Gehackt: By Nero Hacker ! -

[idea-tec]

Folgendes habe ich getan:
1.) Dump in eine DB eingespielt
2.) Auf einem meiner Server den WebRoot mit einem ORIGINAL 4.8.11 versorgt
3.) config-Dateien und Datenbankeinträge entsprechend angepasst
4.) Ins Backend eingeloggt

Folgendes habe ich herausgefunden:
1.) Die config.php im Ordner /cms wurde umgeschhrieben, also lagen wohl entsprechende Rechte auf der Datei
2.) Die Datenbank scheint nicht angegriffen zu sein, da ich mich ohne Probleme ins Backend einloggen konnte und auch die Vorschau der artikel ansehen kann

Folgendes ist als erstes zu tun:
1.) Schritt: Austausch der im Webfolder vorliegendeln Datei, gegen eine original-datei der Version 4.8.11

@DEDE:
Ab hier ist nun eine enge Zusammenarbeit notwendig, da immer mal wieder das eine oder andere ausgetauscht werden muss.
Links und Zugänge auf die aufgesetzte Kopie gebe ich dir per PN

Hier der Code, der nun in der Datei /cms/config.php steht:

Code: Alles auswählen

<html xmlns:v="urn:schemas-microsoft-com:vml"
xmlns:o="urn:schemas-microsoft-com:office:office"
xmlns:w="urn:schemas-microsoft-com:office:word"
xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=windows-1256">
<meta name=ProgId content=Word.Document>
<meta name=Generator content="Microsoft Word 11">
<meta name=Originator content="Microsoft Word 11">
<link rel=File-List href="s.files/filelist.xml">
<title>Nx@Hotmail.Com</title>
<!--[if gte mso 9]><xml>
 <o:DocumentProperties>
  <o:Author>userza</o:Author>
  <o:Template>Normal</o:Template>
  <o:LastAuthor>userza</o:LastAuthor>
  <o:Revision>3</o:Revision>
  <o:TotalTime>1</o:TotalTime>
  <o:Created>2009-04-10T13:21:00Z</o:Created>
  <o:LastSaved>2009-04-10T13:21:00Z</o:LastSaved>
  <o:Pages>1</o:Pages>
  <o:Words>2</o:Words>
  <o:Characters>17</o:Characters>
  <o:Company>ds</o:Company>
  <o:Lines>1</o:Lines>
  <o:Paragraphs>1</o:Paragraphs>
  <o:CharactersWithSpaces>18</o:CharactersWithSpaces>
  <o:Version>11.5606</o:Version>
 </o:DocumentProperties>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:SpellingState>Clean</w:SpellingState>
  <w:GrammarState>Clean</w:GrammarState>
  <w:ValidateAgainstSchemas/>
  <w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid>
  <w:IgnoreMixedContent>false</w:IgnoreMixedContent>
  <w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText>
  <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel>
 </w:WordDocument>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:LatentStyles DefLockedState="false" LatentStyleCount="156">
 </w:LatentStyles>
</xml><![endif]-->
<style>
<!--
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
	{mso-style-parent:"";
	margin:0cm;
	margin-bottom:.0001pt;
	mso-pagination:widow-orphan;
	font-size:12.0pt;
	font-family:"Times New Roman";
	mso-fareast-font-family:"Times New Roman";}
p
	{mso-margin-top-alt:auto;
	margin-right:0cm;
	mso-margin-bottom-alt:auto;
	margin-left:0cm;
	mso-pagination:widow-orphan;
	font-size:12.0pt;
	font-family:"Times New Roman";
	mso-fareast-font-family:"Times New Roman";}
@page Section1
	{size:595.3pt 841.9pt;
	margin:72.0pt 90.0pt 72.0pt 90.0pt;
	mso-header-margin:35.4pt;
	mso-footer-margin:35.4pt;
	mso-paper-source:0;}
div.Section1
	{page:Section1;}
-->
</style>
<!--[if gte mso 10]>
<style>
 /* Style Definitions */
 table.MsoNormalTable
	{mso-style-name:"ÌÏæá ÚÇÏí";
	mso-tstyle-rowband-size:0;
	mso-tstyle-colband-size:0;
	mso-style-noshow:yes;
	mso-style-parent:"";
	mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
	mso-para-margin:0cm;
	mso-para-margin-bottom:.0001pt;
	mso-pagination:widow-orphan;
	font-size:10.0pt;
	font-family:"Times New Roman";
	mso-ansi-language:#0400;
	mso-fareast-language:#0400;
	mso-bidi-language:#0400;}
</style>
<![endif]--><!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="3074"/>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1"/>
 </o:shapelayout></xml><![endif]-->
</head>

