Schon wieder gehackt... :(

[wkud]

Er hatte glaube ich gar nicht ein phpBB installiert gehabt oder?

Wohl wahr...
Hmmm... wie bin ich auf dann eigentlich phpBB gekommen? :D

@sf-design: War das eine selbst programmierte Seite?

[Basti]

Er hatte glaube ich gar nicht ein phpBB installiert gehabt oder?

Wohl wahr...
Hmmm... wie bin ich auf dann eigentlich phpBB gekommen? :D

@sf-design: War das eine selbst programmierte Seite?

Jep, war nicht phpBB, bin ja selbst Programmierer

Bei der Seite war jetzt alles bis auf den Counter selbst programmiert. Inzwischen habe ich glaube ich aber schonmal eine Vermutung, wo ein Fehler liegen könnte, da hab ich nämlich eine Lücke für eine GET Variable gelassen.
So konnte wahrscheinlich fremder Code eingeschleust werden.

Ich werde mir aber demnächst auch mal ansehen, wie es um den Counter steht, da der zwar schöne Stats liefert, ich aber natürlich nicht weiß, inwiefern der sicher ist, bei eigenen Scripten kann man das ja immer besser einschätzen.

[iudexone]

Hast du die Seite über include Befehle anzeigen lassen? Vielleicht liegt da ja auch ein Fehler vor, wenn du mehr darüber wissen willst schreib mir mal. Kann eigendlich soviel sein.

[wkud]

Schau dir doch mal die Regeln für sicheres Programmieren auf unserer Homepage an:

http://www.comon-cms.de/dokumentation/e ... ng.91.html

Ich muss zwar dazu sagen, dass es schon speziell für unser CMS geschrieben ist, aber das bedeutet ja nur, dass teilweise bestimmte Funktionen unseres Systems aufgerufen werden.
Wir verwenden ein (eingebundenes) Intrusion Detection System das auf PHP basiert. Das System könntest du aber auch für deine eigene Website verwenden. Es nimmt einem viel Arbeit ab.
Und das Rad muss ja nun wirklich nicht jedes Mal neu erfinden, wenn es rund läuft.
Oder du nimmst gleich unser System, da ist schon alles drin. *grinssss* :D :D

[Basti]

Das System könntest du aber auch für deine eigene Website verwenden. Es nimmt einem viel Arbeit ab.
Und das Rad muss ja nun wirklich nicht jedes Mal neu erfinden, wenn es rund läuft.
Oder du nimmst gleich unser System, da ist schon alles drin. *grinssss* :D :D

Ich hab mir euer CMS auch mal angesehen, es sieht schon gut aus, aber ich bin eben leidenschaftlicher Programmierer und für meine Zwecke sind solche CMS einfach zu umfangreich.
Ich möchte einfach das haben, was ich brauche und dann auch genauso, wie ich es mir vorstelle, diesen Wunsch könnte mir kein CMS erfüllen

Zu eurem System: Natürlich ist es ein nettes Angebot, aber ich möchte ja schon selbst etwas dabei lernen, ansonsten habe ich nicht viel davon, auch wenn ich dann anfangs einige Rückschläge hinnehmen muss (inzwischen konnten soger alle meine Daten wiederhergestellt werden, sodass ich alles in allem keinen Schaden, sondern nur einen Denkzettel mitgenommen habe ^^).
Ich betreibe meine Homepage ja insbesondere, weil ich daran neue Sachen erlernen möchte und mich so verbessern kann.
Wenn ich immer nur etwas anderes nehme, bleibt für mich nicht viel an Erfahrung dabei übrig.

[wkud]

Naja, ist ja kein Problem.
Schau dir diese Regeln ruhig trotzdem mal an.
Dort sind die wichtigsten Dinge erklärt, wie man sicher und trotzdem performant programmiert.
Schau dir auch mal das Intrusion Detection System an, was wir verwendet haben. Es heißt WASP. Das liegt bei uns im /lib/ Ordner drin - oder du googelst mal nach der Homepage von denen. Wenn ich mich richtig erinnere steht dort aber nicht viel.

