.php

Haben Sie immer FTP möglichkeiten?
Sind da files geänderd? Siehe die files daten an...

Vielleicht können Sie hier etwas mit...

Schöne Gruszen aus die Niederlande

Rolf 

[Phrosch]

sorry - da war ein Buchstabendreher enthalten - jetzt ist aber OK?

Nun ich bin halt sehr unerfahren mit solchen "Feindlichen Übernahmen" deshalb weiß ich gar nicht wo ich anfangen soll zu reparieren.

Danke

Hagen

[antibart]

Schaun wir mal, ob es wiklrich ein HAck ist:



Was Rolf da erwähnt, ist in der Tat erstaunlich ... dass "admin" automatisch zu kuehlschrank redirected. Hast DU eine Erklärung dafür? Hast Du das selbst so eingerichtet und - wenn ja - warum?

Es ist sinnvoll, den Admin-ordner umzubenennen ... ein Redirect macht weniger Sinn.

BTW: wieso kann ich Post von User Rolf beim Editieren lesen, aber nicht in der nromalen Beitragsübersicht?

Auf jeden Fall scheint dort der Hase im Pfeffer zu liegen:

Wenn Du http://www.physio-team.com/admin öffnest
sieht man http://www.physio-team.com/kuehlschrank/login.php und nicht http://www.physio-team.com/admin/login.php

DAs könnte heißen: dein Backend ist gar nicht mehr dein Backend.

Schau mal hier:

http://forum.cmsmadesimple.org/index.ph ... 648.0.html

Und überprüf mal dein .htaccess auf Redirects zu "kuehlschrank" und dein config.php ...


...

[Phrosch]

das ist genau der Punkt. physio-team.com/admin    habe ich dann umgebau in ......com/kuehlschrank.
Habe das Verzeichnis umbenannt und auch alles in der config.php geändert. Im Backend habe ich als Admin keine Adminrechte mehr und bin sozusagen nur noch als autor unterwegs. Das ist doch bestimmt ein php-scipt (oder so etwas) eingeschleust worden oder so. Denn wenn mann ....com/admin eingibt war bis sonntag nicht zu sehen, dass es unter ...com/kuehlschrankt admnistriert wurde.

oder.......


danke

Hagen

[antibart]

Was ich nicht verstehe: wenn es den Ordner "admin" gar nicht mehr gibt, wie kann er dann zu "kuehlschrank" weiterleiten....? Bist Du sicher, ob Du config.php und ggfls .htaccess richtig modifiziert hast?

Besteht das Problem seit der Umbennung?

Das ist doch bestimmt ein php-scipt (oder so etwas) eingeschleust worden oder so.

Wie gesagt - lies mal den genannten Thread... dort kannst vieleicht HInweise bekommen, wie Du rausfionden kannst, ob und wie dein CMS gehackt wurde.


...

[Rolf]

Phrosch,

When Sie eine FTP backup machen, wird ihre virusscanner auch die files überprüfen
Für einige wochen her, hab ich jemand geholfen mit sortgleiche probleme.
Meine virusscanner fand zwei neue files die nichts zu tun haben mit unsere CMSms.
Diese files wirden for drei jahre da geplatzt und hatten viele files infectiert mit iframe und javascripts
Die site war ftp gehackt.

Entschuldige für meine Deutsch 

Rolf

[NaN]

Klingt alles sehr seltsam.
Es könnte auch sein, dass jemand Deinen Backendzugang durch Probieren geknackt hat (falls er zu einfach war) und Dich dann einer anderen Benutzergruppe zugeordnet hat.
Oder er hat den Zugang zur DB geknackt.
Oder wie Ronny sagte er hat den FTP Zugang (dann hat er alle Daten).
Sofern möglich, schau mal im Backend unter Benutzer, ob es da noch weitere Benutzer gibt und welchen Gruppen die angehören.

Vorgehensweise:

1. FTP Zugang ändern!

2. Datenbankzugang ändern!

3. Danach musst Du die config.php wieder anpassen (die neuen Zugangsdaten der Datenbank).
  also runterladen, ändern, vie FTP auf dem Server löschen und wieder hochladen.
  Achte darauf, dass die Config.php nach dem Hochladen die Zugriffsrechte 444 hat.

Wenn Du Zugang zur Datenbank hast (z.B. via phpMyAdmin), kannst Du das Problem mit dem Backendzugang auch "manuell" lösen.
Dazu musst Du nur in der Tabelle [Dein_Tabellen_Prefix]groups nachschauen welche ID die Gruppe "Admin" hat (dürfte 1 sein).
Dann schau in der Tabelle [Dein_Tabellen_Prefix]users nach welche Benutzer es dort gibt (und lösche ggf. fremde Benutzer).
Merke Dir dort die ID Deines Benutzernamens (dürfte auch 1 sein sofern Du der erste Benutzer bist der erstellt wurde).
Dann schau unter [Dein_Tabellen_Prefix]user_groups nach (und lösche ggf. Einträge mit einer unbekannten user_id).
Bearbeite den Eintrag mit Deiner user_id.
Ändere das Feld "group_id" und trage dort die ID Deiner Admin-Gruppe ein.
Jetzt solltest Du im Backend wieder Adminrechte haben.

