Contenido 4.8.20 gehackt?

[DoroM]

hallo, wir hatten eine alte Contenido-Installation (4.6) laufen, die gehackt wurde.
Im November haben wir alles gelöscht, die neue 4.8.20 aufgespielt und die Daten der alten DB in die neue Version integriert. Lief alles super.
Über Weihnachten hat es wieder einen Hack gegeben, nun sind sowohl neue php-Dateien dazugekommen, alsoauch Code in bestehende Dateien eingefügt worden.
Ich hatte den (kleinen, lokalen) Provider schon vorher im Verdacht, dass der Server verseucht ist.
Auf Nachfrage beim Provider antwortet der nun, dass die SChadinhalte "über eine PHP Upload-Funktion innerhalb
Ihres Webhosting-Paketes hochgeladen wurden".
Kann das sein, gibt es so eine Funktion im Contenido, die man zumachen sollte?

danke und Gruß

[Faar]

Ich hatte mal bei einem Kunden ähnliche Probleme.
Trotz Bereinigung waren wieder entsprechende "Schadinhalte" neu in Contenido eingebaut worden.
Am Ende lag es daran, dass entweder der Provider irgendwann mal gehackt wurde und die Zugangsdaten seither in entsprechenden Kreisen verkehrten oder aber der PC des Kunden gehackt war.
Eine komplette Erneuerung aller Zugangsdaten, auch der Datenbank und des Provider-Kontos, brachte die Lösung.

Contenido hat eine Upload Funktion und falls die Datenbank einmal gehackt wurde, steht vielleicht in den Usern ein fremder User drin oder aber die Zugangsdaten des Sysadmins sind bekannt geworden.
Da ist es dann sehr leicht, mit der Upload-Funktion entsprechenden Code, oft als .txt-Datei getarnt, hoch zu laden.
Es kann auch sein, dass Module oder alte Javascript-Dateien infiziert wurden und Schadcode nachladen.
Alles was aus der Zeit von 4.6 stammt, würde ich sehr genau überprüfen.

Wenn alles sauber und sicher ist, kann es immer noch am Provider liegen.

[DoroM]

wie gesagt, auf FTP-Ebene wurde das alte CMS gelöscht, FTP-Zugangsdaten wurden neu gesetzt, nur die DB wurde übernommen.
Werde mir die mal ansehen...

[rethus]

Logs anfordern, oder soweit zugänglich immer selbst prüfen. Alles andere ist verbrennen von Zeit und Gehirnschmalz.
Könnte, sollte, hätte bringt dich unterm Strich nicht weiter.

Wenn der Provider sagen kann, dass es von einem Upload-Formular gekommen ist, kann er dir über die Serverlogs auch sagen, welche Datei das war.

Vorgehen ist:

1. Zeitpunkt des Hacks feststellen, bzw. eingrenzen.
2. Logs Studieren und Rausfinden, welchen Weg der Hacker gegangen ist.

[Oldperl]

Und grundsätzlich erst mal alle Zugänge mit neuem Passwort versehen, und/oder wenn möglich die Username/Passwort-Kombination erneuern (z.B. bei FTP).
Bei Mitarbeitern und Kunden die zum Zugang genutzen PC oder LapTops auf Viren und Trojaner prüfen, dabei eine Live-CD zum Scannen nutzen.

PS: Und Nein, Con 4.8.20 ist nicht bekannt dafür das es eine Sicherheitslücke gibt. Hier aber evtl. mal Module und Plugins prüfen.


Gruß aus Franken

Ortwin

[DoroM]

Wir haben das Paket gesäubert und die Zugangsdaten erneuert. Dann werden wir die Domain umziehen zu einem Provider, wo man die Log-Daten zur Verfügung gestellt kriegt.
Danke für Eure Hilfe!

[rethus]

Wenn du auf der Konsole etwas fit bist (und nen Login via SSH hast) lässt sich auch schon viel rausfinden. Achte da auf Erstellung und Veränderung von Dateien (Datum).
Zur Not geht das auch via FTP (aber nicht so gut).

Aber Euer Schritt den Provider zu wechseln ist berechtigt, wenn er wirklich keinerlei Logs rausrücken will, oder kann. Dann taucht der nämlich nichts!