Oder auch mal hier:

Writing Secure PHP - Part 1: http://www.ilovejackdaniels.com/securit ... ecure-php/
Writing Secure PHP - Part 2: http://www.ilovejackdaniels.com/securit ... ure-php-2/
Writing Secure PHP - Part 3: http://www.ilovejackdaniels.com/securit ... ure-php-3/
Web Application Security: http://www.phpwact.org/security/web_app ... n_security
Learn PHP - Part 4 - Security:
http://www.tectonic.co.za/view.php?acti ... 787&topic=
Top7 PHP Security Blunders:
http://www.sitepoint.com/article/php-security-blunders
PHP Foundations: http://www.onlamp.com/pub/ct/29

[Basti]

So, es gibt neue Nachrichten ^^

Ich hatte eben ein Gespräch mit "meinem" Hacker. Durch die IP hatte ich schon die richtige Vermutung, er war aus einem anderen Forum in dem ich noch aktiv bin.
Er hat sich als äußerst hilfreich erwiesen ^^
Ich habe mit ihm über meine Homepage geredet und er hat mir gesagt, wie er vorgegangen ist und wo der Fehler lag.
Und es war sogar ein richtig dummer und banaler Fehler, der in meinem Login-Script war.
Ich hatte nicht dem Fall vorgebeugt, dass nichts eingegeben wurde und man konnte sich daher ohne Angaben ganz leicht einloggen, was mir ziemlich peinlich ist, weil es wirklich ein dummer Fehler ist.
Danach hat er mir noch ein paar Tipps gegeben und meine Sicherheitsvorkehrungen für SQL Injections und XSS waren seiner Meinung nach effektiv, da er darüber nicht angreifen konnte (z.B. beim GB).
Ich bin ihm auch gar nicht böse, da er mir sehr geholfen hat und ein paar gute Tipps gegeben hat, außerdem weiß ich jetzt, wie er vorgegangen ist und konnte meine Fehler nachvollziehen.
Da ich im Endeffekt auch keinen Schaden mehr hatte (es konnte ja alles wiederhergestellt werden), sehe ich die Sache auch nur noch positiv, auch wenn ich am Wochenende ziemlich geschockt war und schlecht schlafen konnte ^^
Wenn ich meine Seite geändert habe, wird derjenige nocheinmal gucken, ob es Sicherheitslücken gibt. Ich werde jetzt aber erst noch das evtl. Tut abwarten und mich weiter informieren, auch wenn der Hacker meinte, es würde reichen, den Bug zu entfernen.

Also, mehr oder weniger Happy End ^^

[Dac-XP]

Also ich kann zwar deine Erleichterung nachvollziehen, nicht aber die Tatsache, dass du das jetzt gutheißt.
Er hätte dir ja schließlich einfach mal bescheid geben können. Aber dann alles zu löschen, und sich gar nicht zu melden (und das zwei mal) ist eine Sache, die nicht von einem guten Charakter zeugt.

Andererseits hast du bei einem solch banalem Fehler die eine oder andere schlaflose Nacht wohl verdient.

[Basti]

Also ich kann zwar deine Erleichterung nachvollziehen, nicht aber die Tatsache, dass du das jetzt gutheißt.
Er hätte dir ja schließlich einfach mal bescheid geben können. Aber dann alles zu löschen, und sich gar nicht zu melden (und das zwei mal) ist eine Sache, die nicht von einem guten Charakter zeugt.

Er hat sich ja eben von selbst gemeldet. Ich hätte mich zwar auch melden können, aber ich war mir nicht 100%ig sicher, deshalb habe ich es gelassen.
Außerdem finde ich es nicht unbedingt schlimm, wenn er das macht. So ist mir mein Fehler wenigstens bewusster, im Endeffekt hatte ich ja keinen Schaden.
Klar ist der Charakter ein wenig komisch, wenn man Spaß daran hat, jemandem zu schaden, aber bei mir hielt es sich noch in Grenzen und ohne ihn hätte ich die blöde Sicherheitslücke wohl nicht gefunden

[Christopher]

Ist natürlich fies, aber wenn es noch zu einen "Happy End" kam, kann man diese Aktion ruhig belächeln!

