Hackerangriff

Hallo liebes Support-Team!
Ich benutze Piwik seit langer Zeit, gestern wurde ich Opfer eines Hackerangriffes. Seitdem ist auch meine Piwik-Installation beschädigt, ich habe eine Meldung erhalten dass ich dies hier melden soll, aus Angst dass noch mehr kaputt geht habe ich mich seit gestern nicht mehr eingeloggt, ich weiss ziemlich genau dass der Angriff von einer Person aus Braunschweig gestartet wurde, und nicht von einem Programm. Ich habe deswegen Strafantrag bei verschiedenen Polizeibehörden gestellt. Hier der Text:

Sehr geehrte Damen und Herren!
Gegen 15 Uhr bekam ich eine Mail
(Anhang Nr.1)
von einem gewissen Ralf, der sich erfogreich in meinem Forum:
http://prisodi.de/computer/forum_software_hardware/
registriert hatte und eine Frage wegen angeblich defektem Arbeitsspeicher
in das gemeinnützige, unkommerzielle Forum gepostet hatte.
Exakt den selben Text hatte er auch über den Service Foxyform
an meine Mailadresse prisodi@web.de zustellen lassen.
(Anhang Nr.2)
Er war laut meinem Statistikprogramm “Piwik” über eine halbe Stunde
in dem Forum, und nachdem ich ihm daraufhin versucht habe
eine hilfreiche Antwort zu geben, begann er eine halbe Stunde später
das gesamte Forum zu löschen und zu zerstören.
Ich habe ja seine IP und stelle deswegen offiziell Strafantrag
und bitte um Hilfe, bzw. Informationen was ich jetzt machen soll.
Auch mein Statistikprogramm unter prisodi.de steht zum Verkauf
ist angegriffen wurden.
Mit freundlichem Gruß und Bitte um Antwort, (…)

Ich würde euch bitten euch das mal anzugucken, und mir vielleicht verraten würdet ob da noch etwas zu retten ist, und was ich jetzt machen kann dass mich dieser Mensch, der wohl zeigen will was er kann, in Ruhe lässt.
Meine Piwik-Installation

Danke, im Voraus, vielleicht ist die Sache ja auch für euch hilfreich, ich würde euch auch temporären Zugriff mit Passwort, u.s.w., auf alles geben was auf meinem Server ist!
Uwe Martin, 38124 Braunschweig

Liebes Support-Team!
Ich selber habe mir vor ein paar Jahren selber beigebracht HTML in reinem Text zu schreiben,
leider kann ich kein PHP oder Javascript, deswegen hoffe ich wirklich dass Jemand sich der Sache mal annimmt, und mir wenigstens sagt was ich jetzt machen muss, damit dieser dumme MENSCH, (kein Programm ist hier am Werk gewesen), nicht weiter machen kann.

