Ich weiß leider nicht mehr, welche cmsms version es ist.
Host: 1und1
Erstellung: 10/11 2009 (die damals aktuellste mle-version)
Was passiert ist: Seite seit heute nicht erreichbar. Beim admin login veraltetes Standarddesign, Zugangsdaten wird nicht erkannt.
Was habe ich gemacht?
Mir als erstes die DB in phpmyadmin angesehen.
Tatsächlich: komplett leer - 0 Tabellen , 0 Datensätze, nichts drin.
Ist das ein bekannter Hack, der sowas ermöglicht hat oder kann es sein, dass da ein Angestellter des KUnden oder 1und1 Mist gebaut hat?
Es existiert noch ein älteres BAckup der DB. Was sollte ich tun, wenn ich sie wiederhergestellt habe, um herauszufinden, ob und wie ich gehackt habe?
[GELÖST]cmsms gehackt?
[GELÖST]cmsms gehackt?
Last edited by antibart on Thu Aug 05, 2010 7:58 am, edited 1 time in total.
Re: cmsms gehackt?
MAl gucken .. soll ich nach was bestimmtem suchen?cyberman wrote: Hast du Zugriff auf die Log-Dateien des Servers?
-
cyberman
Re: cmsms gehackt?
Zumindest solltest du da erst mal sehen können, was da überhaupt passiert ist.
Wenn die PW-Daten nicht stimmen, müsste ja so etwas wie ein UPDATE o.ä. auf die DB durchgeführt worden sein. Evtl. hilft dir auch das Systemprotokoll - wie du in den Adminbereich wieder reinkommst, solltest du ja wissen
...
Wenn die PW-Daten nicht stimmen, müsste ja so etwas wie ein UPDATE o.ä. auf die DB durchgeführt worden sein. Evtl. hilft dir auch das Systemprotokoll - wie du in den Adminbereich wieder reinkommst, solltest du ja wissen
...Re: cmsms gehackt?
logfiles habe ich...
versuche gerade herauszufinden, ob die vielleicht die datenbank mit einer anderen anwendung überschrieben haben.
versuche gerade herauszufinden, ob die vielleicht die datenbank mit einer anderen anwendung überschrieben haben.
Last edited by antibart on Wed Aug 04, 2010 10:04 am, edited 1 time in total.
-
NaN
Re: cmsms gehackt?
Wenn die DB leer ist, kommt er auch nicht in den Admin Bereich geschweige denn an das Systemprotokoll.
Ohne DB geht bei CMSms garnichts.
Also zunächeinmal würde ich die Serverlogs prüfen.
Wann hat wer worauf zugegriffen.
Was meinst Du mit Angestellter?
Einer, der die Webseite betreut oder Deinen Provider?
In beiden Fällen musst die Leute selber fragen.
Wer hat denn alles Zugang zur DB Verwaltung?
Denn wenn es einer der Webseitenbetreuer war, kann ich mir nicht vorstellen, dass er anders als über das DB Verwaltungstool des Providers die Tabellen hätte löschen können.
Möglicherweise hatte aber auch der Provider selbst ein technisches Problem oder eine Sicherheitslücke im Server. Vielleicht ist ja auch ein völlig anderer Kunde gehackt worden und dabei wurden mehrere Seiten (unter anderem auch Deine) in Mitleidenschaft gezogen. Wenn der Server selbst eine Sicherheitslücke gehabt hat, zieht sowas ja meist ewig weite Kreise.
Am Backup jetzt rumzusuchen, was evtl. wie gehackt wurde, halte ich für aussichtslos.
Bis auf den Uploads-Ordner (und falls Du noch andere eigene Ordner hast) alles löschen, was zu CMSms gehört und die aktuellste Version neu installieren.
Dabei die DB Zugangsdaten ändern.
Am besten eine komplett neue DB mit neuem DB-Namen und neuem Passwort anlegen.
Vor dem Einspielen des DB Backups aber mal mit einem Virenscanner prüfen, ob da nicht irgendwo in der DB böser Code versteckt ist.
Ohne DB geht bei CMSms garnichts.
Also zunächeinmal würde ich die Serverlogs prüfen.
Wann hat wer worauf zugegriffen.
Was meinst Du mit Angestellter?
Einer, der die Webseite betreut oder Deinen Provider?
In beiden Fällen musst die Leute selber fragen.
Wer hat denn alles Zugang zur DB Verwaltung?
Denn wenn es einer der Webseitenbetreuer war, kann ich mir nicht vorstellen, dass er anders als über das DB Verwaltungstool des Providers die Tabellen hätte löschen können.
Möglicherweise hatte aber auch der Provider selbst ein technisches Problem oder eine Sicherheitslücke im Server. Vielleicht ist ja auch ein völlig anderer Kunde gehackt worden und dabei wurden mehrere Seiten (unter anderem auch Deine) in Mitleidenschaft gezogen. Wenn der Server selbst eine Sicherheitslücke gehabt hat, zieht sowas ja meist ewig weite Kreise.
