[Wolfgang]

Anzeige

Hallo an alle!
Erstmal möchte ich sagen dass ich hier neu bin und keine erfahrung mit hacks etc. habe.
Wohnhaft bin ich in frankfurt und 26 Jahre alt.

Eigentlich betreibe ich gerne ein Internetforum mit der Software vBulletin.
Habe auch einen relativ guten Hoster auf dem das Forum liegt.

Nun zu folgendem Problem:
Seit etwa einem Jahr betrebe ich das forum.
Doch seit 3 Monaten wird mein board von einem unbekannten gehackt.
Wobei ich unter hacken verstehe sicherheitslücken aufzuzeigen und nicht sinnlos zu zerstören.
Einmal löscht er 5000 Beiträge, ein andermal das komplette Forum.
Veröffentlicht meine Telefonnummer und postet Kinderpornografie in zusammenhang mit meinem namen.
Ändert über das admin cp die passörter der user und postet in deren namen.

Jetzt wurde es so schlimm dass ich die sicherheitsmassnahmen verschärfte.
So viel wie ich als laie halt tun kann denn bekanntlich gibt es keine 100% sicherheit.

Ich richtete also vor 2 monaten .htacess sperren ein, konfigurierte firewalls etc.etc.
Wieder schaffte es der angreifer an meine passworte zu kommen entweder von mir oder meinem co admin , löschte einfach 4000 beiträge und einige mitglieder und schickte mir über ein profil eines users folgende nachricht:

"Diese Nachricht erreicht dich nicht von deinem Freund Lars, sondern von dem Mann, der diese Forum gehackt hat. Ich muss mich erfreut über deine neue Demut zeigen, welche du in dem Thema "Das DAF wird weitergeführt" zur Schau stellst, bedenkt man, dass die Motivation meines 3. Hacks deine Arroganz war: "Bei den momentanen Sicherheitsvorkehrungen dürfte es ziemlich schwierig sein das Forum nochmal zu hacken " Unter diesen neuen Umständen bin ich fast gewillt von weiteren Hacks abzusehen"

Diese Nachricht war zuviel für mich und ich nahm das Forum offline und wollte mich zurückziehen.
Es kam aber sehr viel zuspruch von den mitgliedern die mich baten weiterzumachen.
Also habe ich das forum wieder online genommen, änderte alle passworte, checkte den kompletten pc mit diesen programmen:
avg.60 antivirus, a?,TDS3 und fand auch 2 Trojaner.
Nachdeme diese sicherheitslücke geklärt war fühlte ich mich sicherer und kommunizierte das auch an die mitglieder ohne den angreifer zu beleidigen.
Heute bekam ich folgende Nachricht die mir etwas angst macht:

"Auch ich bin sehr erfreut darüber, dass wir Dich und das Forum wieder haben!
Ich dachte schon, Du gingst mir durch die Lappen!
Vielleicht interessiert es Dich, dass ich ein paar Kollegen kontaktiert habe, die wissen nämlich, wie man jemanden richtig fertig macht!

In diesem Sinne: Viel Spaß noch!

P.S.: Grüß doch bitte alle Forumer recht schön von mir! "

jetzt ist mir eine sache unangenhem aufgefallen.
Mein Hoster klärte mich daüber auf dass wenn ich wie öfters vorgefallen die passworte für den .htacess bereich 2mal! eingeben musste ein sniffer program oder keylogger auf einem der ports sitzen würde.

Weil er angreifer muss schon wieder die Passworte für das admin cp gehabt haben.
jetzt habe ich mir das programm nedstat runtergeladen und habe dort gesehen dass dort bei vielen Ports listening steht.

Bitte helft mir.
Was kann ich noch machen um das zu beenden?
Wie schafft der angreifer es ständig an die passworte heranzukommen trotz firewall?
Ich habe den angreifer auch direkt angesprochen und ihn gefragt was seine beweggründe sind.
Provoziern möchte ich ihn ja nicht da er offensichtlich am längeren hebel sitzt.

Ich mache mir grosse sorgen vor allem wegen dem fertigmachen.
Danke für eure antworten!

[spy]

Also ein hacker ist das auf jedenfall net! Warum`? Er nutzt seine Überlegenheit aus und er hat sein Zeil weit überschritten... Vermutlich hat er einfach nur die Passwörter vom FTP zugang und kann somit das HTaccess passwort encoden oder ein selber erstelltes adden. Was du machen solltest ist deine Passwörter für den FTP umbenennen gegebenfalls sogar den horster wechseln

[Wolfgang]

nein die vom ftp hat er nicht wie es aussieht.
er hat immer die passworte für das .htacess für den admin bereich.
diese wurden ja nicht geändert.

