Webserver gehackt, aber wie?

[Leo]

Hallo Contenido-Gemeinde,

der Webserver, auf dem eine Contenido-Installation von einem Kunden von mir läuft, ist durch Google als "attackierende Seite" gemeldet worden. Die Hacker-Attacke soll aber nicht durch das CMS vorgenommen sein, soweit mir der Webhoster mitgeteilt hat. Es soll durch ein Problem auf dem Webserver verursacht worden sein. Genaueres hat mir der Hoster aber nicht mitgeteilt. Auf diesem System läuft die Contenido Version 4.6.15 (PHP 5.x & MySQL 5.x). Ich weiß, die ist schon ziemlich alt, aber der Kunde war etwas komisch, deshalb habe ich von einem regelmäßigen Update abgesehen. Jetzt zu meiner Frage: welche Sicherheitslücke könnte der Hacker ausgenutzt haben? Ich weiß, die Frage ist ziemlich blöd. Aber ich stehe gerade im Wald. Die Datenbank scheint aber in Ordnung zu sein. Ich konnte keine Auffälligkeiten finden. Bei den Dateien bin ich mir aber nicht so sicher. Oberflächig gesehen, scheinen Sie aber ok zu sein. Datum und Dateinamen sind nicht auffällig.

Viele Grüße

Leonhard

[Oldperl]

Hallo Leonhard,

leider kann man keine pauschale Aussage dazu machen. Ich mußte (leider) schon viele verschiedene Arten von Manipulationen feststellen.
Meistens, aber auch nicht immer, war die Datenbank davon nicht betroffen.

Oft wurden zusätzliche Dateien eingeschleust, versteckt in irgendeinem Unterverzeichnis, welches Shellscripte beinhalteteten, welche vom Massmailer bis hin zum Shellzugang alles beinhalteteten. Auch wurde Dateien manipuliert, mit und ohne Änderung des Dateidatums. Diese konnte man dann aber meist durch den Vergleich der Dateigröße zur Originaldatei identifizieren.

Du siehst es gibt da leider eine große Auswahl an Möglichkeiten.

Generell gilt bei einem Hackerangriff, um diesen zukünftig zu vermeiden, herausfinden durch welche "Tür" der Hacker kam und was er angestellt hat. Dann heißt es zuerst diese Tür schliessen und dann das System wieder reparieren.
Da die 4.6.15er Version nicht nur ziemlich alt ist, sondern auch diverse (bekannte) Sicherheitslücken hat, kann ich nur empfehlen hier ein Upgrade auf die aktuelle 4.8er Version, oder, wenn das technisch nicht möglich, auf die aktuelle 4.6er Version zu machen.

Gruß aus Franken

Ortwin

[Leo]

Hallo Ortwin,

danke erst mal für deine Rückmeldung. Es scheint aber wirklich nicht am CMS zu liegen. Ich habe heute die index.php im root-Verzeichnis und den cms-Ordner entfernt. Trotzdem versucht sich das Virus beim Aufruf der Webadresse (ohne weitere Pfad-Angaben) auf den Client-Rechner zu installieren. Hier scheint wirklich der Webserver das Problem zu sein. Wenn keine Dateien auf dem Webserver sind, müsste der Virus doch weg sein, wenn er über das CMS läuft, oder? Also sitzt er wahrscheinlich, wo anders. Ich habe den Webhoster gebeten, dass Konto erst einmal zu sperren. Außerdem habe ich einen anderen Nutzer gefunden, der ebenfalls ein ähnliches Problem mit dem gleichen Provider hat. Bei diesem gibt es aber keine Möglichkeit PHP & MySQL einzusetzen, weil diese für das Webpaket nicht zur Verfügung steht. Trotzdem will sich auch hier ein Virus über die index.html vermehren.

Das hätte ich beinahe noch vergessen. Ich habe die Webserver-Dateien durch diverse Antiviren-Programme geschickt und nichts gefunden. Die Antiviren-Programme sind natürlich aktuell.

Viele Grüße aus Halle

Leonhard

[mfweb]

Ich habe die Webserver-Dateien durch diverse Antiviren-Programme geschickt und nichts gefunden.

Auch wenn der Thread schon etwas älter ist, hier noch ein Tipp für dich bzw. die Nachwelt: Um auszuschließen, dass die CMS-Dateien etwas abbekommen haben, hilft es auch, den kompletten Ordner mit Hilfe von z.Bsp. WinMerge mit einer Originalversion der verwendeten CMS-Version zu vergleichen. Hier sollte es (bis auf ggf. gewollte Unterschiede) eigentlich keine Unterschiede geben und ansosnten werden sie sofort angezeigt. Der cache-Ordner und der Mandanten-Ordner muss natürlich ggf. per Hand überprüft werden, da hier zahlreiche eigene Dateien hinzugekomen sind.

Viele Grüße
Marco