Forum settings.php wurde geändert

ich_bins

New member
Hallo Ihrs,

wie hier bereits beschrieben trage ich Verantwortung für das dort erwähnte Forum.

Gestern wurde das Forum plötzlich in den Wartungsmodus geschaltet. Eigentlich kann nur ich das tun. Nur, ich wars nicht...

Bin dann via ftp drauf, hab mir die Konfigurationsdateien angesehen ud festgestellt, dass ca. 10 Minuten vorher die settings.php neu geschrieben und kurz darauf auch die settings_bak.php erstellt wurde. Nun, es war relativ einfach, musste ja nur die beiden Dateien wieder umbenennen, aber mich würde doch interessieren, wie das zustande kam bzw. meine Schlussfolgerungen richtig sind.

Hier mal die beiden Dateien. Die "xxx" in den Pfaden sind von mir. Als erstes die geänderte Version...

<?php
/**********************************************************************************
* Settings.php *
***********************************************************************************


########## Maintenance ##########
# Note: If $maintenance is set to 2, the forum will be unusable! Change it to 0 to fix it.
$maintenance = '2'; # Set to 1 to enable Maintenance Mode, 2 to make the forum untouchable. (you'll have to make it 0 again manually!)
$mtitle = 'Wartungsmodus'; # Title for the Maintenance Mode message.
$mmessage = 'Hallo liebe Forenbesucher, zur Zeit wird am Forum gearbeitet. Bei Rückfragen wendet Euch bitte an das Dreamteam. \\"http://xxx/xxx.htm\\"'; # Description of why the forum is in maintenance mode.

########## Forum Info ##########
$mbname = ''; # The name of your forum.
$language = '2rand[0,1,1]'; # The default language file set for the forum.
$boardurl = 'http://www.6shpFpANPwYnffbs9P5rsRN67oJWDZuQ.com'; # URL to your forum's folder. (without the trailing /!)
$webmaster_email = 'forum@xxxx-forum.de'; # Email address to send emails from. (like noreply@yourdomain.com.)
$cookiename = 'john'; # Name of the cookie to set for authentication.

########## Database Info ##########
$db_server = 'rdbms.strato.de';
$db_name = 'john';
$db_user = 'john';
$db_passwd = 'gmQ3h';
$db_prefix = 'aLYyZWULLjbrRCFN';

$db_persist = '1';
$db_error_send = 0;

########## Directories/Files ##########
# Note: These directories do not have to be changed unless you move things.
$boarddir = '/mnt/xxx/xx/xx/xxxxxxx/htdocs/xxx/smf_forum'; # The absolute path to the forum's folder. (not just '.'!)
$sourcedir = 'http://www.6shpFpANPwYnffbs9P5rsRN67oJWDZuQ.com'; # Path to the Sources directory.

########## Error-Catching ##########
# Note: You shouldn't touch these settings.
$db_last_error = 1323300592;

# Make sure the paths are correct... at least try to fix them.
if (!file_exists($boarddir) && file_exists(dirname(__FILE__) . '/agreement.txt'))
$boarddir = dirname(__FILE__);
if (!file_exists($sourcedir) && file_exists($boarddir . '/Sources'))
$sourcedir = $boarddir . '/Sources';

$db_character_set = 'utf8';
$cachedir ='/mnt/xxx/xx/xx/xxxxxxx/htdocs/xxx/smf_forum/'cache';
?>
Zum Vergleich hier das Original...

PHP:
<?php
/**********************************************************************************
* Settings.php                                                                    *
***********************************************************************************

########## Maintenance ##########
# Note: If $maintenance is set to 2, the forum will be unusable!  Change it to 0 to fix it.
$maintenance = 0;        # Set to 1 to enable Maintenance Mode, 2 to make the forum untouchable. (you'll have to make it 0 again manually!)
$mtitle = 'Wartungsmodus';        # Title for the Maintenance Mode message.
$mmessage = 'Hallo liebe Forenbesucher, zur Zeit wird am Forum gearbeitet. Bei Rückfragen wendet Euch bitte an das Dreamteam. \\"http://xxx-forum.de/xxx/xxx.htm\\"';        # Description of why the forum is in maintenance mode.

########## Forum Info ##########
$mbname = '';        # The name of your forum.
$language = 'german';        # The default language file set for the forum.
$boardurl = 'http://xxx-forum.de/smf_forum';        # URL to your forum's folder. (without the trailing /!)
$webmaster_email = 'forum@xxx-forum.de';        # Email address to send emails from. (like noreply@yourdomain.com.)
$cookiename = 'SMFCookie11';        # Name of the cookie to set for authentication.