Anschießend würde ich sofort Deine Backend-Zugangsdaten ändern.

Dann würde ich im Backend die Wartungmeldung aktivieren, das CMS komplett herunterladen und wie Ronny sagte überprüfen, ob da evtl. etwas eingeschleust wurde.

Viel Glück.

[Phrosch]

Also zunächst einmal muss ich Euch sagen, dass ich sehr erfreut über euer Engagement bin. Ich wiederhole mich nur ungern aber in meinem 1. Leben als Admin (bie Joo*la) habe ich eher einen dummen Spruch bekommen als solche Hilfsangebote.

Das dazu

...also ich bin sehr unsicher und fachlich - sagen wir mal - eher inkompetent. Daher meine Frage, kann ich nicht das letzte Backup der Homepage (ist 1 Woche alt und so wie es bis vorgestern war) komplett ins Rootverzeichnis uploaden, nachdem ich alles im rootverzeichnis des Server gelöscht habe und alle Passwörter und Zugänge neu verschlüsseln?????

Und nun noch etwas zu unserem Niederländischen Kollegen: Besonderen Dank auch an dich - Wenn ich so gut holländisch sprechen könnte wie du deutsch, dann wäre ich froh.

cu

Hagen

[Wurst]

Das wird nicht reichen. CMSMS basiert hauptsächlich auf Datenbank. Dort sind Inhalte, Templates und Zugangsdaten hinterlegt (daher auch obige tips, wie du diese per phpmyadmin bearbeiten kannst). Gut wäre, wenn Du ein Backup der Datenbank gemacht hast. Aber ich gehe davon aus, dass das nicht der Fall ist?

[Rolf]

Und nun noch etwas zu unserem Niederländischen Kollegen: Besonderen Dank auch an dich - Wenn ich so gut holländisch sprechen könnte wie du deutsch, dann wäre ich froh.

Wie Wurst sagt, glauch Ich auch nicht dass es die Lösung ist.
Die möglichkeit dasz infektierte files auch in Ihre backup stehen ist richtig da... 

Ersten mache neue ftp, db Passwörter, und die config.php änderen
Backup Ihre files und Datenbank (Hast du eine gute Virusscanner?)
Sehe die Files aufs webserver an, und versuch die infektierte files zu suchen
Eine upgrade von CMSMS soll die nächste sein, die meiste files wirden dann überschrieben.
und dann... mall ansehen 

®

[cyberman]

Dazu noch einen Hinweis - über Administrator > Systemprüfung kann man eine Prüfsummen-Datei der aktuellen Installation erstellen, mittels derer sich später feststellen lässt, ob ein System verändert wurde.

Nach Fertigstellung der Installation bzw. nach Abschluß der Änderungen sollte es also aus Sicherheitsgründen Routine sein, eine aktuelle Prüfsumme zu erstellen .

[Phrosch]

...es ist mir wirklich total unangenehm - aber ich bin mir sicher, dass ich weiss woran es gelegen hat. Mit einem flüchtigen Bekannten hatte ich heute Vormittag telefoniert und über dieses Thema debakelt. Er hatte genau die gleiche Problematik und ist aber aufgrund seiner Erfahrung selber dahinter gekommen.

Kurzum ich habe es selbst verbockt.

Erklärung:
- Aus Sicherheitsgründen habe ich das Verzeichnis von "admin" auf "kuehlschrank" - umbenannt. Ebenso auch die Config.php geändert
- dann kam ein neues Update "carolina" und ich habe dieses Update eingepflegt, dabei jedoch nicht das Verzeichnis "kuehlschrank" wieder in "admin" umbenannt. Somit hatte ich also 2 "admin" - Verzheichnisse.

dazu kam ein paar Tage später noch der Versuch ein Mudul ohne Zuhilfenahme eines Tutorials zu installieren (Statistic). Dann kommen meine Kinder ins Spiel---------- Papa Papa komm endlich das Kino fängt gleich an!!!!

Dann habe ich halfbfertig den Rechner ausgeschaltet und nach dem Kino nicht weitergemacht.

So - und das Resultat ist bekannt.

1. Gott sei dank keine kriminelle Energie am Werk - sondern nur Blödheit
2. Es ist mir wirklich peinlich und ich habe viel daraus gelernt.
3. Es ist mir ebenso unangenehm, das ich Euch nun mit einem "Hausgemachten" Problem so lange gebunden habe
4. Backup herübergefunkt und auf anhieb klappte alles.
5. Adminverzeichnis wieder umbenannt (diesmal nicht Kühlschrank)

6. Alles wieder in Butter.

Also nochmal - vielen vielen Dank für Euren Einsatz

Herzliche Grüße

Hagen

[Wurst]

Wie so oft: Der Fehler sitzt vor´m Bildschirm. Na Hauptsache es läuft wieder und der Film war gut.