So hatte sich alles abgespielt:
Ich erhielt folgende Mail dass sich Jemand tatsächlich mal in meinem Forum:
http://prisodi.de/computer/forum_software_hardware/
registriert hatte, Name “Ralf”.
Dies ist der komplette Text mit Header dieser Mail:
From - Sat Aug 11 14:33:17 2012
X-Account-Key: account11
X-UIDL: 000006894a819aeb
X-Mozilla-Status: 0009
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: 123abc321cba@uwemartin-bs.de
Delivered-To: 123abc321cba@uwemartin-bs.de
Received: from mx3.goneo.de (mx3.goneo.de [212.90.139.33])
by mailbox1.goneo.de (Postfix) with ESMTP id 7668D11F847
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:23 +0200 (CEST)
Received: from mx3.goneo.de (localhost [127.0.0.1])
by mx3.goneo.de (Postfix) with ESMTP id 7477940545C
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:23 +0200 (CEST)
X-Virus-Scanned: by goneo
X-Spam-Flag: NO
X-Spam-Score: 2.266
X-Spam-Level: **
X-Spam-Status: No, score=2.266 tagged_above=-9999 required=5
tests=[AWL=-0.072, BAYES_50=0.8, FROM_LOCAL_HEX=0.006,
FROM_STARTS_WITH_NUMS=0.738, RDNS_NONE=0.793, TVD_SPACE_RATIO=0.001]
autolearn=no
Received: from mx3.goneo.de ([127.0.0.1])
by mx3.goneo.de (mx3.goneo.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id D_qEaMisLRyY for 123abc321cba@uwemartin-bs.de;
Sat, 11 Aug 2012 13:40:21 +0200 (CEST)
X-policyd-weight: NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 NOT_IN_IX_MANITU=-1.5 HELO_IP_IN_CL_SUBNET=-1.2 (check from: .uwemartin-bs. - helo: .webrelay1-1.goneo. - helo-domain: .goneo.) FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -7.7
Received: from webrelay1-1.goneo.de (unknown [212.90.139.253])
by mx3.goneo.de (Postfix) with ESMTP id 9BCDE405461
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:21 +0200 (CEST)
Received: from webrelay1.goneo.de (localhost [127.0.0.1])
by webrelay1.goneo.de (Postfix) with ESMTP id 6D2F32170E5
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:21 +0200 (CEST)
X-Virus-Scanned: by goneo
X-Amavis-Alert: BAD HEADER SECTION, Missing required header field: "Date"
Received: from webrelay1.goneo.de ([127.0.0.1])
by webrelay1.goneo.de (webrelay1.goneo.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id F_I21dIacgNH for 123abc321cba@uwemartin-bs.de;
Sat, 11 Aug 2012 13:40:18 +0200 (CEST)
Received: from goneo.de (w2.goneo.de [82.100.220.32])
by webrelay1.goneo.de (Postfix) with ESMTP id 162D52170D7
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:18 +0200 (CEST)
To: 123abc321cba@uwemartin-bs.de
Subject: PriSoDi-Soft-, und Hard-Ware Forum Braunschweig
X-PHP-Script: prisodi.de steht zum Verkauf for 217.186.244.89
From: PriSoDi-Soft-@webrelay1.goneo.de,
und Hard-Ware Forum Braunschweig 123abc321cba@uwemartin-bs.de
Message-Id: 20120811114021.6D2F32170E5@webrelay1.goneo.de
Date: Sat, 11 Aug 2012 13:40:21 +0200 (CEST)
Ralf hat sich erfolgreich im Forum registriert.
PriSoDi-Soft-, und Hard-Ware Forum Braunschweig - prisodi.de steht zum Verkauf

Danach hat er auch dort einen Beitrag gepostet, den ich ernst genommen und sofort beantwortet habe:
Mein alter AMD-PC mit 850 Mhz startet seit einiger Zeit nicht mehr. Entweder piept er dreimal ohne Anzeige (deutet wohl auf einen RAM-Defekt hin) oder aber er versucht, hochzufahren, stürzt aber noch vor dem Start vonWindows XP ab. Manchmal passiert auch garnichts, kein Bild, kein Pieps, gar nichts. Ich denke, das Mainboard ist defekt, oder könnte es am DDR-1-RAM Speicher liegen? Ich habe 2 x 256 MB DDR-1-RAM und 1 x DDR-1-512 MB onboard. Das Mainboard hat 3 Anschlussleisten. Habe alle 3 RAM-Riegel jeweils einzeln oder aber zusammen versucht, einzusetzen, jedoch erfolglos.
Im Fachhandel bei hwh wird mir 1-GB-DDR-1 RAM angeboten, aber im Falle eines defekten Boards könnte ich diesen nicht umtauschen
IP des Absenders: 217.186.249.218
Dann war plötzlich das ganze Board weg, und wenig später war das ganze PHP-Forum defekt !!!
Ich habe aus dem Logfile meines Servers über FTP rausgekriegt dass den ganzen Tag nur eine einzige IP mein Kontaktformular benutzt hatte, nämlich: 217.186.244.89
Wenig später habe ich bemerkt dass auch meine Piwik-Installation nun kaputt-Gehackt wurde.
Ich verspreche, wenn mir Jemand hilft, überweise ich ihm erstmal 20,- Euro.
Ich kann Piwik neu installieren, und alles auf meinen Webseiten ist virenfrei gesichert. Bloss fehlen mir die Kenntnisse nun Maßnahmen zu ergreifen um dies zu Stoppen, bzw., zu erkennen wo die Schwachstelle auf meinem Server ist. Wer mir hilft bekommt auch ausserhalb dieses Forums kompletten Zugriff auf meinen Server, Acces-Logfiles, Passwörter und alles was Ihr braucht. Und ich zahle dafür wen wir den Täter ermitteln und Polizeiverwertbar beweisen könnten dass dies üble und dumme Sachbeschädigung gewesen ist. Bitte melde sich mal Jemand, ich bezahle dafür!!!

