Bin echt Ratlos *Hilfe*
Eingetragen von SaschaCap (98)am 28.01.2009 - 06:42 Uhr in
Guten Morgen liebe Drupaler,
langsam bin ich echt Ratlos und weis nicht mehr was ich machen soll! Und zwar folgendes ich erzähle es mal von Anfang an.:
Vor ein paar Wochen bekam ich eine E-Mail von einen Unbekannten daran enthalten waren die Kompletten E-Mail Adressen, Namen und weitere Angaben von den Usern auf meiner Webseite das sind so um die 130 Datensätzte. Der Typ der mir das geschrieben hat, meinte das wenn meine User wissen das er so einfach die Daten ausgelesen hat ich große Probleme bekommen würde, außerdem sollte ich den Betrieb von meiner Webseite einstellen. Schön und gut ich war danach erst einmal Baff, da ich ja eigentlich dachte Drupal sei ein Sicheres CMS und ich alle Sichterheitslücken durch immer die neuste Version geschlossen habe. Darauf hin habe ich natürlich gleich die Datenbank unbenannt da ich mich ja nicht erpressen lasse, neuen Benutzer und Passwort eingegeben und noch einmal geschaut ob auch wirklich alles OK ist, also den Webspace noch mal nachgeschaut ob da nicht irgendwelche Dateien sind die da nicht hingehören und den CHMOD überprüft.
Aber anscheinend hat das nicht viel gebracht, denn seit letzter Woche wird permanent mein Drupal angegriffen, das sieht dann so aus das von Drupal eine Fehler Seite kommt in der steht das die MySQL Datenbank zu viele Conenction hat zudem was ich nicht schön finde ist, das dort einige Daten stehen wie Datenbank Benutzername. Um dies zu beheben muss ich also komplett Apache bzw. MySQL neu starten. Langsam ist es aber echt Nervig denn das passiert jetzt Mitlerweile alle 5 bis 10 Minuten.
Bin wie der Titel schon sagt langsam echt Ratlos, habe wie gesagt alle wichtigen Tipps beachtet damit es so sicher ist wie möglich. Weis nimmer was ich machen soll. Ich habe jetzt mal im Anhang auch mal im Error - Log was raus Kopiert vielleicht kann damit jemand etwas anfangen und mir helfen.
[Wed Jan 28 01:09:31 2009] [error] [client 85.181.74.188] PHP Warning: MySQL server has gone away\nquery: UPDATE drupal_sessions SET uid = 0, cache = 0, hostname = '85.181.74.188', session = 'messages|a:1:{s:5:\\"error\\";a:93:{i:0;s:216:\\"user warning: Lost connection to MySQL server during query\\nquery: SELECT v.* FROM drupal_view_view v WHERE v.name = 'mmog' in /var/www/vhosts/play-mmorpg.de/httpdocs/includes/database.mysql.inc on line 174.\\";i:1;s:240:\\"user warning: MySQL server has gone away\\nquery: SELECT data, created, headers, expire FROM drupal_cache_views WHERE cid = 'views_default_views:de' in /var/www/vhosts/play-mmorpg.de/httpdocs/includes/database.mysql.inc on line 174.\\";i:2;s:233:\\"user warning: MySQL server has gone away\\nquery: SELECT data, created, headers, expire FROM drupal_cache_views WHERE cid = 'views_tables:de' in /var/www/vhosts/play-mmorpg.de/httpdocs/includes/database.mysql.inc on line 174.\\";i:3;s:397:\\"user warning: MySQL server has gone a in /var/www/vhosts/play-mmorpg.de/httpdocs/includes/database.mysql.inc on line 174, referer: http://www.google.de/search?hl=de&q=play+mmorpg&btnG=Google-Suche&meta=
[Wed Jan 28 01:10:45 2009] [error] [client 85.88.17.131] PHP Fatal error: Maximum execution time of 30 seconds exceeded in /var/www/vhosts/play-mmorpg.de/httpdocs/includes/database.inc on line 228Für alle Wichtigen Sicherheits Tipps bin ich echt Dankbar vielleicht habe ich ja wirklich was übersehen.
Gruss Sascha
- Anmelden oder Registrieren um Kommentare zu schreiben
Solange du immer die
am 28.01.2009 - 09:08 Uhr
Solange du immer die aktuellen Patches von Drupal hast, dürfte da eigentlich nichts schief gehen. Wie das bei Modulen aussieht, ist immer eine andere Sache.
