Webseite "gehackt" wie weiter?

[aargau]

Hallo zusammen,
heute gegen 17.00 Uhr habe ich auf meiner Webseite bemerkt das die Nicknames aller Admins geändert wurden. Zuerst dachte ich es seie en scherz eines Admins. Da ich aber schnell herausgefunden habe das dies nicht so war habe ich die webseite offline geschalten und zuerst mal ein backup gemacht.

Nun habe ich bemerkt das sich irgend jemand beim account eines anderen Admins eingeoggt hat, anscheinend zumindest...
meine frage ist nun: Kann ich anhand der Logs herausfinden wer (IP) das war?
denn so wie ich die logs sehe, sehe ich da nur von welcher IP welche datei geöffnet wurde und somit nicht mit welchem Username der sich eingeloggt hat.

Sollte es wirklich nur das einloggen beim admin gewesen sein, denke ich nicht das ich mit weiteren solchen fällern rechnen muss, denn ich habe nun allen gesagt sie müssen ihr pw sofort ändern.

Mich verwundert nur, das ein User welcher mit der IP, wo er sich beim Admin eingeloggt het 3 accounts hat. Das komische daran ist nur die E-mail adressen der accounts sind ungültig. zum aktivieren des Accounts muss man jedoch ein E-Mail empfangen mit einem Link.

Nun meine Frage:
Kann es sein das ein gmail.com konto gelöscht wurde nach wenigen (ca 50) tagen?

und wie sollte ich nun vorgehen das mir sowas sicher nicht mehr passiert?

PS: Ich weis das das ganze wenig mit PHP zu tun hat, aber die Webseite basiert auf PHP

Übrigens ist die webseite mit einer mysql DB aufgebaut und sämtliche SQL Querys werden gegen sql injectinons geprüft

 

[splasch]

Sollte es wirklich nur das einloggen beim admin gewesen sein, denke ich nicht das ich mit weiteren solchen fällern rechnen muss, denn ich habe nun allen gesagt sie müssen ihr pw sofort ändern.

Also wenn einer sich in einen Fremden Acount eingelogt hat. Dann hat er sicher dafür auch kein Password verwendet sondern ist das umgangen. Von daher nutz dir eine pw änderung sehr wenig bis garnicht!

Mfg Splasch

 

[DeluXe]

[...] und zuerst mal ein backup gemacht. [...]

Von der gehackten Version? Sehr sinnvoll..

[...] Kann ich anhand der Logs herausfinden wer (IP) das war? [...]

Nein.

[...] sehe ich da nur von welcher IP welche datei geöffnet wurde und somit nicht mit welchem Username der sich eingeloggt hat. [...]

Richtig.
Wer sich wann mit welcher IP und so weiter bei dir einloggt, kannst du allein durch das CMS - in so fern es eines ist - speichern.

denke ich nicht das ich mit weiteren solchen fällern rechnen muss

Einmal ist schließlich keinmal.

Mich verwundert nur, das ein User welcher mit der IP, wo er sich beim Admin eingeloggt het 3 accounts hat. Das komische daran ist nur die E-mail adressen der accounts sind ungültig. zum aktivieren des Accounts muss man jedoch ein E-Mail empfangen mit einem Link.

Schon komisch. Aber naja, ein Bug wird es schon nicht sein, das wäre ja doof.

Kann es sein das ein gmail.com konto gelöscht wurde nach wenigen (ca 50) tagen?

Warum nicht? Kannst ja mal bei Google anfragen. ;-)

und wie sollte ich nun vorgehen das mir sowas sicher nicht mehr passiert?

Schau dir mal vermeintlich sichere Loginskripte an und vergleiche diese mit deinen.
Hier auf tutorials.de soll es auch eins geben, aber das habe ich mir noch nie angesehen und kann es somit nicht beurteilen.
Zu diesen Themen gibt es hier im Forum jedoch unzählige Freds.

