4.8.12 gehackt???

[notaus]

Hallo zusammen,

nachdem vor einigen Wochen eine 4.8.8 Installation gehackt wurde, habe ich heute erneut Veränderungen festgestellt!
Ich habe damals nach dem Hack auf 4.8.12 upgedatet und die alten Dateien auf dem Server gelöscht. Zudem habe ich /contenido/ per htaccess geschützt.

Der Angreifer sucht sich auf dem Server alle index.php raus und fügt folgenden JS-Code an den Ende der Datei:

Code: Alles auswählen

Oldperl: Code aus Sicherheitsgründen entfernt. Wir wollen ja keine Scriptkiddies ausbilden :-)

Kann mir jemand helfen?

Grüße
Christian

[Oldperl]

Hallo Christian,

zuerst solltest du versuchen herauszufinden wo der "Angreifer" rein gekommen ist. Hierzu benötigt man access- und error-Logs des Servers. Du solltest inzwischen das Web per htaccess abschalten und auch alle Passwörter, sowohl FTP, MySQL und Benutzerpasswörter ändern.

Bisher ist für die Contenido 4.8.x noch keine Sicherheitslücke bekannt. Eventuell nutzt du ja auch noch andere Scripte oder spezielle Plugins und/oder Module, die eigene "hackbare" Bereiche haben.

Gruß aus Franken

Ortwin

[Oldperl]

Hallo Christian,

gibt es hier was Neues? Konntest du etwas mehr zu dem Hack herausfinden?

Gruß aus Franken

Ortwin

[notaus]

Hi Ortwin,

nicht wirklich.
Der Provider will die HTTPD-Logfiles nicht rausrücken, da wohl noch andere Kunden auf dem Server sind und das nicht getrennt läuft.
Per FTP hat anscheinend kein Login stattgefunden.

Der Provider hat wohl kein großes Interesse, da weiterzuhelfen, und das als sauteurer Business-Provider. Werde meinem Kunden einen Wechsel nahelegen. Es kann doch nicht sein, dass der so untätig ist!

Da ich /contenido/ per htaccess geschützt habe, muss das Backdoor (wenn es von diesem Webspace käme)bei /cms/, /pear/ oder /conlib/ sein.

in CMS hab ich nur die Standard-Scripte, ich hab auch kein extra Plugin dort laufen.

Es wurden nur index.php und main.php verändert. Auch welche, die nur eine Weiterleitung per Header drin hatten. Diese hatten also überhaupt keine Auswirkung. Wäre der Angreifer Contenido-spezifisch, hätte er seinen Müll dort anders wirkungsvoller hinterlegen können.
Es tippe auf einen Robot, der einfach alle index / main.php schnappt und diese verändert.

Grüße
Christian

[Oldperl]

Hallo Christian,

Der Provider will die HTTPD-Logfiles nicht rausrücken, da wohl noch andere Kunden auf dem Server sind und das nicht getrennt läuft.

Hä?
Was 'n das dann für eine Servereinrichtung? Dann kommt wohl auch jeder Kunde an den Webspace des Anderen oder wie?

Per FTP hat anscheinend kein Login stattgefunden.

Ist auch eher unwahrscheinlich. Meist kommen die über eine Sicherheitslücke und nutzen dann ein eigenes root-Script, welches auf einem anderen Server liegt. Damit kommen die dann an die Dateien zum ändern ran.

Der Provider hat wohl kein großes Interesse, da weiterzuhelfen, und das als sauteurer Business-Provider.

Sowas kann ich erst recht nicht nachvollziehen.
Das würde ich bei meinen Servern und für meine Kunden aber sowas von fix versuchen raus zu bekommen, damit man die Lücke schließen kann.
Aber vielleicht bin ich ja auch zu "billig"?!

So wie sich das anhört muss man nicht unbedingt von einer Sicherheitslücke bei Contenido ausgehen, wohl er von einem Sicherheitsrisiko bei deinem Provider.

Gruß aus Franken

Ortwin

[DerFrank]

Provider wechseln. Kannst mir bitte das Skript in Deinem ersten Post per PN schicken? Das, das Oldperl entfernt hat. Danke...

[notaus]

Hallo,

der Angriff fand wohl über FTP statt - der Provider hat nun plötzlich die Logfile rausgerückt.
Ich kann also Entwarnung für Contenido geben.

Grüße
Christian

[Oldperl]

Hallo Christian,

danke für das Feedback.

Gruß aus Franken

Ortwin