[Dac-XP]

Er hat sich ja eben von selbst gemeldet.

Achso, dann geht es ja noch. ^^
In zwei Jahren wirst du auf dieses Ereigniss zurückblicken, und dich entweder in Grund und Boden schämen, oder aber herzhaft drüber lachen.

Ich habe mir letztens meine ersten Posts auf tutorials.de durchgelesen, und bin erstaunt, wie geduldig andere Member mit mir umgegangen sind aufgrund meiner offensichtlichen Unwissenheit und "dummheit"

[Basti]

Ich habe mir letztens meine ersten Posts auf tutorials.de durchgelesen, und bin erstaunt, wie geduldig andere Member mit mir umgegangen sind aufgrund meiner offensichtlichen Unwissenheit und "dummheit"

Ja, aber ich denke sowas gehört auch zum "Werdegang" dazu, es fängt eben jeder einmal klein an.
Wenn ich an meine Designanfänge zurückdenke bin ich zwar nicht schockiert, aber ich muss doch schon lachen was ich da für Sachen mit Frontpage gemacht habe.
Aus Erfahrungen lernt man eben noch immer am besten

[Lukas]

Hm aber das 1. mal hattest du doch nen Haufen Arbeit oder?
Also ich finde er hätte wenigstes selber sichern können und dir dann ein backup machen ^^
Wenn er schon alles löschen muss und "eigtl keine bösen Absichten hat"

Naja trotzdem gratz zum Happy End und zum neuen Security Berater

[iudexone]

Naja dann muss es ja nicht gleich ein so guter Hacker sein. Sowieso würde ich ihn eher Cracker nennen. Und ihm vertrauen würde ich auch nie. Warum hat er deine Seite denn zweimal komplett kaputt gemacht? Wenn er ein Hacker wäre hätte er deine Startseite verändert und dich darauf aufmerksam gemacht.

Du könntest ihn mit der IP sogar anzeigen, was er gemacht hat ist illegal. Ich würde es nicht so locker nehmen wie du.

[Basti]

Naja dann muss es ja nicht gleich ein so guter Hacker sein. Sowieso würde ich ihn eher Cracker nennen. Und ihm vertrauen würde ich auch nie. Warum hat er deine Seite denn zweimal komplett kaputt gemacht? Wenn er ein Hacker wäre hätte er deine Startseite verändert und dich darauf aufmerksam gemacht.

Du könntest ihn mit der IP sogar anzeigen, was er gemacht hat ist illegal. Ich würde es nicht so locker nehmen wie du.

Ja, er hat das was er gemacht hat selbst auch Crack-Versuch genannt, wobei ich da nicht so genau die Unterschiede kenne.
Er hatte in die veränderte index-Datei Hinweise und eine Email geschrieben, aber die Datei hab ich mir gar nicht so genau durchgelesen da ich sie direkt überschrieben habe.
Natürlich ist es nicht lobenswert, dass er das gemacht hat, aber ich bin insofern nicht böse, weil ich keinen Schaden mitgenommen habe.

Anzeigen könnte ich ihn, aber da er sich von selbst gemeldet hat und für mich keinen weiteren Schaden angerichtet hat, seh ich davon ab.
Wenn er jetzt irgendwie neue Domains registriert hätte oder sonst, also wo ich dann erstmal wieder viel Schriftkram und sowas machen müsste, dann hätte ich ihn auch angezeigt, aber in diesen Bereich ist er zum Glück nicht gekommen.

Beim nächsten Mal werde ich aber bestimmt nicht mehr so großzügig sein. Ich hab mir aber schon wieder viele neue Infos durchgelesen (die Links von wkud sind wirklich hilfreich) und hoffe, dass ich damit erstmal alle Lücken dauerhaft schließen kann, auch wenn es nie 100%ige Sicherheit gibt.