<body bgcolor=gray lang=EN-US style='tab-interval:36.0pt' leftmargin=0
topmargin=0 MARGINWIDTH=0 MARGINHEIGHT=0>

<div class=Section1>

<p class=MsoNormal style='text-align:justify;text-justify:kashida;text-kashida:
0%'><b><span style='font-size:24.0pt;color:white'><o:p>&nbsp;</o:p></span></b></p>

<p class=MsoNormal style='text-align:justify;text-justify:kashida;text-kashida:
0%'><b><span style='font-size:24.0pt;color:white'>By Nero Hacker !<o:p></o:p></span></b></p>

<p class=MsoNormal><b><span style='font-size:24.0pt;color:white'><o:p>&nbsp;</o:p></span></b></p>

</div>

</body>

</html>

[Oldperl]

Hallo,

ein aufsetzen der gehackten Seite auf einem anderen Server wird nichts bringen. Viel wichtiger ist erst einmal herauszubekommen auf welchem Weg ein Umschreiben der Datei vollzogen worden ist. Nur dann ist es möglich ein evtl. vorhandenes Sicherheitsloch zu stopfen.
Dazu sollte man als erstes herausfinden (Serverlogs, Dateiinfos) wann die Datei umgeschrieben wurde. Ist inzwischen bereits auf dem Server etwas geändert worden wird das wesentlich schwerer.
Für zukünftige Hackangriffe kann ich nur empfehlen keinerlei Änderungen am gehackten Web vorzunehmen, sondern dieses, wenn möglich, über die Verwaltungssoftware offline zu nehmen, und wenn das nicht möglich ist, nur eine .htaccess zur Sperrung einzusetzen. Auserdem sind die Serverlogs für den Zeitraum zwischen "war noch ok" und "gehackt" sehr wichtig.
Und dann sollte man sich dringenst an jemanden wenden der das nötige KnoffHoff mitbringt. Die paar Euro, die man dafür ausgeben muss, sind weitaus weniger, als die Kosten, die auf einen zukommen können, wenn der Webauftritt als SPAM- oder Trojaner-Wurfmaschine missbraucht wird.

Was man aber definitiv nicht machen sollte, gleich auf alles auf ein Script abzuschieben, wenn man noch garnicht weiß, durch welche (Hinter-)Tür der Hacker Zugang erlangt hat.

Gruß aus Franken

Ortwin

[kummer]

aber ein problem ist sicher bereits bekannt. die tatsache nämlich, dass schreibrechte auf die config.php gegeben werden, respektive bestehen müssen, wenn man die installationsprozedur verwenden will. nach einer installation müssen die rechte dieser datei wieder reduziert werden. soviel ist schon mal klar, auch wenn der weg noch nicht bekannt ist.

[idea-tec]

Auserdem sind die Serverlogs für den Zeitraum zwischen "war noch ok" und "gehackt" sehr wichtig.

hast du weiter oben gelesen, dass da wahrscheinlich VIER (in Zahlen: 4) WOCHEN dazwischen liegen!!!
Nachtrag: habe eine Aussage: "der betreiber hats einige Wochen nicht bemerkt!"
Von daher kann der missbrauch der kiste als spamschleuder nicht angenommen werden, da sich da ganz sicher der provider bereits gerührt hätte.

zudem ist das nicht wie bei dir oder mir ein root-server, von daher wird sich der provider schon mokieren, wenn das ding missbraucht wird.
wäre in den logs was gestanden, das unser weiter bringen würde, hätte ich es gepostet

fakt ist: auch nach einem neuen aufsetzen läuft das ding nicht, wenn ich NUR diese 1 Datei austausche schmatzt alles wie ne 1
und es geht auch zunächst darum, dass man JEDEM erst einmal einen schnellen workaround an die hand gibt um die page wieder ans rollen zu bekommen, und uns allen zu zeigen, dass DIESES problem nicht SO schlimm ist

Wenn du ne geschicktere Lösung bei den aktuellen Umständen und tatsachen hast, dann nenne diese uns sabbel hier kein panikzeugs
vor allem: zeig erst einmal einsatz bevor du rumschreibst ohne sinn und verstand
kommt der hier nach tagen an, nachdem sich ein im grunde AUSSENstehender der elitären entwickler- und Moderator-Riege dieses forums, des problems angenommen hat und dann kiommt da nur ein beitrag mit lauter unsinn raus, mit dem kein contenido-nutzer was anfangen kann.

p.s. sorry, aber sowas regt mich auf, hier zeug zu posten, nur weil man moderator ist
ist das hier ein HILFE-Forum oder eine selbstverwirklichungsmaschine für neurotiker oder sonstige mit vermindertem selbstbewusstsein?

