#1 18. Februar 2006 Hi, Der Ragnarok Online pserver auf dem ich zurzeit Zocke wurde heute gehacked, und der Admin des Servers sucht noch jemanden der den Server etwas gegen hacker sichern kann. Ich hoffe jemand versteht etwas davon und kann uns helfen ;( MFg Shiro P.S Ich hoffe das ist der richtige Bereich dafür 8o + Multi-Zitat Zitieren
#2 18. Februar 2006 inwiefern wurde der server denn gehackt? admin axx gehackt oder zugepingt? + Multi-Zitat Zitieren
#3 18. Februar 2006 Nja ich schätze mal der Admin acc, da die Homepage der Server und das Forum nacheinander gehackt wurden 8o + Multi-Zitat Zitieren
#4 18. Februar 2006 Hi, 1.) schwierige Passwörter machen 2.) Nach Sicherheistlücken suchen 2.1) gegen (D)Dos sich schützen ( z.b. Timeout nach 500 connections / sec o.ä. ) 2.2) Im Internet ( http://www.milw0rm.com ; http://www.frsirt.com/exploits/ ) nach Exploits für euere Software suchen ( z.b. für WBB <= 2.3.1 ) 2.3) Admin-Acc ändern, User untersuchen Mehr fällt mir grad auch ned ein. Ich frag mich , wie der Hacker das wohl gemacht hat oO + Multi-Zitat Zitieren
#5 19. Februar 2006 Gegen richtige Hacker kannst du noch so schwere PW nehmen. Wenn da ein richtiger Hacker am Werk war kannst dich eigentlich gar nicht schützen, nur wenn es ein "möchtegern Hacker" war..^^ + Multi-Zitat Zitieren
#6 19. Februar 2006 1. sql sichern. am besten die alte nehmen, mann weiß nie, ob jemand sich schon, mit exec, rechte in diser eingetragen hat. 2. Neue Board Software einspielen 3. Chmod 777 Ordner entweder auf 644 ändern, oder mit nem .htaccess schützen. 4. find / -name '*.php' | xargs grep (exec, passthru, eval) einzelt testen. Schauen ob ein Backdoor vorhanden ist. Wenn Ja, hat sich die antwort je erklärt ! 5. SafeMode auf ON 6. Für die Zukunft; Mod´s / Admins, Generell ein Passwort verwenden, daß aus mehr als 8Zeichen Besteht. Verwendet SonderZeichen, Zahlen, Klein & Groß Buchstaben. Habt nen Eigenen Server; 7. Standart Board´s verwenden; $db_pw = md5($pw); ersetzen durch --> $db_pw = md5(md5($pw) . 'EUERpers.salt') convertierung von einem normalen, zu einem sichereren hash geschieht dann, mit folgendem einfachen query UPDATE user SET password=MD5(concat(password, 'salt')) 8. Setzt Mod Filter ein; Code: # generic attack sig SecFilterSelective THE_REQUEST "cd\x20*\;(cd|\;|echo|perl|python|rpm|yum|apt-get|emerge|lynx|links|mkdir|elinks|cmd|pwd| wget|id|uname|cvs|svn|(s|r)(cp|sh)|rexec|smbclient|t?ftp|ncftp|curl|telnet|gcc|cc|g\+\+|\./)" # generic filter to prevent SQL injection attacks SecFilter "[[:space:]]+(select|grant|delete|insert|drop|alter|replace|truncate|update|create|rename| describe)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]+[[:space:]]+(from|into|table|database|index|view)[[:space:]]+[A-Z|a-z|0-9|\*| |\,]" # generic PHP remote file inclusion attack SecFilter "\.php\?" chain SecFilter "(http|https|ftp)\:/" chain SecFilter "cmd=(cd|\;|perl|python|rpm|yum|apt-get|emerge|lynx|links|mkdir|elinks|cmd|pwd|wget|id| uname|cvs|svn|(s|r)(cp|sh)|rexec|smbclient|t?ftp|ncftp|curl|telnet|gcc|cc|g\+\+|\./)" # generic sig for more bad PHP functions SecFilterSelective THE_REQUEST "chr\(([0-9]{1,3})\)" SecFilterSelective THE_REQUEST "chr\([0-9a-fA-Fx]+\)" # SQL injection attacks SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" + Multi-Zitat Zitieren