[spy]

das ftp passwort kann er auch net ändern ohne weiteres!!!! Außerdem kann es sein das er nen log aufm server installiert hat und dann braucht er nur noch aus der datei die passwörter zu lesen. Verlasse den Server und siehe da es wird nichts mehr passieren. Da WEtte ich mit dir

[Wolfgang]

der witz ist ja dass wir das forum schon auf einen neuen server gelegt haben.
ein virtueller server mit starkler firewall.
es geht nicht um die server passworte sondern um die passworte zum admin bereich des forums welche durch .htacess geschützt sein sollten.
Ich vermute aber dass derjenige irgendwo mal meine ip adresse aufgeschnappt hat und mit ein sniffer oder keylogger in einen offenen port gelegt hat.

für mich die rudimenäre frage momentan:
wie schliesse ich die ports welche ich nicht brauche ode genügt eine gute firewall.
weil wenn das so weiterght mit diesem menshen gebe ich echt noch auf was ich ihm nicht gönne.

[spy]

Nein keine Ports schliessen. Du willst doch bestimmt mal wissen wer hinter den Angriffen steckt? Evtl auch anzeigen. Willst du den so davon kommen lassen. Immerhin hat er Kinderpornografie in zusammenhang mit dir gebracht. Das würd ich mir nicht gefallen lassen!! Also Meld dich bei #hackerboard dann können wir Privat weiter reden!

[Bleeding666]

Hallo!

Ich glaube nicht, dass das ein Profihacker ist, denn der hätte besseres zu tun als dich zu ärgern. Ich glaube es ist jemand aus deinem Umfeld (vielleicht jemand aus dem Forum ) der dich nerven will. Hast du dir jemanden zum Feind gemacht? Die Angriffe sind direkt an dich gerichtet es ist also wahrscheinlich das es jemand ist der dich kennt. Was hätte das sonst für einen Sinn.
Wenn kein Trojaner auf dem Server ist, bleibt für den Angriff eigentlich nur zwei Möglichkeiten. Ein Keylogger der alles Aufzeichnet was du eingibts um so die Passwörter auszulesen. Oder ein Brutforce - Angriff. Wenn der htaccess-Mechanismus richtig implementiert wurde gibt es an der Form der Webauthentifizierung nichts zu rütteln. Du kannst einen Brutforce Angriff nachprüfen, wenn du die Protokolle auf dem Webserver analysierst. Eine hohe Anzahl aufeinander folgender Verbindungsanforderungen von einem System aus, die jeweils zu einer 401 Authorization Required-Fehlermeldung geführt hat ist Zeichen eines solchen Angriffs.
Du kannst dich davor schützen wenn du sehr komplizierte Passwörter verwendest. Mit Zahlen und Buchstaben die sich abwechseln. Sag das Passwort keinem den du nicht 100% vertraust. Frage dich auch ob du bisher leicht zu erratende kurze Passwörter dich sich jedesmal ähnlich waren gewählt hast, die man leicht raus bekommen könnte wenn dich jemand kennt.

mfg
BleedingSoul

[Wolfgang]

danke für deine antwort.
ich denke es kann nur noch ein keylogger sein den ich ( respektive die programme )noch nicht gefunden habe.

Passworte sahen so aus wie zb. dieses:

ff877K##x+bqtH

Als ziemlich schwierig...mit brute force kaum zu knacken...

[Bleeding666]

Dann kann es in der Tat kein Brutforce Angriff gewesen sein. Wen hast du eigentlich alles die Passwörter verraten?

mfg
BleedingSoul

[Wolfgang]

dmalas nur meinem co admin und sonst niemandem.
er musste ja auch mal ins admin cp.
jetzt ist er allerdings schon seit einer woche kein admin mehr und es wurden ja auch alle passworte wieder geändert.
dennoch hatte der hacker wieder zugriff.

[spy]

SQL-Dump speichern! Ins Inet Caf'e gehen und Passwort ändern! Wenn dann der (hacker) dann das Passwort immer noch raus bekommt dann liegts 100% am Server! Dann kannste dich noch mal bei uns melden

mfG Spy

[Wolfgang]

danke euch allen für die tipps!

vielleicht hilft es was...ich werde euch auf dem laufendem halten...

Viele Grüsse
Wolfgang

[Tec]

Ist deine vbulletin-Software auch auf dem neuesten Stand? Dafür gibts ne menge Exploits durch die man unter anderem diverse Admin-Rechte erhalten kann. Befolg mal den Tipp von spy und ändere deine Passwörter (auch das des ftp-Zugangs) von einem anderen Rechner aus und warte ab.

[Wolfgang]

auch ein danke an dich..ich werde es versuchen.
der stand ist sehr aktuell.
lediglich ei kleines upgrade muss ich noch durchführen.
Gruss Wolfgang

[MoD]

Also wenn du den erwischst, dann weist du ja, was du zu tun hast.

Immer mitten in die Fr...e rein.

Solche Typen brauchen das echt