Guten Abend allerseits,
heute habe ich bei einem Kunden das zweite Mal (schom mal im April 2013), dass auf seinem Webspace ein Teil der phpwcms Installation gelöscht war, d.h. ein Teil der Dateien waren gelöscht.
Folgende Ordner waren leer (oder fast leer) und hatten alle die gleiche Änderungszeit:
upload
template
picture
include
img
filearchive
content
config (war nicht leer, hatte aber die gleiche Änderungszeit)
Ich habe die verbliebenen Dateien mit Backup vom Vortag und beide auch mit den Originalen von phpwcms (1.4.7 r411) verglichen – keine veränderten Dateien.
phpwcms 1.4.7 r411
Provider: Strato
Ist das schon mal vorgekommen, kennt das jemand, gibt es dazu mehr Infos?
es grüsst,
Michael
phpwcms Dateien gelöscht (gehackt?)
Re: phpwcms Dateien gelöscht (gehackt?)
Hast Du das mal in der Datenbank per Hand überprüft? Da werden Veränderungen etc. per Zeitstempel geführt, meistens lässt sich das ganze per Artikel-Tabelle eingrenzen.
Gehackt glaube ich weniger, das ganze hört sich eher nach einer Rückspeicheraktion/ Servertausch seitens des Providers an, allerdings schwer nachzuweisen
Wenn Du öfters mal ein Backup fahren lässt, ist das Risiko geringer, abgesehen vom unzuverlässigen Hosting - Geld an falscher Stelle gespart - Strato wird Dir diesbezüglich noch einige Sorgen bereiten.
Gehackt glaube ich weniger, das ganze hört sich eher nach einer Rückspeicheraktion/ Servertausch seitens des Providers an, allerdings schwer nachzuweisen
Wenn Du öfters mal ein Backup fahren lässt, ist das Risiko geringer, abgesehen vom unzuverlässigen Hosting - Geld an falscher Stelle gespart - Strato wird Dir diesbezüglich noch einige Sorgen bereiten.
Lieber arm dran als Arm ab!
meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
Re: phpwcms Dateien gelöscht (gehackt?)
Hat der Kunde einen eigenen FTP Zugang ?
Welche FTP Zugänge mit welchen Rechten gibt es ?
Einfach mal alle FTP Zugänge ändern (PW)
Welche Besitzer haben die verbliebenen Dateien ?
Im Zeitalter der Online Laufwerke
würde ich jeden Kunden fragen ob er sich zufällig für sowas entschieden hat. Das ganze Netz weiß nichts von Datenverlusten/klau bei Strato, ist also eher unwahrscheinlich.
Im Zweifel dann eher mal alles umstellen auf SFTP, da kann man die "Abhör" Variante dann eher ausschließen.
Welche FTP Zugänge mit welchen Rechten gibt es ?
Einfach mal alle FTP Zugänge ändern (PW)
Welche Besitzer haben die verbliebenen Dateien ?
Im Zeitalter der Online Laufwerke
würde ich jeden Kunden fragen ob er sich zufällig für sowas entschieden hat. Das ganze Netz weiß nichts von Datenverlusten/klau bei Strato, ist also eher unwahrscheinlich.Im Zweifel dann eher mal alles umstellen auf SFTP, da kann man die "Abhör" Variante dann eher ausschließen.
Re: phpwcms Dateien gelöscht (gehackt?)
Danke für die Antworten.
Backup wird von Strato täglich gemacht, das war ganz gut.
Strato verweist pauschal auf eventuelle Lücken in php Skripten.
Der Kunde weiss wahrscheinlich gar nicht was FTP ist. Selber habe ich auf SFTP gewechselt.
DB ist unberührt.
Ich habe jetzt gesehen, dass noch ein anderes kleines php Skript von einer Bildergalerie läuft. Ich werd das mal checken lassen (bin selber kein Coder). Wäre eigentlich schön, wenn das der Sünder wäre, dann hätte ich Klarheit und phpwcms wäre "unverdächtig".
