Forum > config.php auslesen? 
|
DOTLAN Intranet / Portal >> Probleme und Fehler > config.php auslesen? |
Antwort erstellen |
| Autor | Thema: config.php auslesen? | ||||
|
|
||||
|
NEW Clan: N(etwork)-o(stalb)-G(roup) Postings: 14 |
Hallo Community, wir haben auf unserem System (Dotlan mit Debian 2.6, apache 2 und PHP 4) das Problem, das es ein User (grind) immer wieder schafft sich einen Account zu erstellen. Die Logfiles von Dotlan sind in diesem Bezug nicht aussagekräftig und die Apache Logfiles auch nicht wirklich. Jetzt vermute ich, das er sich die Zugangsdaten für die Mysql-Datenbank für dotlan verschafft hat (den alle andere Accounts sind unberührt) und sich dort immer wieder den User erstellt. Diesbezüglich meine Frage, ist es möglich, die config.php auszulesen um an die Zugangsdaten zu kommen? Vielen Dank im Voraus für eure Hilfe. Foxi |
||||
|
|
||||
 NEW Clan: dotlan.net Postings: 1252 |
eigentlich sollte er die config.php nicht auslesen können. Aber was für eine Art von Account meinst du? Admin Account oder normaler User Account. Ich löscht/sperrt den User und kurz darauf hat er sich neu registriert oder was meinst du genau?
|
||||
|
|
||||
|
NEW Clan: N(etwork)-o(stalb)-G(roup) Postings: 14 |
Hi Griffon, der User verschafft sich immer wieder einen neuen Admin-Account. Ich bekommme keine Userregistration mit, ebenfalls legt er sich selbst eine ID im dotlan an (diese wird ja eigentlich selbst generiert), daher vermute ich, das er Zugriff auf die Datenbank hat, auf der Dotlan läuft, anders kann ich es mir nicht vorstellen. Ich lösche immer wieder den account und ein paar Tage später ist der account wieder da (und dieser Witzbold erstellt immer wieder Newsbeiträge bei uns, in welcher er sich zurückmeldet). Hab schon die IP´s sperren lassen, doch dann benutzt er wieder neue, mal aus USA, dann Thailand oder sonstige Asiatische Länder. Ich sag mir ebend, wenn ich die Userdaten der SQL-Datenbank ändere, wie schnell kann er diese wieder auslesen bzw. knacken. Foxi |
||||
|
|
||||
|
NEW Clan: dotlan.net Postings: 1252 |
Zu den Möglichkeiten: Es ist möglich das er einen bereits bestehenden Adminaccount missbraucht um seinen registrierten User Adminrechte zu vergeben. Dann würdest das allerdings ein Logeintrag in DOTLAN Log Viewer unter admin_team::member_edit oder member_new finden. Dann könnte man nachvollziehen ob welchen AdminAccount er missbraucht hat. Wenn dort kein Eintrag ist, haben wir natürlich ein Problem. Weil dann hat er nicht die Formulare auf der Webseite benutzt sondern hat sich direkt in die Datenbank eingeklickt. Entweder über SQL Direkt, über phpMyAdmin oder über die Admin Support Tools die ja auch Datenbank Zugriff enthalten (welcher aber nur mittels DB Login Daten funktioniert). Bitte melde dich mal bei mir per Telefon. Vielleicht kommen wir dann der Sache näher. Ich schreib dir mal grade ne PM. |
||||
|
|
||||
|
NEW Clan: dotlan.net Postings: 1252 |
Noch ein Tipp: Im Feld "last_ip" der User Tabelle werden die letzten 10 benutzten IP Adressen inkl. Datum und DNS Namen mitgeschrieben. So kannst du vielleicht sehen wenn jemand mit der selben IP Adresse 2 Accounts gleichzeitig benutzt hat. Eine SQL Suche
|
||||
|
|
||||
|
NEW Clan: N(etwork)-o(stalb)-G(roup) Postings: 14 |
Hi Griffon, ich hab mir jetzt mal die Log Einträge angeschaut, leider find ich unter den Angaben überhaupt nichts, keinen neuen Admin oder einen edit eines bestehenden Admin-Accounts. Ebenfalls hab ich die SQL-Datenbank durchgeschaut, ebenfalls find ich unter den IP Adressen keine doppelten (d.h. es wurde anscheinend kein Account mißbraucht). Jetzt wird die Suche natürlich etwas schwieriger. Ich hab dir noch einen PM zurückgeschrieben. Hoffe das klappt. Danke Foxi |
||||
|
|
||||
|
NEW Clan: 0 Postings: 3 |
hallo .. prüfe mal ob er bereits etwas ins forum geschrieben hat - oder sonstig auf der Seite aktiv war. aller wahrscheinlichkeit handelt es sich hier um einen cookie stealer. Dabei sammelt er "admin" daten und loggt sich dann als admin ein  wie ich bereits in nem anderen post hier beschrieben habe ist dies durch das einbinden von FLASH dateien möglich. also schau mal in eurem forum nach einträgen mit flash code ^^ wenns das nicht is - tuts mir sorry  gruß Robert |
||||
|
|
||||
|
NEW Clan: dotlan.net Postings: 1252 |
|
||||
|
|
||||
|
NEW Clan: Freaknet Postings: 124 |
 1. wenn möglich die MySQL-DB für externen Zugriff sperren. Das geht nur, wenn die MySQL-DB auf dem gleichen Server liegt wie der Apache, der darauf zugreift. 2. Passwort für die MySQL-DB ändern und entsprechend die config.php anpassen. 3. Passwort für phpMyAdmin und Webmin ändern, falls vorhanden. Das sollte bis hier hin den Zugriff auf die MySQL-DB verhindern. 4. FTP-Zugänge überprüfen (wer darf alles zugreifen) und alle Passworte ändern/unnötige FTP-Accounts deaktivieren/löschen. Das macht den Zugang zur config.php unmöglich. 5. Passworte auf MD5-Verschlüsselung setzen, falls noch nicht geschehen. 6. Passworte aller Admins ändern. Damit er sich keine Rechte über das dotlan holen kann. Und ganz wichtig: mal alle Dateien überprüfen. Wenn der Typ mal Zugriff per FTP hatte, hat er eventuell in irgendeinem Unterverzeichnis eine Datei abgelegt, die ihm bei Aufruf im Browser die config.php im Klartext anzeigt, quasi komplett als Text importiert. __________________ https://www.freaknet.de/ |
||||
|
|
||||
|
NEW Clan: lanabuse.de Postings: 105 |
OK, nicht das aktuellste Thema, aber was mir dazu noch einfällt: Wenn ihr eure Config direkt auf dem Server mit z.B. nano oder einem anderen Editor bearbeitet, dann erzeugt der eine temopräre Datei, die mit einer Tilde endet. Die wird dann normalerweise nicht durch den php Interpreter umgesetzt, sondern direkt ausgegeben. Mit nen bissel Pech bricht dann auch noch die ssh Verbindung ab, und die temoräre Datei bleib unbemerkt dauerhaft liegen... |
||||
| [ Antwort erstellen ] | |||||
