Hacker unterwegs? (PhpGedView)

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • Franz Malangeri
    Erfahrener Benutzer
    • 05.11.2006
    • 160
    #1

    Hacker unterwegs? (PhpGedView)

    Hallo,
    seit ein paar Tagen habe ich wieder mal Informationen in meiner Logdatei, die auf einen oder mehrere Hacker deuten.

    2007.05.16 22:51:57 - 74.53.75.50 - Config variable override detected. Possible hacking attempt. Script terminated.
    2007.05.16 23:14:57 - 67.19.25.34 - Config variable override detected. Possible hacking attempt. Script terminated.
    2007.05.16 23:45:59 - 74.53.75.50 - Config variable override detected. Possible hacking attempt. Script terminated.
    2007.05.21 16:47:50 - 80.132.107.54 - Login Successful ->FMalangeri<-
    2007.05.21 16:52:11 - 80.132.107.54 - Logout - FMalangeri
    2007.05.23 22:41:23 - 202.45.162.186 - Config variable override detected. Possible hacking attempt. Script terminated.
    2007.05.23 23:48:07 - 202.45.162.186 - Config variable override detected. Possible hacking attempt. Script terminated.
    2007.05.24 19:14:54 - 129.125.135.238 - Config variable override detected. Possible hacking attempt. Script terminated.
    2007.05.24 19:17:05 - 129.125.135.238 - Config variable override detected. Possible hacking attempt. Script terminated.
    2007.05.24 20:20:26 - 129.125.135.238 - Config variable override detected. Possible hacking attempt. Script terminated.
    2007.05.24 21:07:03 - 129.125.135.238 - Config variable override detected. Possible hacking attempt. Script terminated.
    2007.05.26 19:54:38 - 80.132.73.169 - Login Successful ->FMalangeri<-
    Ich benutze zur Zeit die Version 3.3.8 von phpgedview. Kann man eigentlich an Hand der pc_id feststellen, (z.B. 129.125.135.238) wer der Übeltäter ist?
    herzliche Grüße, Franz
    Stichworte: -
  • Christian Benz
    Administrator
    • 30.03.2003
    • 2943
    #2
    RE: Hacker unterwegs? (PhpGedView)

    Hallo Franz,

    seit ein paar Tagen habe ich wieder mal Informationen in meiner Logdatei
    Ist das ein Logfile das von PhpGedView erstellt wurde? Zur näheren Begutachtung was da passiert ist, sollte man auch die Server-Logfiles begutachten.

    Ich benutze zur Zeit die Version 3.3.8 von phpgedview.
    Ist die nicht schon veraltet? Schon aus Sicherheitsgründen sollte man eine solche Software immer auf aktuellem Stand halten. Die Version 4.1 (Stand: August 2007) müßte derzeit die aktuellste sein:
    PhpGedView - Browse Files at SourceForge.net
    http://sourceforge.net/project/showfiles.php?group_id=55456
    PhpGedView is a revolutionary genealogy program which allows you to view and edit your genealogy on your website. It has full privacy functions, can…

    Unbedingt schnellstmöglichst ein Update machen!

    Kann man eigentlich an Hand der pc_id feststellen, (z.B. 129.125.135.238) wer der Übeltäter ist?
    pc_id? Vermutlich meinst du die IP-Adresse.

    Als "Privatmensch" kann man zumindest herausfinden zu welcher Organisation/Einrichtung/... eine IP-Adresse gehört (z.B. mittels http://www.dnsstuff.com/). Selbst das muss aber nicht stimmen, da es Möglichkeiten gibt, die tatsächliche Ausgangsadresse zu verschleiern.

    Den konkreten Übeltäter (den einzelnen Menschen der vor dem betreffenden Computer war) wird man in der Regel allenfalls auf dem Behördenweg ausfindig machen können, denn Provider geben ihre Verbindungs-/Kundendaten nicht einfach an jeden heraus der sich dafür interessiert. Ausnahme: Die Daten werden zwecks Strafverfolgung an die zuständigen Behörden übermittelt. Hierzu den Vorfall genau dokumentieren und festhalten, (sekundengenaue Uhrzeit, IP-Adresse -> Serverlogs). Anhand dessen Anzeige erstatten. Das hat dann aber wohl auch nur Aussicht auf Erfolg, wenn der Übeltäter greifbar ist und nicht auf irgend einer indonesischen Insel hockt ...

    Gruß,
    Christian

    Kommentar

    • Franz Malangeri
      Erfahrener Benutzer
      • 05.11.2006
      • 160
      #3
      RE: Hacker unterwegs? (PhpGedView)

      Hallo Christian,
      danke für Deinen Beitrag. Mit dem Update ist das so eine Sache, die Version 4.* ist ja anders als die Version 3.* organisiert. Da gibt es keine Index-Dateien mehr und zum Umstieg auf SQL fehlt mir die Voraussetzung. Da kann ich zunächst nur hoffen, dass keiner meine Daten zerstört.
      herzliche Grüße, Franz

      Kommentar

      • Christian Benz
        Administrator
        • 30.03.2003
        • 2943
        #4
        RE: Hacker unterwegs? (PhpGedView)

        Hallo Franz,

        ein paar allgemeine Ratschläge (die aber nur "Flickwerk" sein können, falls in der alten Version eventuell Sicherheitslücken vorhanden sein sollten):
        • Gegen Hacker und phpgedview-Würmer: Logfiles auswerten (lassen von jmd. sich damit und auch mit der Software auskennt) um herauszufinden welcher Exploit ausgenutzt wird. Darauf basierenden ggf. eine htaccess erstellen, die solche Angriffsmuster abfängt. (Vielleicht gibt's aber so etwas schon, evtl. mal im Netz danach suchen.)
        • Auf jeden Fall alle Adminverzeichnisse (per htaccess + htpasswd) mit einem Passwortschutz versehen.
        • Falls PhpGedView ohnehin nur einem eingeschränkten Benutzerkreis zur Verfügung stehen soll: Die gesamte phpGedView-Installation mit einem solchen Passwortschutz versehen. (Gemeint ist hier nicht ein evtl. in PhpGedView integrierter Passwortschutz auf Basis von PHP sondern mittels obiger Konfigurationsdateien des Webservers!)
        • Allgemeine Sicherheitsregeln für PHP (in der php.ini) umsetzen, vor allem:
          register_globals auf off,
          php_flag magic_quotes_gpc auf on,
          allow_url_fopen auf off stellen.

        Gruß,
        Christian

        Kommentar

        Vorherige template Weiter
        Lädt...
        X