Ansonsten scheint es einfach so, dass willkürlich Dateien gelöscht worden sind. Wie auch immer ...
Ich werde morgen bei Strato nachfragen, ob sie noch ausführlichere Log Dateien zur Verfügung stellen, als nur die Browserzugriffe.
Backup wird von Strato täglich gemacht, das war ganz gut.
Strato verweist pauschal auf eventuelle Lücken in php Skripten.
Der Kunde weiss wahrscheinlich gar nicht was FTP ist. Selber habe ich auf SFTP gewechselt.
DB ist unberührt.
Ich habe jetzt gesehen, dass noch ein anderes kleines php Skript von einer Bildergalerie läuft. Ich werd das mal checken lassen (bin selber kein Coder). Wäre eigentlich schön, wenn das der Sünder wäre, dann hätte ich Klarheit und phpwcms wäre "unverdächtig".
Ansonsten scheint es einfach so, dass willkürlich Dateien gelöscht worden sind. Wie auch immer ...
Ich werde morgen bei Strato nachfragen, ob sie noch ausführlichere Log Dateien zur Verfügung stellen, als nur die Browserzugriffe.
Re: phpwcms Dateien gelöscht (gehackt?)
bei einem kunden hat strato (oder 1&1) sporadisch dateien gelöscht/ auf chmod 000 gesetzt da via falschem phpwcms formularaufbau massenhaft spam verschickt wurde.
Re: phpwcms Dateien gelöscht (gehackt?)
Wie sieht ein falscher Formularaufbau aus? Nur für den Fall, dass auch andere da ungewollt eventuell was falsch machen ...
It's mostly all about maintaining two or three customer's sites Still supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
Re: phpwcms Dateien gelöscht (gehackt?)
ich bekomm es nicht mehr richtig zusammen was es konkret war. den sauberen aufbau eines forms hat og hier irgendwann mal lang und breit erklärt.claus wrote:Wie sieht ein falscher Formularaufbau aus? Nur für den Fall, dass auch andere da ungewollt eventuell was falsch machen ...
maßgeblich sind dabei NICHT der verzicht auf captcha (das ist 2000) sondern das die felder nicht konkret benannt sind a lá
- name
- subject
- text
- send
das macht es spezialisierten scripten sehr einfach.
eher n eigenes prinzip wie
- step_A-A
- step_A-B
- step_B-A
- submitIt
damit senkt sich das spamvolumen auf null und niemand muß sich durch captcha wühlen
-
Oliver Georgi
- Site Admin
- Posts: 9909
- Joined: Fri 3. Oct 2003, 22:22
- Contact:
Re: phpwcms Dateien gelöscht (gehackt?)
Anmerkung zum Thema Formulare!
Formularspam vermeidet heute weder der Einsatz von Captcha noch sonstigen anderweitigen Turing-Tests. Sie minimieren teils nur die Häufigkeit. Auch die Feldnamen sind eher nachrangig. Der größte Fehler ist, den Kunden eine Bestätigungsemail mit wiederum allen gemachten Feldangaben an die eigene E-Mail zu senden. Das ist von Interesse für Spammer, da so Spaminhalte verschickt werden können.
Formularspam vermeidet heute weder der Einsatz von Captcha noch sonstigen anderweitigen Turing-Tests. Sie minimieren teils nur die Häufigkeit. Auch die Feldnamen sind eher nachrangig. Der größte Fehler ist, den Kunden eine Bestätigungsemail mit wiederum allen gemachten Feldangaben an die eigene E-Mail zu senden. Das ist von Interesse für Spammer, da so Spaminhalte verschickt werden können.
- grundsätzlich per SMTP mit vorgeschalteter Spam/Antivirprüfung auch sendend
- Captcha/Touringtext integrieren, um den Aufwand für Maschinen zu erhöhen
- niemals die Inhalte längerer Freitextfelder in der Bestätigungsemail senden
- also: Danke XYZ, wir haben Ihre Anfrage erhalten und kümmern uns darum. Ihr Blup!