4.8.6 Seite gehackt?

StSnake · Beitrag von **StSnake** » Do 3. Jul 2008, 19:33

Hallo,

gerade habe ich in das Systemlog geschaut und was sehe ich da, lauter Einträge wie:

Log zu deiner eigenen Sicherheit entfernt, um Nachahmer davon abzuhalten, deine Seite zu zerstören. (timo.trautmann_4fb)

Das sieht ganz nach einem Hack aus, oder?

Mein System:
Version 4.8.6 mit ModRewrite

Wenn ihr für die Analyse noch mehr Infos braucht, einfach melden.

Was kann ich tun? Die Inhalte löschen und eine Sicherung einspielen?

Vielen Dank für eure Hilfe

Viele Grüße
Steffen[/code]

StSnake · Beitrag von **StSnake** » Do 3. Jul 2008, 20:31

Hallo nochmal,

ich habe die URLs kopiert und so angepasst, das ich auf eine test.txt auf einem anderen meiner Server herauskommen sollte.

Dabei treten die gleichen Fehlermeldungen auf.

Daraus schlisse ich, das es nur ein Versuch war. Kann man irgendwie bewerkstelligen, das bei einem falschen Aufruf in der URL automatisch auf eine Seite weitergeeitet wird, so das selbst ein Versuch dieser Art keine solchen Fehler auslöst.

Sorry kenne mich wirklich nicht sehr gut aus.

Viele Grüße und vielen Dank schon einmal
Steffen

Hallo,

bei dem Fehler handelt es sich zwar nicht um einen Standard-Fehler von Contenido, deshalb kann ich dir auch nur eingeschränkt, heißt threoretisch helfen. Ich würde dir aber empfehlen, entweder an den Anfang des Skripts ein:

Code: Alles auswählen

if(isset($_REQUEST['error'])) {
   die('Invalid call!');
}

zu setzen - wobei das so aussieht, als würde die Variable "error" stets via URL übergeben, sodass du dir mit der if-Abfrage ein Bein stellen würdest.

Ansonsten solltest du, sofern es dir möglich ist, die Einstellung "allow_url_fopen" sowie wenn du PHP 5.2 installiert hast auch "allow_url_include" deaktivieren, vgl. http://de3.php.net/manual/de/features.remote-files.php.

timo.trautmann_4fb · Beitrag von **timo.trautmann_4fb** » Fr 4. Jul 2008, 07:21

Soweit ich es überblicken kann ging der Angriff auf das mod_rewrite Plugin von xmurix. Daher ist dies nicht ein direktes Problem von Contenido. Ich habe ihn eben Kontaktiert und ihm die Logdatei zugesendet, die ich hier zu deiner eigenen Sicherheit aus dem Forum entfernt habe.

StSnake · Beitrag von **StSnake** » Fr 4. Jul 2008, 08:23

Hallo,

vielen Dank für die Rückmeldungen, die Log-Datei war so weit verändert, das darüber kein weiterer Angriff stattfinden konnte. Deshalb war eine Entfernung des Logs nicht nötig aber in Ordnung.

Die Einstellung "allow_url_fopen" hatte ich schon vor dem Hackversuch deaktiviert gehabt.

Die Einstellung "allow_url_include" habe ich gerade noch deaktiviert, danke für den Tip.

Wenn ich bei meinem Versuch die von mir erstellte TXT-Datei nicht gesehen habe, kann ich davon ausgehen, das nichts weiter passiert ist, oder?

Ein Diff einer Sicherung und des aktuellen Verzeichnises ergab, das es in keiner Datei eine Änderung gibt (nur in den Cache Verzeichnissen und die Logfiles sind unterschiedlich).

Vielen Dank und viele Grüße
Steffen

timo.trautmann_4fb · Beitrag von **timo.trautmann_4fb** » Fr 4. Jul 2008, 08:26

Laut den Fehlermeldungen ist auch nichts passiert. Wie gesagt habe die Logs an xmurrix weitergeleitet, er kann dann selbst sehen. Habe die Daten entfernt damit es eben keine anderen Versuche auf andere mod_rewirte Installationen gibt.

Beitrag von **xmurrix** » Sa 5. Jul 2008, 00:16

Hallo zusammen,

nach eingehender Überprüfung der Fehlermeldungen, bin ich zu dem Entschluss gekommen, dass die Hackingversuche kein Risiko darstellen.
Das Mod Rewrite Plugin ist also mit sehr hoher wahrscheinlichkeit nicht über irgendwelche eingegebenen URLs angreifbar.

Solche Versuche führen aber unter bestimmten Umständen dazu, dass eine PHP-Warnung geworfen wird, die dann ausgegeben wird oder in der errorlox.txt landet.

Wie die Warnung zu unterdrücken ist, kann ich bei Interesse gerne per PM zukommen lassen, eine zugemüllte errorlog.txt kann doch störend sein.

Grüße
xmurrix