Angriff? Wie "Loch" finden?

Fragen zur Installation von CONTENIDO 4.9? Probleme bei der Konfiguration? Hinweise oder Fragen zur Entwicklung des Systemes oder zur Sicherheit?
Antworten
Halchteranerin
Beiträge: 5478
Registriert: Di 2. Mär 2004, 21:11
Wohnort: Halchter, wo sonst? ;-)
Kontaktdaten:

Angriff? Wie "Loch" finden?

Beitrag von Halchteranerin » Mi 7. Aug 2013, 22:42

Hallo zusammen,

nachdem ich festgestellt habe, dass Renés Bilderhochladmodul irgendwie nicht (mehr) funktioniert, wollte ich gucken, ob es im Errorlog irgendwelche Einträge gibt, die mir helfen, den Fehler zu finden, aber meine Äuglein sahen da ganz andere Sachen, die mir nicht gefielen. Ein Auszug:

Code: Alles auswählen

[01-Aug-2013 23:22:25] ///xml connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///article/admin/admin.php connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///xbbs connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///al connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///article.asp connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///article.asp next_record called with no query pending.
[01-Aug-2013 23:22:25] ///adm.aspx connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///adm.aspx next_record called with no query pending.
[01-Aug-2013 23:22:25] ///Article_Show connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///art.aspx connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///art.aspx next_record called with no query pending.
[01-Aug-2013 23:22:25] ///app connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///app next_record called with no query pending.
[01-Aug-2013 23:22:25] ///asian connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///asian next_record called with no query pending.
[01-Aug-2013 23:22:25] ///yonetici.asp connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///xtadmin/ connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///xtadmin/ next_record called with no query pending.
[01-Aug-2013 23:22:25] ///yonetici.php connect(localhost, bbscms, $Password) failed.
[01-Aug-2013 23:22:25] ///yonetici.php next_record called with no query pending.
Es ist noch ein Contenido 4.8.15, ja, ich weiß, nicht das Neueste, aber ich bekam schon lange Ohren in Erwartung der 4.9 und mir fehlt gerade die Motivation, upzudaten, auch wenn ich weiß, dass man vor 4.9 erst auf 4.8.18 updaten soll, ABER: auch wenn das ungefährlich aussieht, weil überall "failed" steht, sieht mir das irgendwie nach eingeschleusten Dateien aus. Bei einer spontan angesetzten Quersuche über FTP ist mir nichts aufgefallen, daher die Frage: hat jemand einen Ansatzpunkt für mich, wo ich (noch) gucken könnte?

Viele Grüße
Christa
Bitte keine unaufgeforderten Privatnachrichten mit Hilfegesuchen schicken. WENN ich helfen kann, dann mache ich das im Forum, da ich auch alle Postings lese. PN werden nicht beantwortet!

chris8408
Beiträge: 87
Registriert: So 2. Apr 2006, 19:07
Wohnort: Korschenbroich
Kontaktdaten:

Re: Angriff? Wie "Loch" finden?

Beitrag von chris8408 » Fr 9. Aug 2013, 10:39

Hallo Christa,

die Frage ist, woher die Einträge stammen. Ist ein Modul geändert, sind anderweitig Dateien geändert. Tritt der Fehler bei jedem Seitenaufruf auf oder nur bei bestimmten Seiten mit Modulen.

Wenn du Zugriff auf Server-Log-Dateien hast, würde ich mir einmal anschauen, welche Seiten zu deinen Log-Einträgen aufgerufen wurden und mir dann zurückliegend anschauen,
- falls Dateien geändert wurden, welche Datei geändert wurde und wann da Zugriffe drauf stattgefunden haben
- falls Module geändert wurden, ob man erkennen kann, wer und/oder wann die Module geändert wurden.

Hier muss man Schritt für Schritt dem ganzen nachgehen.

