Forum

Habe mir mal die IP-Adresse angesehen, die im Log seitens des Providers genannt wurde: http://www.proxybase.de/de/details-2030485-26e7a757b98fa51d84d7a8a0f5b8ae54.htm
=> Transparent Proxy, na super...

Was genau meinst Du damit? Das zurückgespielte Backup? Denn mein /opn-Folder war weg - mit allem, was es je darin gegeben hat. Sollte der Täter dort was abgelegt haben, hat er es gleich wieder mit gelöscht.

Ja schon klar nur sagen wir mal ich würde so was tun ... Dann wäre der Ablauf der folgende.

Phase 1 : Vor Wochen bis Monate Test ob ich das System brechen kann. Automatisiert und nur die interessanten Seite vermerkt.

Phase 2 : Genau wie Phase 1 mit dem Ergebniss aus 1 auch automatisiert. So ca. vor < 6 Monaten

Phase 3 : Und hinein - root Zugang einbringen und tools Installieren. < vor 8-12 Wochen

Phase 4 : Nutzung .... ca. 1-2 Wochen lang

Phase 5 : Kill meine Spuren....

Dh. also es ist nicht ausgeschlossen das noch Türen installiert sind. Genau die wären auch in dem Backup enthalten sofern was da ist oder war.

Auf jeden Fall muss man das Prüfen.

Gerne. Was genau bräuchtest Du? Das Cache-Verzeichnis vermutlich nicht - oder doch?

Wenn möglich komplett - wenn zu groß für ne eMail kann ich auch ne ftp Account einrichten. Oder mehrere eMails, oder wie auch immer ... Bin flexibel...

Unsere Präsenz ist mittlerweile relativ groß (> 200 Aritkel, > 5.800 Forum posts, > 8.000 Medien in der Galerie, > 200 Links, 75 Downloads - würde mich mal interessieren, wo im Ranking der OPN-Installationen ich damit liege )

Nicht enttäuscht sein aber die umfangreichste Seite die ich kenne ist von just Er hat mehrere tausende! Seitenboxen / Anypages / Artikel usw. was du an Mediaen hast hat er alleine locker an Seitenboxen ... Hardcore pur ...

Morgen Stefan,
you've got PN.

Ich habe mittlerweile die Logs - und unter der "verdächtigen" IP-Adresse folgende Aktivitäten gefunden:
208.115.204.31 - - [29/Apr/2011:16:56:18 +0200] "GET /opn/system/user/register.php HTTP/1.0" 200 115052 "http://www.rc-boote.at/opn/system/user/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
208.115.204.31 - - [29/Apr/2011:16:56:39 +0200] "POST /opn/system/user/register.php HTTP/1.0" 200 52146 "http://www.rc-boote.at/opn/system/user/register.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
208.115.204.31 - - [29/Apr/2011:16:57:26 +0200] "GET /opn/system/user/index.php HTTP/1.0" 200 44154 "http://www.rc-boote.at/opn/system/user/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
208.115.204.31 - - [29/Apr/2011:16:57:45 +0200] "POST /opn/system/user/index.php HTTP/1.0" 200 11444 "http://www.rc-boote.at/opn/system/user/index.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Auffallend ist, dass ich sonst nur GET requests im Log finde - und nur ganz wenige POSTS's - darunter die verdächtige IP-Adresse, die dafür auffallend viel POST's gemacht hat.

Es gibt aber nach diesen Aktionen noch jede Menge protokollierte Zugriffe - können das die offenen Browser gewesen sein, die noch eine Seite offen hatten - und beim nächsten Klick ins Leere gegriffen haben?

Ciao,
Boby

Schau mal ins ftp log ungewöhnlich.

Du hast ja scheinbar eine feste IP. Aber

85.13.143.205 macht hier 2 mal etwas. Ungewöhnlich gehört scheinbar zu einem anderen Kunden deines Hosters. Ist aber nicht die IP deiner Seite.

Danach waren deine ersten Zugriffe um 17:10:50 2011 ; kann das sein? vorher warst du nicht per ftp drauf. Nur mal so als gegen Kontrolle ob das Vollständig ist.

Da läuft mindestens ein cron

cache/cleanup_cache.php

85.13.133.62 - - [29/Apr/2011:17:00:02 +0200] "GET /opn/cache/cleanup_cache.php HTTP/1.1" 404 - "-" "cronBROWSE v0.91"

66.249.66.88 - - [29/Apr/2011:16:58:57 +0200] "GET /opn/modules/mediagallery/index.php?opnparams=A2hdLVdhAjcGcgw%2BWDlRJQZuBHoHYg0nDmQDNwIyU2xRNFxhUGoBZAg8CW4 HTTP/1.1" 200 2013 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.66.88 - - [29/Apr/2011:16:59:22 +0200] "GET /opn/modules/calendar/index.php?opnparams=A0NdPFcoAjQGOgxjWGxRZgY2BC0HNw05DiQDYgJhUyNRIVwlUCsBNwg0CTNcMAd5 HTTP/1.1" 404 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

29/Apr/2011:16:58:57 -> War noch ok

Kein weiterer Zugriff bis

29/Apr/2011:16:59:22 -> War nicht mehr ok

Dann Zugriff durch den Cron.

