Contenido 4.8.12 gehackt

[Calimero]

Hallo Liebe Community,

ich habe ein gravierendes Problem mit einer unserer Kunden.

Vor ca. einem Monat trat der Fehler als erstes auf (Artikel konnten nicht mehr editiert werden, weil nur eine weiße Seite angezeigt wurde).
Das Problem lag offensichtlich an der /contenido/main.php. Diese Datei habe ich ersetzt und alles war gut.
Zur Sicherheit habe ich die auf die neuere Contenido Version upgedatet. Danach war auch alles gut aber jetzt tritt der Fehler wieder auf.
Ich habe mir die weiße Seite im Quelltext angeschaut und siehe da:
einen Iframe eintrag mit http://c6y.at:8080/ts/in.cgi?pepsi143.. sehr merkwürdig aber daran liegt es offensichtlich.
Ich habe natürlich im Vorfeld alle Dateien und die Datenbank gesichert, doch leider tritt dieser Fehler immer wieder auf.

Zu der Version:
- 4.8.12
- Provider Hetzner
- Mysql 4.0.27-standard
- PHP 5

Ich hoffe einer weiß Rat.

Vielen Dank im Voraus.
Calimero

[Dodger77]

Welche Version war denn vorher im Einsatz? Wenn diese bereits gehackt war und die Manipulationen nicht entfernt wurden, könnte auch das derzeitige Problem mit dem damaligen Hack zusammenhängen.

[Calimero]

Vielen Dank für die rasche Antwort.

Vorher war die Contenido Version 4.6.23mr im Einsatz.
Ich gehe davon aus, dass der Hack bereits dort vorhanden war. Als ich das Update auf 4.8.12 gemacht habe, habe ich aber die alten Daten vom Server gelöscht.

Wie kann ich weiter vorgehen

[Dodger77]

Interessant wären z.B. die Logdateien des Server. Dabei vor allem die Zeiträume rund um die Probleme vor einem Monat und jetzt. Des weiteren könnte man überprüfen (z.B. mit WinMerge oder einem ähnlichen Tool), welche Dateien denn im Vergleich zu dem 4.8.12-Download geändert oder hinzugekommen sind.

[Calimero]

Vielen Dank für eure Bemühungen.

Ich werde es im Auge behalten und euch darüber Informieren!

[Calimero]

Es gibt Neuigkeiten bezüglich des o.g. Problems.

Ich habe die Anweisung von Dodger77 befolgt und die beiden Webs (altes gehacktes und originales) verglichen. Dabei kam folgendes heraus.
Diese Dateien sind infiziert worden:
cms\css\index.php
cms\images\index.php
cms\js\index.php
cms\logs\index.php
cms\index.php
conlib\index.php

Die Frage, welche ich mir jetzt stelle ist, muss der Ordner images, js, logs, conlib, css überhaupt eine index.php enhalten?

Ich habe nun diese Datei erneuert und die Attribute auf Leserecht gestellt, hilft mir das weiter?

Über weitere Lösungsansätze würde ich mich sehr freuen.

Lg, Calimero

[kummer]

du brauchst in diesen verzeichnissen keine index.php, wenn du auf anderem weg verhindern kannst, dass der inhalt dieser verzeichnisse angezeigt wird (z.b. mit htaccess). die index.php dient dazu, bei zugriffen auf das verzeichnis die anzeige des inhalts zu unterdrücken.

[Oldperl]

Hallo Calimero,

Ich habe nun diese Datei erneuert und die Attribute auf Leserecht gestellt, hilft mir das weiter?

Nicht wenn du den Grund für das Ändern der index-Dateien nicht herausfindest. Auch kummer's ersetzen durch eine .htaccess beseitigt nur die Wirkung, aber nicht die Ursache.
Es gab mal vor ein paar Wochen einen Virus/Trojaner der sich auf einem infizierten WinPC mit Hilfe dort gefundener FTP-Daten entweder selber einlogte oder diese weiter verschickte, so das von einer Hackerseite automatisiert Code in index-Dateien eingeschleust wurde.
Abhilfe war eine Desinfektion des WinPC und Änderungen der Zugangsdaten auf dem Web. Hierbei wurde sicherheitshalber gleich sämtliche Zugangsdaten geändert (FTP, MySQL, etc.).

Gruß aus Franken

Ortwin

[Calimero]

Vielen dank für eure Antworten.

Leider musste ich heute wieder feststellen, dass Contenido gehackt wurde. Es scheint tatsächlich irgendwie automatisiert zu laufen.
Ich werde jetzt mal meinen WinPC und die, die mit FTP zugreifen scannen und die gefunden infizierte Daten löschen. Danach überschreibe ich diese mit den auf dem Webserver.
Ich hoffe, dass es funktioniert.

Ich melde mich sobald es Neuigkeiten gibt.