[rbi]

Sorry, offtopic, aber - Hast du schlecht geschlafen?

[idea-tec]

na dann mal weiter mit dem offtopic:
2 Mods sprechen mich hier wegen meinem Beitrag an, aber KEINER fragt wegen einer Zusammenarbeit zur Problem-Lösung/Lückenfindung nach

- Also sagt mir das: An der Eruierung des Hacking-Problems hat keiner Interesse
- Offensichtlich hat "kummer" mit seinen Aussagen/Vermutungen zum Verhalten und zur Politik wohl doch recht

Nein, ich habe nicht schlecht geschlafen, ich hab sowas bodenlos unprofessionelles wie hier nur noch nirgends erlebt. Und das regt mich auf.
Und diesem Unmut lasse ich nun einmal freien Lauf, da bei Diplomatie eh kein Mensch hin hört.

[Oldperl]

aber ein problem ist sicher bereits bekannt. die tatsache nämlich, dass schreibrechte auf die config.php gegeben werden...

Da gebe ich dir recht, das ist ein Umstand den ich so auch nicht nachvollziehen kann. Mir ist auch nicht bekannt warum das Setup der 4.8.x dort Schreibrechte verlangt. IMO ist das nicht notwendig.
Daher würde ich auch Jedem empfehlen diese Rechte wieder zurück zu setzen.

Gruß aus Franken

Ortwin


PS: zu den Angriffen und Beleidigungen von Karsten fehlen mir momentan die Worte, mal ganz davon abgesehen, das ich von solchen Umgangsformen nichts halte. Daher schweige ich lieber dazu.

[idea-tec]

Jetzt hat sich der dritte über meinen beitrag mokiert, aber es hat sich noch immer niemand gemeldet um das eigentliche problem gemeinsam zu untersuchen.

[Dodger77]

Jetzt hat sich der dritte über meinen beitrag mokiert, ...

Nun man könnte das als ein Zeichen sehen und darüber nachdenken, ob evtl. persönliche Angriffe wenig zielführend sind. Man könnte diese sogar im Nachhinein zurücknehmen, sich entschuldigen und wieder zur Sache zurückkommen. Aber zumindest würde ich an Ortwins Stelle kein Interesse mehr haben, mit dir zusammen daran zu arbeiten.

[idea-tec]

Nun man könnte das als ein Zeichen sehen und darüber nachdenken, ob evtl. persönliche Angriffe wenig zielführend sind. Man könnte diese sogar im Nachhinein zurücknehmen, sich entschuldigen und wieder zur Sache zurückkommen. Aber zumindest würde ich an Ortwins Stelle kein Interesse mehr haben, mit dir zusammen daran zu arbeiten

wie geil, hier stellen die Admins, Moderatoren und Entwickler die Arbeit am Projekt ein, weil sich jemand lauthals mokiert.

ICH würde das als Zeichen sehen, wie viel Interesse hier am Produkt besteht!

Inzwischen amüsiert ihr mich schon wieder immens und ich finde es durchaus unterhaltsam.

[Dodger77]

wie geil, hier stellen die Admins, Moderatoren und Entwickler die Arbeit am Projekt ein, weil sich jemand lauthals mokiert.

Es ging ja nicht um das Mokieren, sondern um die persönlichen Angriffe. Und wie kommst du darauf, das die Arbeit eingestellt werden soll. Gerade Ortwin wollte dem ja genauer auf den Grund gehen (Stichwort: Serverlogs) bzw. das wenigsten anregen.

Ich habe den Eindruck, du willst gar nicht verstehen, um was es z.B. mir hierbei geht. Nochmal: Kritik ist doch super, aber man kann diese doch sachlich vorbringen und muss nicht persönlich werden. Ich verstehe nicht, warum man deshalb dann jetzt so ein Fass aufmachen muss.