Da dieses so dicht am cron ist. Da braucht nur der Server vom cron ein Tick anderes laufen und schon passt es.

Merkwürdige Zufälle.

Ich hab mir cleanup_cache.php angesehen. Eigentlich ... sollte das so gehen aber da da hier pauschal alles gelöscht wird (unlink) und nicht alle Fehler abgefangen werden. Würde ich das so nicht machen. Das Resultat ist so nicht vorhersehbar. Wenn warum auch immer da einmal ein unlink('opn/'); auskommt dann hättest du genau das Ergebnis. Solche Funktionen baue ich inzwischen vorsichtiger.

Hi,
das mit dem cleanup-Cron war eine Notlösung, da OPN die session files nicht selbst gelöscht hat (hatte das auch mal hier gepostet).

Das führte dazu, dass ich mit meinem FTP-Client nicht mehr ins Cache-Verzeichnis wecheln konnte (timeout).

Den Rest sehe ich mir später an - bin heute leider unterwegs.

Ciao,
Boby

Hallo

Ich denke für Dich gilt es zuerst einmal festzustellen wie genau derjenige zugreifen konnte.
Ohne die genauen Bedingungen der Installation zu kennen wird Dir aber kaum jemand weiter
helfen können, dafür ist die Thematik viel zu umfangreich.

Auf was für einem OS wurde OPN installiert?
Ist Dein Server aktuell auf dem neuesten Stand? (Beliebt z.B. sind Zugriffe auf veraltete Debian "Testing"-Systeme)
Verwendest Du einen eigenen Server oder hast Du Webspace angemietet?
Hast Du irgendwelche opn-fremde Codeschnipsel auf Deiner webseite (z.B. kleine Zusatztools/-scripte für Deine user)?
Für OPN-Spezialisten wäre es evtl. auch hilfreich die aktuelle Revisionsnummer zu kennen die Du verwendest.

Ich kenne Fälle wo Leute Fremdscripte verwendeten die Sicherheitslücken hatten.
Über derartige Exploits konnten dann Fremde auf die Datenbank der Webseite zugreifen
und Einträge dort auslesen bzw. verändern. (Ich wurde selber einmal Opfer)
Ich denke aber das es, von innerhalb einer "Standard-OPN- Installation" ausgehend, nicht ohne Weiteres möglich ist das
OPN-Verzeichniss auf dem Server selber zu löschen.
Es sei denn irgend etwas wurde installiert oder so speziell eingestellt das dies möglich wurde.

Aber ohne weitere Angaben wir Dir wahrscheinlich kaum jemand weiter helfen können, so daß Du
dieses Problem in Zukunft verhindern kannst.

Gruß
gonzo



edit:
Ich hatte den Text ursprünglich gelöscht da Stefan der sicherlich mehr dazu zu sagen weiss als ich schneller war.
Aber da sich darauf berufen wurde habe ich es der Vollständigkeit halber wieder hergestellt.

bitte löscht den obigen Text, ich wollte meinen alten Text editieren allerdings war ich dummerweise nicht angemeldet.
Sorry für den "Textstreß".

Hallo Gonzo,
aktuell habe ich OPN 2.5.4 Revnr. 5553 drauf (soeben nachgesehen - kann sein, dass Stefan da schon was Neues draufgepackt hat).

Das sind mal die Infos vom Webserver (gemieteter shared Server - nicht dedicated):

PHP Version: 5.2.12-nmm2
PHP SAVE MODE: NO (der war m.E. YES => vermutlich von Stefan für Tests umgedreht)
PHP Memory Limit: 32M
MySQL Server Version: 5.0.51a-3ubuntu5.8-log
MySQL Client Version: 5.1.43
sqlite Server Version: 2.8.17

•description ::=> 5.0.51a-3ubuntu5.8-log
•version ::=> 5.0.51

"Fremde" Codeschnippsel gibt's eigentlich nicht - lediglich der Marquee-Banner auf der Startseite ist (via Anypage) nicht aus meiner bzw. OPN's Feder.

Dann gäbe es da noch den cache-cleaner (werde den Cron mal stillegen - hätte dann aber gerne einen Tipp, wie ich verhindere dass 100.000te sess-Files im Cache-Verzeichnis liegen bleiben.

Was ich mir auch noch vorstellen könnte, ist dass man über den FCK-Editor schädlichen Code hochladen könnte (über den Image-Uploader)- der nimmt mehr oder weniger wortlos Files entgegen & lädt sie hoch - die liegen dann im Cache-Verzeichnis & wenn man den URL kennt, kann man dort von außen drauf. Aber dafür hätte ich keine Anzeichen in den Logs gefunden...

Das ist mal das, was ich auf die Schnelle beantworten kann.

Ciao,
Boby

So,
Cron-Job ist Geschichte - übrigens war dieser "STÜNDLICH für die Minute 00" eingerichtet.

LG,
Boby

@Stefan: Die IP 85.13.143.205 dürfte meinem Provider gehören - ich bin die andere IP gewesen (81.217.xxx.xxx), die an dem Tag via FTP aktiv war.

LG,
Boby