Hallo zusammen,
seit gestern kommt auf allen Seiten ohne, dass ich vorher etwas geändert hätte, folgende Fahlermeldung:
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'root'@'localhost' (using password: YES) in /home/s4xnkdbl/www.xn--kleingrtnerverein-ischeland-gkc ... ql.inc.php on line 57
Database error:
Link-ID == false, connect failed
(0)
Kann mir jemand sagen was das soll und wie ich das Problem wieder in Griff bekommen könnte?
Danke für eure Hilfe!
sven
Backend und Fronted wird nicht mehr angezeigt
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Es stimmen Login und/oder Passwort für die Datenbank nicht mehr.
Entweder hat jemand einfach die Passwörter geändert oder der Server wurde gehackt.
Versuche herauszufinden, wie die aktuellen Zugangsdaten zur Datenbank lauten (Provider/Hoster fragen) und trage diese in die _cgf/db.inc.php ein.
Der Username "root" für ein Datenbankzugang eines Hosters ist echt merkwürdig.
Sowas macht man normalerweise nur auf lokalen Systemen.
Auf produktiven Systemen wird der User "root" in der Regel aus Sicherheitsgründen nicht genutzt, weil er für Hacker wie ein rotes Tuch ist, also immer das erste Angriffsziel.
Entweder hat jemand einfach die Passwörter geändert oder der Server wurde gehackt.
Versuche herauszufinden, wie die aktuellen Zugangsdaten zur Datenbank lauten (Provider/Hoster fragen) und trage diese in die _cgf/db.inc.php ein.
Der Username "root" für ein Datenbankzugang eines Hosters ist echt merkwürdig.
Sowas macht man normalerweise nur auf lokalen Systemen.
Auf produktiven Systemen wird der User "root" in der Regel aus Sicherheitsgründen nicht genutzt, weil er für Hacker wie ein rotes Tuch ist, also immer das erste Angriffsziel.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Ähem, Dein Optimismus in Ehren, aber ich würde nochmal weiter forschen.sKa hat geschrieben:Scheind wirklich gehackt worden zu sein
[...] jetzt ist wieder alles gut!
Wenn es jemand geschafft hat die db.in.php zu manipulieren, dann kann er auch jede andere Datei manipulieren.
Dabei werden dann oft Dateien wie index.php oder alle mit Wörtern wie "settings", "config" oder "admin" im Namen manipuliert, um entweder Schadsoftware zu verteilen oder Kennwörter auszuspähen. Am besten mal durch die Verzeicnisse gehen und das Dateidatum betrachten und die mit verdächtig aktuellem Datum mal checken oder durch die Originale aus dem Backup ersetzen.
Wenn Du Glück hast wurde nur die Passwort-/Usertabelle von mySQL manipuliert. Aber auch dazu sollte es eigentlich nie kommen.
Du machst hoffentlich täglich Backups von Daten und Datenbank!
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- Mr. Magpie
- ConPresso-Profi
- Beiträge: 1004
- Registriert: 01.01.1970 01:00
- Wohnort: Wuppertal
- Hat sich bedankt: 274 Mal
- Danksagung erhalten: 59 Mal
Da kann ich Markus nur zustimmen!
Bei einem unserer Kunden hat es jemand (über einen Trojaner vermutlich) das Redakteurs-Kennwort abzugreifen. Anschließend hat der Angreifer eine PHP-Datei hoch geladen, welche dann ihrerseits Schadsoftware nachlud und diese dann Rechte im Dateisystem, der MySQL-Datenbank usw. veränderte sowie diverse Dateien kompromittierte.
Ich habe daraufhin die i_file_upload.php so verändert, dass Script-Dateien und PHP-Dateien nicht mehr hochgeladen werden können:
/* Die Originalzeile:
$filename = preg_replace('/[^a-z0-9_\.-]/i', '_', $filename);
wurde ersetzt durch: */
$filename = preg_replace(
array(
'/Ä/',
'/Ö/',
'/Ü/',
'/ß/',
'/ä/',
'/ö/',
'/ü/',
'/Á/',
'/À/',
'/É/',
'/È/',
'/Ó/',
'/Ò/',
'/Ú/',
'/Ù/',
'/Í/',
'/Ì/',
'/á/',
'/à/',
'/é/',
'/è/',
'/ó/',
'/ò/',
'/ú/',
'/ù/',
'/í/',
'/ì/',
'/(\.php|\.cgi|\.sh|\.pl|\.js|\.css)/i',
'/[^a-z0-9_\.-]/i'
),
array(
'Ae',
'Oe',
'Ue',
'ss',
'ae',
'oe',
'ue',
'A',
'A',
'E',
'E',
'O',
'O',
'U',
'U',
'I',
'I',
'a',
'a',
'e',
'e',
'o',
'o',
'u',
'u',
'i',
'i',
'_',
'_'
),
$filename
);
Bei einem unserer Kunden hat es jemand (über einen Trojaner vermutlich) das Redakteurs-Kennwort abzugreifen. Anschließend hat der Angreifer eine PHP-Datei hoch geladen, welche dann ihrerseits Schadsoftware nachlud und diese dann Rechte im Dateisystem, der MySQL-Datenbank usw. veränderte sowie diverse Dateien kompromittierte.
Ich habe daraufhin die i_file_upload.php so verändert, dass Script-Dateien und PHP-Dateien nicht mehr hochgeladen werden können:
/* Die Originalzeile:
$filename = preg_replace('/[^a-z0-9_\.-]/i', '_', $filename);
wurde ersetzt durch: */
$filename = preg_replace(
array(
'/Ä/',
'/Ö/',
'/Ü/',
'/ß/',
'/ä/',
'/ö/',
'/ü/',
'/Á/',
'/À/',
'/É/',
'/È/',
'/Ó/',
'/Ò/',
'/Ú/',
'/Ù/',
'/Í/',
'/Ì/',
'/á/',
'/à/',
'/é/',
'/è/',
'/ó/',
'/ò/',
'/ú/',
'/ù/',
'/í/',
'/ì/',
'/(\.php|\.cgi|\.sh|\.pl|\.js|\.css)/i',
'/[^a-z0-9_\.-]/i'
),
array(
'Ae',
'Oe',
'Ue',
'ss',
'ae',
'oe',
'ue',
'A',
'A',
'E',
'E',
'O',
'O',
'U',
'U',
'I',
'I',
'a',
'a',
'e',
'e',
'o',
'o',
'u',
'u',
'i',
'i',
'_',
'_'
),
$filename
);
Günther Ludwig