Um dir effektiv helfen zu können, bräuchten wir noch paar Infos: Hast du einen eigenen Server oder ist das nur Webspace?
mfg mofa
Ahoi mofa, Ja genau habe
am 29.01.2009 - 09:32 Uhr
Ahoi mofa,
Ja genau habe extra dafür mir einen Server zugelegt darauf befindet sich eigentlich auch immer die neusten Versionen, das ganze läuft mit der neuen Version von CentOS. PHP5, MySQL 5.1.30, Apache 2.2.11
lg Sascha
Und wie sicher ist dein
am 29.01.2009 - 11:04 Uhr
Und wie sicher ist dein Server?
Services (gerade MySQL) so konfiguriert, dass man nicht von außen dran kann (nur localhost)?
Alle nicht benötigten Services gestoppt und deinstalliert?
Services, die sich so nicht konfigurieren lassen ggf. per Firewall von außen geblockt?
Kein Direkter Zugriff via SSH-Root-Login (ggf, SSH Port verlegen, via Key authentifizieren, Knock-Daemon einsetzen, ...)?
Ist dein System mit SuExec konfiguriert?
Hat dein PHP das Suhosin Patch?
Setzt du im Apache ModSecurity ein?
Benutzt du Tripwire, rkhunter, o.ä.?
Ist dein Admin-Panel auf dem aktuellen Stand, das Passwort sicher und nur über SSL (HTTPS) verfügbar?
Hast du irgendwo noch ein (mglw. nicht aktuelles) phpMyAdmin, MySQLDumper, mglw. mit schwachen Passwörtern und / oder über nichts gesichertes normales PHP erreichbar?
Usw. usf.
Sicherheit ist ein extrem breites Themengebiet und in 5 Minuten bekommt man das nicht mal eben transportiert oder gar gefixt.
Grundsätzlich musst du zunächst davon ausgehen, dass dein System gehackt wurde und derjenige welche irgendwo ne Backdoor installiert hat um auch zukünftig auf dein System kommen zu können. Kannst du die ausgenutzte Lücke nicht klar dingfest machen, fixen und die Einrichtung einer Backdoor ausschließen, kannst auch zukünftig nicht 100%ig von einem sicheren System ausgehen. Da hilft dann nur das ganze System komplett neu aufzusetzen.
Hallo Herr Langer, vielen
am 01.02.2009 - 23:30 Uhr
Hallo Herr Langer,
vielen Dank das hat mir schon einmal weiter geholfen da waren wirklich ein paar sachen noch Offen. Hab den Server jetzt auch erstmal Platt gemacht und neu aufgesetzt.
So jetzt einfach noch mal so paar Fragen weil ich in der Datenbank gesehen habe das die Extrem gross ist. Die Session Tabelle ist knapp 640 MB gross und die die Watchdog Tabelle 230 MB. Ich weis jetzt nicht ob das Normal ist aber ich finde das schon extrem hoch.
Dann habe ich auch festgestellt das Drupal seit den Hackangriff nicht mehr Richtig Arbeitet, heisst z.B. die News-Feeds funktionieren nicht mehr (In Firefox steht: Dynamisches Feed konnte nicht geladen werden!). Andere Webseiten können leider RSS mehr Empfangen. Problem ist ich kann ja Drupal nicht von neuen Installieren dann wären ja meine ganzen Daten, Beiträge und Newseinträge und natürlich die User verloren.
Gruss Sascha
Hallo, ei ei ei, wieso muss
am 02.02.2009 - 13:24 Uhr
Hallo,
ei ei ei, wieso muss man solche Posting/Threads immer wieder lesen. Wenn man sich nicht 100% mit der Server Config auskennt sollte man auf jeden Fall die Finger von so etwas lassen. (ich persönlich weiss auch ungefährt wie ich so etwas mache, würde aber nie so ein Ding live online stellen)
Wenn Du den Server weiter laufen lassen willst, würd ich auf jeden Fall nen Fachmann beauftragen!
Die Sessiontabelle mit 640MB und die Watchdog Tabelle mit 230 MB ist auf jeden Fall viel zu groß! (habe sowas auch noch nicht live gesehen...)
*************************************************************************************************
Ihr erwartet doch nicht ehrlich eine Meinung die frei von eigener Meinung ist, in einem Drupal Forum... ;)