Danke im Voraus,
und ich hoffe dass die Sache auch eure Kenntnisse in Sachen Sicherheit erweitern wird.
"Das Internet ist kein rechtsfreier Raum"
und auch private Projekte, die nicht kommerziell derart wichtig sind,
müssen Schutz vor solchen Straftaten geniessen!

Uwe Martin
Leipzigerstrasse
52B38124 Braunschweig
Tel: 01634059684
www.prisodi.de

Hallo Uwe!

Hab wenig zeit also mal in Kürze:

1.) Du musst als erstes Beweise vom Server und allen eMails usw. sichern, denn ohne Beweise geht gar nix. Problem dabei: Wenn du die Beweise versuchst, selbst zu sichern, könnte später behauptet werden, du hättest die Daten manipuliert bzw. verfälscht. Also müssten die Daten als Beweismittel von Ermittlungsbehörden oder via Sachverständigen gesichert werden. Das wird sau teuer! Und du weißt nicht mal, ob du das Geld wieder bekommst, selbst wenn der Täter gefasst und verknackt wird. Evtl. ist der nämlich zahlungsunfähig.

2.) Vermutlich hattest du PIWIK und dein Forum / Wordpress / Joomla komplett in einem Verzeichnis liegen und wohl auch kaum eine wirksame Absicherung per htaccess. Ich bin der Meinung, dass man alle Installationen getrennt voneinander in separaten Verzeichnissen halten sollte. Und jedes dieser Verzeichnisse benötigt eine eigene UID, sodass von einem Verzeichnis niemals auf ein anderes übergegriffen werden kann. Das nennt man “Quota”. Und man kann dann im Hauptverzeichnis eine einzige dicke htaccess anlegen, mit der alle unnötigen Zugriffe und Funktionen erst mal deaktiviert werden. Da diese htaccess dann wegen der anderen UID von keinem Webspace mehr angreifbar ist, ist dies ein sehr wirksamer Schutz.
Leider bieten nur wenige ISP solch einen Server an, auf dem man diese Konstruktion einrichten kann. Ich bin bei Domain Factory, habe einen Managed Hosting Pro Webspace und jhabe all diese Dinge dort erfolgreich eingerichtet.

3.) Ich fürchte, du überforderst mit deiner Anfrage hier die Forumbesucher, weil Vieles nicht mit PIWIK zu tun hat. Und ein “Support-Team” für PIWIK gibt es auch nicht!
Eine Datenwiederherstellung aus den “Trümmern” eines gehackten Servers kann ich mir nicht vorstellen, weil man ja gar nicht wissen kann, was gehackt / verändert wurde. Und Neuinstallation? Ja klar! Wenn du BackUp hast, sofort! Aber bitte nicht auf die bisherige Einrichtung des Servers, sondern nur auf einen neue Basis, die z.B. mit den Quotas und mehreren htaccess gründlich abgesichert wird. Der relativ hohe Aufwand bei der Einrichtung lohnt sich IMHO gegenüber dem Zeitaufwand, den du jetzt mit der Wiederherstellung hast - vom Ärger mal ganz abgesehen!