[idea-tec]

ich verstehe um was es hier geht.

und fakt ist, dass wir in diesem fall keine serverlogs bekommen, bzw. diese sinnlos sind, weil es MEHRERE Wochen her ist.
Wir haben nichts anderes als evtl. kaputte/veränderte Dateien aus dem Webfolder. Was also soll das Gebabbel von ServerLogs?

Weil ich keine ServerLogs bekomme, nehme ich nicht mehr an der Analyse dessen Teil was ich habe?
KFZ-Mechaniker zum Kunden: Ich kann das Auto nicht reparieren, der Kotflügel ist ja nicht mehr dran
Kunde: Tut mir leid, dass der mir kaputt gegangen ist.

[Dodger77]

und fakt ist, dass wir in diesem fall keine serverlogs bekommen, bzw. diese sinnlos sind, weil es MEHRERE Wochen her ist.
Wir haben nichts anderes als evtl. kaputte/veränderte Dateien aus dem Webfolder. Was also soll das Gebabbel von ServerLogs?

Das ist eine sehr interessante Information, dass keine Serverlogs zu bekommen sind. Die hatte ich z.B. vor dem jetzigen Post nicht (Ortwin offensichtlich auch nicht). Die Serverlogs hätten eine Analyse evtl. ziemlich erleichtern können. Und vier Wochen Serverlogs (wenn man an diese kommen würden) sind ja auch relativ, manche Websites produzieren da ja in einem Monat weniger als andere in ein paar Stunden, der Zeitraum macht diese also nicht grundsätzlich sinnlos.

[rbi]

Lieber idea-tec.

Dein Tonfall war in dieser Weise deplatziert. Bei neutraler Betrachtung sollte dir das auffallen. Punkt.

Davon abgesehen: Da dieser "Hacker", der mit M$-Tools seine Texte schreibt und in irgendwelchen Seiten veröffentlicht, seine Signatur auch auf anderen, nicht mit Contenido umgesetzten Seiten verbreitet hat, besteht keine direkte Veranlassung, einen Fehler bei Contenido zu suchen. Es gibt diverse Möglichkeiten, in ein System einzudringen.

In diesem Sinne noch einen schönen, sonnigen Tag!

[idea-tec]

Dein Tonfall war in dieser Weise deplatziert. Bei neutraler Betrachtung sollte dir das auffallen. Punkt.

der tonfall war DEINER/EURER Meinung nach unangebracht und dieses Gefühl liegt immer im ermessen des interpretierenden. mir erscheint er angemessen.

besteht keine direkte Veranlassung, einen Fehler bei Contenido zu suchen. Es gibt diverse Möglichkeiten, in ein System einzudringen.

Das ist eine aussage, die mich spüren lässt, wieso die medien kein interesse an contenido haben und wieso hier keine community aufkommt.
Abgesehen davon wäre dies an der richtigen stelle hier publiziert bereits eine aussage gewesen

Kommentar: Nun kramt ihr aber die letzten sachen aus, um AUTORITÄT und KOMPETENZ zu wahren <miesgrins>

Das ist eine sehr interessante Information, dass keine Serverlogs zu bekommen sind. Die hatte ich z.B. vor dem jetzigen Post nicht (Ortwin offensichtlich auch nicht). Die Serverlogs hätten eine Analyse evtl. ziemlich erleichtern können

Man braucht klein Nostradamus zu sein, um zu Wissen, dass es im hier gelagerten Fall keinen Sinn machen wird:

• Es wurde berichtet, dass es mehrere Wochen her ist, bis es aufgefallen war
• Es handelt sich nicht um jemanden mit entsprechendem technischen Hintergrund oder gar einem Root-Server, das dürfte klar sein aufgrund des Posts und des im Grunde bereits fehlenden KnowHow zur ersten Problemanalyse.
• Einem PROFESSIONELLEN Moderator/Admin/Entwickler mit entsprechender Erfahrung müsste sofort auffallen, dass hier ein CM-System-Anwender mit sehr geringen technischen KnowHow das Problem gepostet hat, weswegen es OHNE Unterstützung und Hilfestellung der Moderatoren/Admins/Entwickler nicht zu einer kompetenten Fehleranalyse und ZUsendung der Informationen kommen wird. Denn ansonsten hätte man dies direkt angeboten und nicht ich hätte das schreiben müssen.

Auf gut deutsch:
Lamentiert ihr nur rum, und fühlt euch mit dem Hammer auf den Kopf gehauen (das habe ich ja auch getan), aber ich weiß wenigstens, dass ich dem Contenido-Nutzer professionell und unkompliziert geholfen habe.