Vielen Dank. Calimero

[BagHira]

Es gab mal vor ein paar Wochen einen Virus/Trojaner der sich auf einem infizierten WinPC mit Hilfe dort gefundener FTP-Daten entweder selber einlogte oder diese weiter verschickte, so das von einer Hackerseite automatisiert Code in index-Dateien eingeschleust wurde.

Hallo Calimero,

- schau dir die Log-Dateien des / der Server/s an !
- ändere alle Passwörter!
- finde heraus, wie die Hacker vorgegangen sind und stopfe das Loch.

Hast du einen gescheiten Virenscanner etc? <- setzte ich jetzt mal voraus

Wie Oldperl schon sagte, wurden in diesem Fall die Zugangsdaten aus einer lokalen txt-Datei ausgelesen und weitergegeben.
Es wurde sich hierbei über FTP eingeloggt und eine Datei aus den Server geladen.

Jedenfalls steht bei dem von mir geschilderten Fall fest das Contenido in der Version 4.6.24 nicht gehack wurde. Zur Zeit läuft dort seit 4 Wochen die 4.8.12 ohne Probleme.

[Calimero]

Hallo Liebe Community,

ich habe es haarklein folgendes getestet:
1. Bereinigung der infizierten Dateien.
2. Neueinwählen via FTP
3. Bereinigte Dateien wurden erneut infiziert.

Also liegt es wohl an den genannten Virus, der sich automatisiert via FTP einwählt.

derzeit haben wir folgenden Stand erreicht:
WinPC's wurden gescannt (Anti Vir, AVG oder ähnliches) und mit Hijackthis. Das Resultat war nicht so berauschend.
Die Viren/Malware wurden entfernt und selbst das Neueinwählen via FTP klappt wieder .

Ich denke wir kommen der Ursache immer näher.

Was mich außerdem interessiert, kann es auch sein, dass die Dateien von einer anderen Stelle manipuliert wurden?

Vielen Dank, Calimero

[BagHira]

Hallo Calimero,

du hast ja oben schon aufgeführt welche Dateien geändert wurden, hast du dafür WinMerge oder ähnliches benutzt?
Hast du dir auch die Datenbank (gründlich) angesehen?

Also liegt es wohl an den genannten Virus, der sich automatisiert via FTP einwählt.

Dies kann, muß aber nicht sein...

Meiner Meinung nach ist es sicher das ein Script oder Virus die FTP- Zugangsdaten hat. Möglicherweise findet du Hinweise darüber in der Datenbank. Aber vor allem helfen dir die Serverlogs (jetzt besonders das FTP-Log).

Ich kann dir aber nur dringend empfehlen die Passwörter (FTP, MySQL etc.) zu ändern

[Calimero]

Hallo BagHira,

ich habe die Dateien mit Winmerge verglichen und demnach wie schon o.g. aufgeführt.
Die Datenbank habe ich mir auch gründlich angeschaut und nichts verdächtiges gefunden.

FTP, Msql und die Zugangsdaten jedes Contenido-Users wurden geändert.

Hier ein Teil Ausschnitt des FTP-Logs, welcher mir sehr verdächtig vorkommt. Die IP ist aus Indien :

nobody - _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:45 +0200] USER _KUNDE_ 331 - - -
Aug 13 18:04:46 www28.your-server.de proftpd[6791] www28.your-server.de (::ffff:59.92.144.230[::ffff:59.92.144.230]): USER _KUNDE_: Login successful.
Aug 13 18:04:46 www28.your-server.de proftpd[6791] www28.your-server.de (::ffff:59.92.144.230[::ffff:59.92.144.230]): Preparing to chroot to directory '/usr/www/users/_KUNDE_'
univerk_0 - _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:46 +0200] PASS (hidden) 230 - - -
univerk_0 - _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:46 +0200] PWD 257 - - -
univerk_0 - _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:47 +0200] CWD contenido 250 - - -
univerk_0 - _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:47 +0200] CWD xml 250 - - -
univerk_0 - _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:48 +0200] EPSV 229 - - -
univerk_0 - _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:49 +0200] TYPE A 200 - - -
univerk_0 - _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:50 +0200] SIZE index.php 550 - - -
univerk_0 0.202 _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:50 +0200] RETR index.php 226 46 - -
univerk_0 - _HOS_EXTENDED_ ::ffff:59.92.144.230 UNKNOWN - [13/Aug/2009:18:04:53 +0200] QUIT 221 - - -

Vielen Dank, Calimero

[BagHira]

Hallo Calimero,

ich kann so auf die Schnelle nichts besoneres in FTP-Log finden - außer das die Zugangsdaten bekannt sind /waren.
Der Herr aus Indien hat die Größe der index.php abgefragt und sie dann anschließen herunter geladen.

Das du die Passwörter geändert hast ist schon mal gut

Solange du sicher bist das nur "Original-Dateien" von Contenido auf dem Server liegen und du die DB gecheckt , die infizierten Dateien lokalisiert und die Passwörter geändert hast, würde ich jetzt einmal abwarten was weiter passiert.