Du kannst ja mal meine beiden Threads betr. htaccess verfolgen:
hier:
http://forum.piwik.org/read.php?6,17251

und hier:
http://forum.piwik.org/read.php?5,92117

Beste Grüße
Clemens

Hallo lieber Clemens XL !!!
Recht schönen Dank für deine Antwort!
Ich hatte alle Foren, und auch Piwik in seperatem Ordner.
Ich hatte ein Radio selbstgemacht, wo ich Funktion angeboten hatte,
Dateien bis 10 MB einfach, unregistriert zuzusenden.
Überall wo ich dieses Script auf der Seite hatte, war im Ordner
sowohl eine .htaccess, eine action.php, und noch eine andere Datei,
alle zugesendeten Dateien landeten dann in dem Ordner.
Dies habe ich jetzt komplett entfernt, alles gelöscht,
und erstmal ohne Piwik, ohne ET-Chat und vor allem ohne dieses Upload-Formular,
was mir mal ein Student geschickt hatte, wieder hochgeladen. Meinst Du es ist möglich fdass er einfach eine bestimmte Datei dort hochgeladen hatte und dann irgendwie Zugriff auf alles hatte?
Ich benutze das “PHP-Forum von Frank Karau ohne Datenbankanbindung”,
den “ET-Chat”, und halt Piwik?
Zur Polizei soll ich nachher eine CD mit allen Mails und Logfiles vorbeibringen!
Danke dir recht schön,
kannst ja mal die virenfreie, eben neu hochgespielte Version angucken:
http://prisodi.de/computer/forum_software_hardware/

Danke Dir,
wenn ich irgendwas für Dich tun kann, “Backlinks” oder Ähnliches,
melde dich, Uwe Martin, 38124 Braunschweig

Hallo, ich weiss dass mein Problem nicht direkt mit Piwik zu hat,
wer mir trotzdem helfen kann den Täter zu ermitteln, bekommt 40,- Euro überwiesen!
Folgenden Auszug meines Webserver-Logfiles habe ich gerade an die Polizei geschickt, die ein Ermittlungsverfahren eröffnet hat:

217.186.244.89 - - [11/Aug/2012:13:41:30 +0200] “POST /live/?CheckUserName HTTP/1.1” 200 1 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:31 +0200] “GET /live/?Chat HTTP/1.1” 200 3609 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:31 +0200] “GET /live/?MessagesForJs HTTP/1.1” 200 3801 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:32 +0200] “GET /live/styles/default_2create_win.css HTTP/1.1” 200 2674 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:32 +0200] “GET /live/img/ajax-loader.gif HTTP/1.1” 200 6494 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:31 +0200] “GET /live/js/chat.js HTTP/1.1” 200 63062 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:32 +0200] “GET /live/img/Checked.png HTTP/1.1” 200 1732 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:32 +0200] “GET /live/img/Smiley_Cool.png HTTP/1.1” 200 2601 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:32 +0200] “GET /live/img/Colors.png HTTP/1.1” 200 2742 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:32 +0200] “GET /live/img/Delete_big.png HTTP/1.1” 200 2446 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:32 +0200] “GET /live/img/Display.png HTTP/1.1” 200 2853 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:31 +0200] “GET /live/js/window.js HTTP/1.1” 200 64230 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:33 +0200] “GET /live/img/splitpane.png HTTP/1.1” 200 234 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:33 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 564 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:33 +0200] “POST /live/?Smileys HTTP/1.1” 200 2197 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:33 +0200] “POST /live/?Colorizer HTTP/1.1” 200 14984 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:33 +0200] “POST /live/?ReloaderUserOnline HTTP/1.1” 200 265 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:33 +0200] “GET /live/img/user_comment_m_self.png HTTP/1.1” 200 787 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:33 +0200] “GET /live/img/keylayer.png HTTP/1.1” 200 553 “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:37 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:41 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:45 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:49 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:49 +0200] “POST /live/?ReloaderUserOnline HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:53 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:41:57 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:01 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:05 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:06 +0200] “POST /live/?ReloaderUserOnline HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:09 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:13 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:17 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:21 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:22 +0200] “POST /live/?ReloaderUserOnline HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:25 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:29 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:33 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:37 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:38 +0200] “POST /live/?ReloaderUserOnline HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:41 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:45 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
94.228.34.230 - - [11/Aug/2012:13:42:45 +0200] “GET /web/forum_html/board/urheber-recht-gesetz-text-inhalts-diebstahl-18.html HTTP/1.1” 200 4178 “-” "magpie-crawler/1.1 (U; Linux amd64; en-GB; +http://www.brandwatch.net)"
217.186.244.89 - - [11/Aug/2012:13:42:49 +0200] “POST /live/?ReloaderMessages HTTP/1.1” 200 - “prisodi.de steht zum Verkauf” "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
217.186.244.89 - - [11/Aug/2012:13:42:49 +0200] “GET /computer/forum_software_hardware/board/hardware-elektronik-1.html HTTP/1.1” 200 4839 “prisodi.de steht zum Verkauf” “Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1”