 

[aargau]

also:
Die E-Mail adressen sind gültig... habe da nur was falsch gelesen

Nun wie sollte er das ganze denn umgehen können? Ich habe dazumals das Loginscript hier auf tutorials.de genommen, dieses wurde aber sehr schnell extrem erweitert.

er müsste ja seine ID ändern können und irgend wie kann ich mir nicht so einfach vorstellen wie das geht

ID ist NUR in $_SESSION["user_id"]

das komische ist, er hat wirklich den account mit dem einfachsten PW genommen. Der account hat jedoch nicht so viele berechtigungen (zum glück)

zum backup:
Das habe ich zur sicherheit gemacht, fals ich den idioten anzeigen werde.

Edit: Im Anhang ist das Script zum einloggen...

 

[splasch]

Ich hab mal kurz in dein Script reingeschaut. Also als ganz sicher würd ich es nicht bezeichnen.
Ein weiter wichtiger Punkt were wie du die Session Prüfst?
Wer sagt den das ein hacker dein Login script überhaupt nutzt. Meisten versuchen Sie sollche sachen einfach zu umgehen.

Also sich einlogen ohne den Login zu nutzen.
Die einfachste Methode dabei ist einfach sich die Session holen wenn jemand damit eingelogt ist.

Mfg Splasch

 

[aargau]

ob ein user eingeloggt ist wird zuerst mal so überprüft:
- existiert ein cookie, wenn ja wird die cookie ID mit der in der DB verglichen (ID ist eine zusammensetzung aus zeit,ip etc...) danach wird die session erstellt
(wie beim login)
$_SESSION["user_id"] = $data["id"] ;
überprüft ob ein user eingeloggt ist wird so:

if($_SESSION["user_id"])
{
// Page mit memberbereich etc
} else {
kei access zum memberbereich, nur zugriff auf freigegebene dateien

ob ein user admin ist, wird bei den jeweiligen scripts selbst überprüft
if($_SESSION["admin_level"] == "1")
{
echo "<a herf=...." ;
}

nun meine frage, was würdest du am login system verbessern? und wie würdest du das mit der kontrolle tun? das da bestimmt kein User einfach die ID eines admins missbrauchen kann

 

[PowerCheat]

Also habe mir das Sript auch mal angesehen, also sehr sicher ist es nicht. Grundsätzlich wäre es möglich immer, rein zu kommen.


Vielleicht wurde ein cookie hijack gemacht... wohl kaum, weil es dort abgesichert ist.

Aber vllt. ist es möglich i-wo eine SQL injection zu machen, und sich das PW auch wenn md5 verschlüsselt zu reversen...

ich denke da so an xmd5.com z.b.

 

[splasch]

nun meine frage, was würdest du am login system verbessern? und wie würdest du das mit der kontrolle tun? das da bestimmt kein User einfach die ID eines admins missbrauchen kann

Als aller erstes würde ich deine Prüfung ändern die Prüft ob jemand eingelogt ist!
cookies und die Session klauen ist für ein hacker ein kinderspiel.
Das würd bei deiner Prüfung schon ausreichen.

Der hacker were damit schon erfolgreich bei deinem System eingelogt.

Ps.
Was in der Session selbst steht interresiert einen hacker nicht die Richtigen werte bekommt er ja automatisch durch den Session klau.

Mfg Splasch

 

[aargau]

also sql injections schliesse ich eigentlich aus, weil ich jede php datei mehrmals durchgecheckt habe ob irgend wo noch ein query ist ohne die überprüfung.

was gibt es denn da für andere login überprüfungs möglichkeiten, die man nicht umgehen kann?

Ich würde zwar mal behaupten das der jetzige angriff nur von einem anfänger gekommen ist der das PW geknackt hat, aber man weis nie was noch kommt. Denn der angreiffer ist schon seit langem mitglied und hatte auch immer die selbe IP

 

[PowerCheat]

Naja meistens ist für solchen Artaken fast immer zu sagen die User sind Schuld... besonderes wenn Sie überall das gleiche PW verwenden, gleiche Nicknames usw. Dadurch kann man sehr schnell identitäts diebstehle verzeichnen.

Ich würde auch immer, PW's mit sonderzeichen Verlangen und keine pws nur aus klein buchstaben und zahlen, immer alles Gemixt. und alles doppelt verhashen, mit salt.