Account gehackt, PW geändert

das problem ist eher, dass es den meisten h4xZ0rz gelingt config files auszulesen und daher das kennwort 1:1 ablesen können, da bringt das sicherste passwort nichts mehr… viel mehr sollte man auf die sicherheit der eingesetzten websysteme achten und nicht allzu grosszügig mit chmods umgehen.

und noch ein tipp der gold wert sein kann, verwendet verschiedene kennwörter. die meisten ucp-hacks wären nämlich so vermeidbar gemesen(!)

ich würde so unterscheiden:

  • pw für db, ftp, config
  • master-pw für email, acp, …
  • pw für unwichtigere seiten, …

Man könnte auch das Passwort auf nem USB Stick sichern,
dort machste nen Ordner „Urlaubsbilder 2009“ oder so mit vielleicht 20 Bildern drinne wovon eines eine Bilddatei is in die du (mit irgendem Bildbearbeitungsprogramm) das PW reinschreibst.

So macht es mein Sohn immer - er hats mir verraten :ps:

Klingt eigentlich ziemlich sicher,
da das PW so ja nichtmal als Text gespeichert ist und vermutlich von Trojanern oder so schwerer auslesbar ist.

Ansonsten glaube ich eigentlich nicht, das MySQL Passwort oder so geändert wurden,
weil wäre das so, dann dürfte Joomla! doch eigentlich nichtmehr laufen.

Dennoch viel Erfolg beim Detektivspiel und der Tätersuche :smiley:

Gruss
Jan

auf keinen fall!!! unbedingt verschiedene kennwörter verwenden!

[quote=“DMC”]das problem ist eher, dass es den meisten h4xZ0rz gelingt config files auszulesen und daher das kennwort 1:1 ablesen können, da bringt das sicherste passwort nichts mehr… viel mehr sollte man auf die sicherheit der eingesetzten websysteme achten und nicht allzu grosszügig mit chmods umgehen.

und noch ein tipp der gold wert sein kann, verwendet verschiedene kennwörter. die meisten ucp-hacks wären nämlich so vermeidbar gemesen(!)[/quote]

Eine verschlüsselung wäre gut,
d.h. du hast praktisch inner Config iwie wfjklgfgdnASLFngl oder sowas stehen,
mit dem kannste dich aber nirgendseinloggen weils z.B. die Verschlüsselung für “meinpasswort2000” oder so ist :wink:

Is bei phpBB beim Accountsystem ja z.B. auch so - durch MD5 steht inner Datenbank nicht “testpasswort” wenn du bei der Registrierung als Passwort “testpasswort” angegeben hat, sondern da steht irgend n anderer Code, mit dem du dich aber nicht einloggen kannst, sondern einloggen geht wiederum nur mit dem Passwort “testpasswort”.

Finde ich eigentlich ziemlich genial diese verschlüsselung, wobei glaube auch die schon hackbar ist.

Liebe Grüße
Jan

wieso kann man die config datei auslesen ?
PHP läuft doch serverseitig, da bekommt der client doch gar nix mit .

auf keinen fall!!! unbedingt verschiedene kennwörter verwenden![/quote]
sry, stimmt. dann ist der schaden eingegrenzt

[quote=“Der_Admin”]wieso kann man die config datei auslesen ?
PHP läuft doch serverseitig, da bekommt der client doch gar nix mit .[/quote]

schon richtig, aber manche kriegen es so hin, dass der client dir die nicht intepretierte config-datei zum download gibt

aha !
mit ner download.php :ps: oda ?

[quote=“Der_Admin”]wieso kann man die config datei auslesen ?
PHP läuft doch serverseitig, da bekommt der client doch gar nix mit .[/quote]

das stimmt schon, leider gibt es immer wieder schlupflöcher, um doch an die files ranzukommen. darauf müssen wir aber jetzt hier nicht näher eingehen.

ok

auf keinen Fall!!! unbedingt verschiedene Kennwörter verwenden![/quote]
sry, stimmt. dann ist der schaden eingegrenzt[/quote]
Wieso stimmts… stimmt net :stuck_out_tongue:
Ich weiß zwar nicht was mit Config gemeint ist, aber DB + FTP können gleich sein.
Wer das FTP PW hat, hat automatisch das DB Passwort. Ok im falle der DB wäre es nicht so, aber wer holt sich bitte das DB Passwort wenn er es automatisch bekommt wenn er FTP hat^^

Mit Config ist vermutlich sowas gemeint wie z.B. das ACP in phpBB.
Klar haben alle drauf zugriff, die Adminrechte haben,
ich z.B. richte phpBB jedoch z.B. immer so ein, dass es ein “Admin” Konto mit Gründerrechten gibt. Nur mit dem hätte man halt volle Rechte und so ist da auch kein Problem,
weil dann hat man seinen eigenen Account, fürs Forum. Das man mal Gründerrechte braucht ist ehr selten, somit kann man dem Admin dann nämlich ein sehr sicheres Passwort geben.

Den eigenen Account gleichzeitig als Gründer zu verwenden halte ich für nicht sehr sinnvoll.

Ich gehe also mal davon aus, das Administrationsbereiche und Konfigurationen eines systemes mit “Config” gemeint sind.

Gruss
Jan

überleg nochmals … es geht hier um schadensbegrenzung.

Das hat jetzt zwar nicht direkt etwas mit diesem Problem, ich hätte aber trotzdem eine Anregung an das bplaced Team:

Wie wäre es mit einem Secure-FTP Zugang?

Mit Config meinte ich eher Konfigurationsdateien

Wow, jetzt wird dieser Thread ellenlang, ich sehs schon kommen :ps: :p
Naja, damals hatte ich meine PWs auch alle mit nem MasterPW auf nem Stick gespeichert, dafür hab ich 1A Password Manager (oder ähnlich) benutzt…
Jetzt hat der Hacker das MyPC Passwort für die Datenbank geändert…
Hoffentlich kann das Miro mal ändern, wenn er Zeit hat, denn das war für mich die wichtigste DB…
MfG,
DHMH

aso(fiel mir grade zu dem thema ein…):
viele editoren speichern in backups (zum beispiel ‘test.php~’), das problem ist dass diese datein versteckt sind und standartmäßig auf m computer nicht angezeigt werden.
das problem:
wenn man nun ein verzeichnis mit solchen datein per ftp rüberzieht, dann kann jeder der die datei über den browser öffnet den kompletten code sehn
fazit: niemals solche datein rüberziehn…