Weiss Jemand was der Täter dort gemacht hatte, mit “POST
(bei Google habe ich gelesen dass er dort wohl Daten manipuliert hatte,
in meinem Chat-Programm
"ET-CHAT”

Ich verspreche, Wer mir hilft das aufzuklären bekommt erstmal 20,- Euro,
und bei identifizierung des Täters nochmal 20,- Euro überwiesen, AMTLICH !!!

Uwe Martin
Leipzigerstrasse 52B
38124 Braunschwei
Tel: 01634059684
www.prisodi.de
(Ey, auf meinem PC war noch nie ein "Busen-Bild"
und solche Leute können machen was sie wolln?)

Lieber Clemens!
Wenn Du de nächste Woche mal Zeit hättest, könntest mir nochmal, kurz, schreiben, was Quotas oder UMID sind? Du kannst jetzt getrost wieder meine Webseite mal angucken, Strafantrag ist gestellt, und icxh habe alles neu, unmanipuliert, hochgeladen. Danke Dir, Uwe Martin, 38124

Hallo Uwe!

Das wäre ein Buch, das ich dir da schreiben müsste. Und deine Äußerungen zeigen, dass dir vermutlich wichtiges Fachwissen um die Absicherung deines Webspace fehlt.

Meine htaccess und die Quota-Lösung sind entstanden aus der Diskussion im Forum meines Service Providers: Domain Factory. Auch ohne dich anzumelden / einzuloggen kannst du den Thread hier nachlesen:
https://www.df.eu/forum/threads/66484-htaccess-contra-php.ini?daysprune=-1

Da wird auch über die Quota-Einrichtung gesprochen.

Viel Erfolg!

Clemens

PS: Du hast anscheinend meinen Hinweis nicht verstanden, dass du mit einem derartigen Posting die Nutzer des Forums überforderst, oder?

Nun, überfordern nicht gerade, aber es bringt halt auch nichts. POST muss nichts schädliches sein. Fast jedes Formular POSTet Daten. Die Frage ist dann nur, was das Script dahinter mit den Daten macht und ob es die auch sicher und vernünftig prüft. Gerade diese 0815-Scripte sind da sehr sehr anfällig.

Hallo! Danke für deine Hilfe, mittlerweile hat Polizei mittgeteilt dass “ein Tatverdächtiger ermittelt wurde”, seitdem traue ich mich PIWIK neu zu installieren, habe auch das Sicherheits-PlugInn aktiviert, und dort wird angezeigt dass ich “upload_tmp_dir unable to retrieve file permissions on upload_tmp_dir” falsch gemacht habe, und dies sogar rot hinterlegt, ich hab in der php.ini-Datei das jetzt auf Off gestellt, zeigt aber keine Wirkung, auch den Tipp eine spezielle .htaccess-Datei in Verzeichnisas zu legen bringt nichts, denn dann komme ich selber nicht mehr zum LogInn, kannst mir dies in Deutsch erklären?
Uwe Martin