Christian
--------------------------------------------
Christian John aus Korschenbroich bei Düsseldorf (https://www.john-softwareentwicklung.de)
Selbständiger Web-Entwickler
“There are 10 types of people in the world… those that understand binary and those that don’t.”

procon
Beiträge: 80
Registriert: So 27. Jan 2013, 13:24
Wohnort: Lennestadt
Kontaktdaten:

Re: Angriff? Wie "Loch" finden?

Beitrag von procon » Mo 12. Aug 2013, 13:24

Das Mühsamste dabei ist, den eingeschleusten Code erst mal ausfindig zu machen und zu entfernen. Eine Volltextsuche kann da ganz hilfreich sein, d.h. alle Dateien vom FTP-Server herunterladen und mit einem Quellcode-Editor (z.B. Notepad++) nach den auffälligen Zeilen durchsuchen, z.B. "asian connect(localhost, bbscms, $Password)" oder nur "asian".

Mit der 4.8.15 hatte ich auch ähnliche Probleme (mehrere Installationen), ein Update auf 4.8.18 hat dem schließlich ein Ende gesetzt.
Der Update-Vorgang selbst ist gar nicht so kompliziert, hier findest du z.B. eine übersichtliche Anleitung.

Gruß
Dominik

Halchteranerin
Beiträge: 5478
Registriert: Di 2. Mär 2004, 21:11
Wohnort: Halchter, wo sonst? ;-)
Kontaktdaten:

Re: Angriff? Wie "Loch" finden?

Beitrag von Halchteranerin » Mo 12. Aug 2013, 21:16

Hallo Christian,

hier ein Auszug aus der acceslog:

Code: Alles auswählen

173.242.112.151 - - [01/Aug/2013:23:22:15 +0200] "GET //login.asp HTTP/1.1" 302 - "-" "-"
173.242.112.151 - - [01/Aug/2013:23:22:15 +0200] "GET //login.aspx HTTP/1.1" 302 - "-" "-"
173.242.112.151 - - [01/Aug/2013:23:22:15 +0200] "GET //admin/login.asp HTTP/1.1" 401 401 "-" "-"
173.242.112.151 - - [01/Aug/2013:23:22:15 +0200] "GET //admin/login.php HTTP/1.1" 401 401 "-" "-"
173.242.112.151 - - [01/Aug/2013:23:22:15 +0200] "GET //mn-admin/index.php HTTP/1.1" 302 - "-" "-"
173.242.112.151 - - [01/Aug/2013:23:22:15 +0200] "GET //security/ HTTP/1.1" 302 - "-" "-"
173.242.112.151 - - [01/Aug/2013:23:22:15 +0200] "GET //manager/ HTTP/1.1" 302 - "-" "-"
173.242.112.151 - - [01/Aug/2013:23:22:15 +0200] "GET //mn-admin/index.aspx HTTP/1.1" 302 - "-" "-"
173.242.112.151 - - [01/Aug/2013:23:22:15 +0200] "GET //mn-admin/index.asp HTTP/1.1" 302 - "-" "-"
173.242.112.151 - - [01/Aug/2013:23:22:16 +0200] "GET //login/ HTTP/1.1" 302 - "-" "-"
Soweit ich das sehe, scheinen das Aufrufe zu sein, die ins Leere gelaufen sind, oder?
chris8408 hat geschrieben:welche Seiten zu deinen Log-Einträgen aufgerufen wurden und mir dann zurückliegend anschauen
Nun ja, das wird schwierig, denn im Verzeichnis admin, das tatsächlich existiert, gibt's keine login.irgendwas-Dateien, die Verzeichnisse security, manager, mn-admin und login, wobei ich mir auch nicht sicher bin, was dieser Pfad mit Doppelslash am Anfang bedeutet, denn die anderen, existierenden, Dateien, haben einen normalen Pfad mit Slash am Anfang in der accesslog.

Dominik, ich bin seit Contenido 4.4.4 oder so dabei, ich habe dabei mehr als ein Update hinter mir :wink:, aber mir graut's vor der kompletten Datensicherung. Alles andere lief quasi von alleine bisher ...