########## Database Info ##########
$db_server = 'rdbms.strato.de';
$db_name = 'DBxxxxxx';
$db_user = 'Uxxxxxx';
$db_passwd = 'xxxxxx';
$db_prefix = 'mos_';
$db_persist = 0;
$db_error_send = 0;

########## Directories/Files ##########
# Note: These directories do not have to be changed unless you move things.
$boarddir = '/mnt/xxx/xx/xx/xxxxxxx/htdocs/xxx/smf_forum';        # The absolute path to the forum's folder. (not just '.'!)
$sourcedir = ''/mnt/xxx/xx/xx/xxxxxxx/htdocs/xxx/smf_forum/Sources';        # Path to the Sources directory.

########## Error-Catching ##########
# Note: You shouldn't touch these settings.
$db_last_error = 1323300592;

# Make sure the paths are correct... at least try to fix them.
if (!file_exists($boarddir) && file_exists(dirname(__FILE__) . '/agreement.txt'))
    $boarddir = dirname(__FILE__);
if (!file_exists($sourcedir) && file_exists($boarddir . '/Sources'))
    $sourcedir = $boarddir . '/Sources';

$db_character_set = 'utf8';
$cachedir = '/mnt/xxx/xx/xx/xxxxxxx/htdocs/xxx/smf_forum//cache';
?>

Damit ihr was zum Schmunzeln habt, meine Laien-Erklärung...

Die Seite wurde mittels John the Ripper aufgemacht?
Man kann davon ausgehen, dass versucht wurde Besuchern des Forums über die umgebogene $boardurl = 'http://www.6shpFpANPwYnffbs9P5rsRN67oJWDZuQ.com'; Schadsoftware aufzuspielen?
Liege ich richtig, dass der erfolgreiche Angriff einem schwachen Passwort geschuldet ist?
Es steht zu befürchten, dass weitere, bisher unentdeckte Veränderungen vorgenommen wurden?

LG ich_bins

Hab mich vor Jahren an einem guten Einstieg in die Materie befunden, aber mangels Freizeit (Beruf, Familie) musste ich es lassen. Nun habe ich über den Selbsthilfegedanken und meine Gutmütigkeit dieses Forum an der Backe. Nicht dass ich es nicht gerne und leidenschaftlich machen würde, aber da ich mich selbst gerade in einer Interferon-Therapie befinde, ists mit logischen Schlussfolgerungen und/oder (für mich) komplexeren Zusammenhängen zur Zeit nicht weit her.
Bin eigentlich der Typ, der sich sowas selbst "erarbeitet", weil ichs mir dann besser merken kann. Hinzu kommt das nicht zu unterschätzende Erfolgserlebnis des Digital Immigrants doch nicht sooo unbedarft zu sein. Aber das könnt ihr - bis auf ein paar Ausnahmen - wohl eher weniger nachvollziehen :D ;)

Zu deutsch bin ich mit der Situation im Moment maßlos überfordert.
Bin froh, wenn ich hier meine Fragen auf die Reihe kriege.
 
Zuletzt bearbeitet:

Chakky

Member of Honour
Da würde ich mal die Logfiles durchsuchen (sofern überhaupt noch was zu finden ist), kann nicht nur ein schwaches PW sein kann auch irgendein unsicheres phpscript sein oder die forensoftware die nicht up2date ist......
 

ich_bins

New member
In den Logs war nicht allzu viel, aber zumindest das zu finden...

29.04.2013 15:11:52 xxx-forum.de [client 188.143.234.127] (70007)The timeout specified has expired: ap_content_length_filter: apr_bucket_read() failed, referer: xxx-forum.de

Client-IP zeigt nach St. Petersburg

Da dürfte der Apache-Bug (70007) interessanter sein.
 
Zuletzt bearbeitet:

ich_bins

New member
im access.log...

tripleonline.de anon-94-228-220-194.ip.invalid - - [29/Apr/2013:03:10:09 +0200] "GET /components/com_user/views/reset/mod.php HTTP/1.1" 404 237 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Das wars nu aber, mehr ist da nicht. Kann das file gerne anhängen, aber der Rest sieht mir nach dem "normalen" Krimskram aus.

Vielen Dank übrigens für deine Hilfe Chakky
 

Chakky

Member of Honour
das ist ein 404....

entweder mal das ganze file wirklich anhängen (PWs etc natürlich zensieren, vielleicht sieht man irgendwo den angreifer) error.log und suexec.log (sofern vorhanden) sind auch nicht schlecht
 

derhesse

New member
Hallo,

das SimpleMachines Forum ist mir gut bekannt, musste mich dort auch stark reinarbeiten. In welcher Version betreibst du das Forum?

Grüße
DerHesse
 
Oben