Am Backup jetzt rumzusuchen, was evtl. wie gehackt wurde, halte ich für aussichtslos.
Bis auf den Uploads-Ordner (und falls Du noch andere eigene Ordner hast) alles löschen, was zu CMSms gehört und die aktuellste Version neu installieren.
Dabei die DB Zugangsdaten ändern.
Am besten eine komplett neue DB mit neuem DB-Namen und neuem Passwort anlegen.
Vor dem Einspielen des DB Backups aber mal mit einem Virenscanner prüfen, ob da nicht irgendwo in der DB böser Code versteckt ist.
-
nockenfell
- Power Poster
- Posts: 751
- Joined: Fri Sep 12, 2008 2:34 pm
Re: cmsms gehackt?
Die installierte Version findest du über die "version.php" Datei heraus. Um zu checken ob was verändert wurde, kannst du z.B. die Daten von der Webseite runter ziehen, dann die damals installierte Version aus dem dev.cmsmadesimple.org runter ziehen und mit einem Programm einen Inhaltsvergleich machen (ich nutze dazu jeweils Beyond Compare)antibart wrote:
Tatsächlich: komplett leer - 0 Tabellen , 0 Datensätze, nichts drin.
Ist das ein bekannter Hack, der sowas ermöglicht hat oder kann es sein, dass da ein Angestellter des KUnden oder 1und1 Mist gebaut hat?
Vom geschilderten Problem keine Daten mehr gibt es eigentlich nur 2 mögliche Varianten:
- Hack über eine Sicherheitslücke mit SQL Injection
- 1und1 hat Mist gebaut
Schau mal ob du in den Logfile was findest, das dir einen Hinweis gibt.
[this message is written with 100% recycled bits]
Re: cmsms gehackt?
Möglicherweise war die Aufregung umsonst. Das wäre schön.
Ich habe eben versucht, in phpmyadmin mal die vermeintlich leere (-) DAtenbank anzeigenzu lassen:
Fehler:
#2003 - Can't connect to MySQL server on 'dbxxxx.1und1.de' (110)
Wenn ich jetzt versuche, die Seite zu besuchen, wird nicht mehr (wie vorhin noch) 404 angezeigt, sondern
Database Connection Failed
Error: Lost connection to MySQL server at 'reading initial communication packet', system error: 111 (2013)
Function Performed: CONNECT
Host/DB: dxxxx1und1.de/dbxxxxx
Database Type: mysql
Vielleicht wurde nichts gehackt, sondern 1und1 hat gerade eine mysql-downtime...mal abwarten
Ich habe eben versucht, in phpmyadmin mal die vermeintlich leere (-) DAtenbank anzeigenzu lassen:
Fehler:
#2003 - Can't connect to MySQL server on 'dbxxxx.1und1.de' (110)
Wenn ich jetzt versuche, die Seite zu besuchen, wird nicht mehr (wie vorhin noch) 404 angezeigt, sondern
Database Connection Failed
Error: Lost connection to MySQL server at 'reading initial communication packet', system error: 111 (2013)
Function Performed: CONNECT
Host/DB: dxxxx1und1.de/dbxxxxx
Database Type: mysql
Vielleicht wurde nichts gehackt, sondern 1und1 hat gerade eine mysql-downtime...mal abwarten
Last edited by antibart on Wed Aug 04, 2010 10:45 am, edited 1 time in total.
-
cyberman
Re: cmsms gehackt?
Ähmm, MySQL-Downtime? Bei 1&1? Und so lange?
Welchen von den 10000 Servern meinst du denn?
PS: Selbst wenn es so sein sollte, müsste dich der (gute) Support vorher darüber informieren.
Welchen von den 10000 Servern meinst du denn?
PS: Selbst wenn es so sein sollte, müsste dich der (gute) Support vorher darüber informieren.
Re: cmsms gehackt?
Downtime, Fehler, irgendwas in der Art halt...
Tatsache ist, dass die Seite jetzt wieder da ist und die DB wieder voll .. warum auch immer.Es muss wohl schon irgendwas an 1und1 gewesen sein. Die machen in den letzten Tagen öfter Stress. Vor kurzem war eine Seite an zwei Tagen über Stunden nicht erreichbar (timeout). Aber nur von Hannover aus.
Damit das Thema keine unnötige Aufregung entfacht, kann es gerne gelöscht werden.
Danke Euch...
Tatsache ist, dass die Seite jetzt wieder da ist und die DB wieder voll .. warum auch immer.Es muss wohl schon irgendwas an 1und1 gewesen sein. Die machen in den letzten Tagen öfter Stress. Vor kurzem war eine Seite an zwei Tagen über Stunden nicht erreichbar (timeout). Aber nur von Hannover aus.
Damit das Thema keine unnötige Aufregung entfacht, kann es gerne gelöscht werden.
Danke Euch...
Last edited by antibart on Wed Aug 04, 2010 11:50 am, edited 1 time in total.
