Seite 1 von 1
Gehackt oder nicht ...
Verfasst: Sa 18. Apr 2009, 15:06
von Leo
Hallo Contenido-Gemeinde,
Mal ne ganz dumme Frage: Wenn ich im Logfile solche Einträge finde, muss ich davon ausgehen, dass ich gehackt wurde:
Oder ist das nur ein Versuch gewesen? In den jeweiligen Verzeichnis kann ich auch nichts finden. Auch mein Antivirenprogramm bleibt ruhig. Das CMS ist auch noch ziemlich neu (Version 4.8.7) und register_global und allow_url_fopen auf off. Außerdem ist das Backend durch htaccess zusätzlich gesperrt.
Viele Grüße
Leonhard
Re: Gehackt oder nicht ...
Verfasst: So 19. Apr 2009, 12:42
von xmurrix
Leo hat geschrieben:...
Mal ne ganz dumme Frage: Wenn ich im Logfile solche Einträge finde, muss ich davon ausgehen, dass ich gehackt wurde:
Oder ist das nur ein Versuch gewesen? In den jeweiligen Verzeichnis kann ich auch nichts finden. Auch mein Antivirenprogramm bleibt ruhig. Das CMS ist auch noch ziemlich neu (Version 4.8.7) und register_global und allow_url_fopen auf off. Außerdem ist das Backend durch htaccess zusätzlich gesperrt....
Hallo,
der HTTP- Status Codes des Beispiels ist 410, d. h. der HTTP-Server hat die Seite nicht ausgeliefert, also es kam nicht zu einem erfolgreichen Hack. Falls du in den Logs solche URLs mit einem HTTP 200 findest, müsstest du dir dann doch Gedanken machen. Das Contenido-Verzeichnis zu schützen ist eine sehr gute Idee. Bedenke aber, das es auch möglich wäre, über das Frontend "rein zu kommen", sofern deine Installation nicht geschützt ist.
Die Version 4.8.7 ist da schon mal mit dem integrierten Security-Check gut gegen sowas ausgerüstet.
Gruß
xmurrix
Re: Gehackt oder nicht ...
Verfasst: So 19. Apr 2009, 16:06
von Leo
Danke für den Tipp!
Gruß Leonhard
Re: Gehackt oder nicht ...
Verfasst: Mo 20. Apr 2009, 20:49
von Leo
Hallo Contenido-Gemeinde,
zu dem Thema habe ich noch eine Frage: Wenn ich eine solche Meldung im Errorlog von Contenido habe, deutet das auf einen Hackerversuch hin?
Code: Alles auswählen
[18-Apr-2009 16:15:32] /xxx/contenido/main.php?area=htmltpl&frame=2&contenido=e6bacf25e4e96d7cc962ecd16e449a10 MySQL error 1062: Duplicate entry 'e6bacf25e4e96d7cc962ecd16e449a10' for key 1
insert into xxx_phplib_active_sessions ( sid, name, val, changed ) values ('e6bacf25e4e96d7cc962ecd16e449a10', 'contenido', 'Y29udGVuaWRvOiR0aGlzLT5pbiA9ICcwJzsgJHRoaXMtPnB0ID0gYXJyYXkoKTsgJHRoaXMtPnB0WydhdXRoJ10gPSAnMSc7ICR0aGlzLT5wdFsnY2hhbGxlbmdlJ10gPSAnMSc7ICR0aGlzLT5wdFsnc2F2ZUxvZ2luVGltZSddID0gJzEnOyAkdGhpcy0+cHRbJ2JlbGFuZyddID0gJzEnOyAkdGhpcy0+cHRbJ2NsaWVudCddID0gJzEnOyAkdGhpcy0+cHRbJ2xhbmcnXSA9ICcxJzsgJHRoaXMtPnB0WydzZXNzX2FyZWEnXSA9ICcxJzsgJHRoaXMtPnB0WydjZmdDbGllbnQnXSA9ICcxJzsgJHRoaXMtPnB0WydlcnJzaXRlX2lkY2F0J10gPSAnMSc7ICR0aGlzLT5wdFsnZXJyc2l0ZV9pZGFydCddID0gJzEnOyAkR0xPQkFMU1snYXV0aCddID0gbmV3IENvbnRlbmlkb19DaGFsbGVuZ2VfQ3J5cHRfQXV0aDsgJEdMT0JBTFNbJ2F1dGgnXS0+YXV0aCA9IGFycmF5KCk7ICRHTE9CQUxTWydhdXRoJ10tPmF1dGhbJ3VpZCddID0gJzIxMjMyZjI5N2E1N2E1YTc0Mzg5NGEwZTRhODAxZmMzJzsgJEdMT0JBTFNbJ2F1dGgnXS0+YXV0aFsncGVybSddID0gJ2FkbWluWzFdJzsgJEdMT0JBTFNbJ2F1dGgnXS0+YXV0aFsnZXhwJ10gPSAnMTI0MDA2NzczMSc7ICRHTE9CQUxTWydhdXRoJ10tPmF1dGhbJ3JlZnJlc2gnXSA9ICcxMjQwMDYzOTAyJzsgJEdMT0JBTFNbJ2F1dGgnXS0+YXV0aFsndW5hbWUnXSA9ICdhZG1pbic7ICRHTE9CQUxTWydjaGFsbGVuZ2UnXSA9ICczMjgzYTZjMWVlNzFiZDZjZWZiZGY1ZTcyZWE0MWI2NSc7ICRHTE9CQUxTWydzYXZlTG9naW5UaW1lJ10gPSAnMCc7ICRHTE9CQUxTWydiZWxhbmcnXSA9ICdkZV9ERSc7ICRHTE9CQUxTWydjbGllbnQnXSA9ICcxJzsgJEdMT0JBTFNbJ2xhbmcnXSA9ICcxJzsgJEdMT0JBTFNbJ3Nlc3NfYXJlYSddID0gJ2h0bWx0cGwnOyAkR0xPQkFMU1snY2ZnQ2xpZW50J10gPSBhcnJheSgpOyAkR0xPQkFMU1snY2ZnQ2xpZW50J11bJ3NldCddID0gJ3NldCc7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMSddID0gYXJyYXkoKTsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWycxJ11bJ3BhdGgnXSA9IGFycmF5KCk7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMSddWydwYXRoJ11bJ2Zyb250ZW5kJ10gPSAnL2hvbWVwYWdlcy8xNi9kMzU0NTAyMzYvaHRkb2NzL2lncy9jbXMvJzsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWycxJ11bJ3BhdGgnXVsnaHRtbHBhdGgnXSA9ICdodHRwOi8vd3d3Lmlncy1oYWxsZS5kZS9pZ3MvY21zLyc7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMSddWydpbWFnZXMnXSA9ICdodHRwOi8vd3d3Lmlncy1oYWxsZS5kZS9pZ3MvY21zL2ltYWdlcy8nOyAkR0xPQkFMU1snY2ZnQ2xpZW50J11bJzEnXVsndXBsb2FkJ10gPSAndXBsb2FkLyc7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMSddWydodG1scGF0aCddID0gYXJyYXkoKTsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWycxJ11bJ2h0bWxwYXRoJ11bJ2Zyb250ZW5kJ10gPSAnaHR0cDovL3d3dy5pZ3MtaGFsbGUuZGUvaWdzL2Ntcy8nOyAkR0xPQkFMU1snY2ZnQ2xpZW50J11bJzEnXVsndXBsJ10gPSBhcnJheSgpOyAkR0xPQkFMU1snY2ZnQ2xpZW50J11bJzEnXVsndXBsJ11bJ3BhdGgnXSA9ICcvaG9tZXBhZ2VzLzE2L2QzNTQ1MDIzNi9odGRvY3MvaWdzL2Ntcy91cGxvYWQvJzsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWycxJ11bJ3VwbCddWydodG1scGF0aCddID0gJ2h0dHA6Ly93d3cuaWdzLWhhbGxlLmRlL2lncy9jbXMvdXBsb2FkLyc7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMSddWyd1cGwnXVsnZnJvbnRlbmRwYXRoJ10gPSAndXBsb2FkLyc7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMSddWydjc3MnXSA9IGFycmF5KCk7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMSddWydjc3MnXVsncGF0aCddID0gJy9ob21lcGFnZXMvMTYvZDM1NDUwMjM2L2h0ZG9jcy9pZ3MvY21zL2Nzcy8nOyAkR0xPQkFMU1snY2ZnQ2xpZW50J11bJzEnXVsnanMnXSA9IGFycmF5KCk7ICRHTE9CQUxTWydjZmdDbGllbnQnXVsnMSddWydqcyddWydwYXRoJ10gPSAnL2hvbWVwYWdlcy8xNi9kMzU0NTAyMzYvaHRkb2NzL2lncy9jbXMvanMvJzsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWycxJ11bJ3RwbCddID0gYXJyYXkoKTsgJEdMT0JBTFNbJ2NmZ0NsaWVudCddWycxJ11bJ3RwbCddWydwYXRoJ10gPSAnL2hvbWVwYWdlcy8xNi9kMzU0NTAyMzYvaHRkb2NzL2lncy9jbXMvdGVtcGxhdGVzLyc7ICRHTE9CQUxTWydlcnJzaXRlX2lkY2F0J10gPSBhcnJheSgpOyAkR0xPQkFMU1snZXJyc2l0ZV9pZGNhdCddWycxJ10gPSAnMzEnOyAkR0xPQkFMU1snZXJyc2l0ZV9pZGFydCddID0gYXJyYXkoKTsgJEdMT0JBTFNbJ2VycnNpdGVfaWRhcnQnXVsnMSddID0gJzM2Jzsg', '20090418161532')
Oder werde ich einfach automatisch nach einer gewissen Zeit, wenn ich kein Änderungen am CMS vorgenommen habe, aus dem System rausgeschmissen.
Vielen Dank für eure Rückmeldung im Voraus!
Gruß
Leonhard
Re: Gehackt oder nicht ...
Verfasst: Mo 20. Apr 2009, 21:01
von idea-tec