Viele Grüße
Christa
Bitte keine unaufgeforderten Privatnachrichten mit Hilfegesuchen schicken. WENN ich helfen kann, dann mache ich das im Forum, da ich auch alle Postings lese. PN werden nicht beantwortet!

procon
Beiträge: 80
Registriert: So 27. Jan 2013, 13:24
Wohnort: Lennestadt
Kontaktdaten:

Re: Angriff? Wie "Loch" finden?

Beitrag von procon » Di 13. Aug 2013, 09:21

Guten Morgen, Christa,

dachte mir schon, dass das keine Neuigkeiten für dich sind, aber der Vollständigkeit halber habe ich es mal dazugeschrieben (für alle, die mitlesen). ;-)
Wenn du es mit der Volltextsuche probierst (was ich weiterhin empfehlen würde), hast du ja schon das FTP-Backup, der zugehörige SQL-Dump ist doch schnell gemacht.

Ins Leere laufende Aufrufe würden nicht im CONTENIDO-Errorlog auftauchen; und wenn Module nicht mehr funktionieren, scheint ja bereits Code eingeschleust worden zu sein. Ich würde auch mal die Datenbank nach den verdächtigen Wörtern aus dem Errorlog scannen. Hast du mal geschaut, ob die Dateien, von denen die Fehlermeldungen ausgehen, auf deinem Server (noch) vorhanden sind (z.B. yonetici.php)? Sieht für mich so aus, als hätte ein Bot wahllos Dateinamen verwendet, "Yönetici" z.B. ist türkisch für "Administrator".

Gruß
Dominik

Halchteranerin
Beiträge: 5478
Registriert: Di 2. Mär 2004, 21:11
Wohnort: Halchter, wo sonst? ;-)
Kontaktdaten:

Re: Angriff? Wie "Loch" finden?

Beitrag von Halchteranerin » Mi 14. Aug 2013, 05:56

Hallo Dominik,

ich habe noch kein aktuelles (d.h. nach dem 1.08. erstelltes) Backup. Und gerade ziemlich viel zu tun, aber vielleicht schaffe ich es doch die Tage.
procon hat geschrieben:wenn Module nicht mehr funktionieren, scheint ja bereits Code eingeschleust worden zu sein
Wenn du dich damit auf meine Frage aus dem anderen Thread beziehst, das ist schon geklärt und es lag nur an der nicht eingetragenen Ausnahme in der .htaccess wegen AMR.
procon hat geschrieben:Hast du mal geschaut, ob die Dateien, von denen die Fehlermeldungen ausgehen, auf deinem Server (noch) vorhanden sind (z.B. yonetici.php)?
Ja, wobei, wie ich oben schon schrieb, mir nicht klar ist, warum die Pfade mit // statt mit / in den trefferlos gelaufenen Anfragen anfangen. Aber vom root-Verzeichnis ausgehend habe ich nichts gefunden, auch nicht im Mandantenverzeichnis.
procon hat geschrieben:Sieht für mich so aus, als hätte ein Bot wahllos Dateinamen verwendet, "Yönetici" z.B. ist türkisch für "Administrator".
Ich kann kein Türkisch, aber nach wahllos verwendeten Datei- bzw. Pfadnamen sah es auch bei mir aus. :)

Viele Grüße
Christa
Bitte keine unaufgeforderten Privatnachrichten mit Hilfegesuchen schicken. WENN ich helfen kann, dann mache ich das im Forum, da ich auch alle Postings lese. PN werden nicht beantwortet!

procon
Beiträge: 80
Registriert: So 27. Jan 2013, 13:24
Wohnort: Lennestadt
Kontaktdaten:

Re: Angriff? Wie "Loch" finden?

Beitrag von procon » Fr 16. Aug 2013, 10:27

Ahoi,

du kannst das Ganze ja einfach mal beobachten bzw. schauen, ob die Einträge im Errorlog nach einem Upgrade immer noch auftauchen.
Bei "Yönetici" hat mir übrigens nur Google Translate weitergeholfen :D

Gruß
Dominik

Antworten