Meine Contenido Seite gehackt

[Szaszi]

Hallo allerseits.

Ich wurde Opfer eines Hackangriffs und hab immer noch keinen Plan, wie derjenige es geschafft hat, sich in mein Backend einzuloggen.
Zum Hergang:

Über msn hat er nach contenido+login gesucht und kam auf mein Backend. Dort gab es dann einen "POST" und er war drin. Hat sich dann 1/2 Stunde auf meinem Backend vergnügt und:
- meine Startseite gelöscht
- meine Newsartikel gelöscht

- Unsinn in meine Module, Templates und Layouts geschrieben
- Dann alle User gelöscht.

Als ich es gemerkt habe, hatte ich größte Probleme, meine Seite wieder zum rennen zu bekommen. Aus einer anderen Installation wieder den Adminuser hergestellt, Berechtigungen von Hand gesetzt usw...... war ein Riesenact !

Mittlerweile hab ich die Seite (fast) wieder hergestellt, aber ich Frag mich: WARUM GERADE ICH ? Bei meiner Seite geht um mein Musikprojekt. Ich wüßte auch nicht, dass ich Feinde hab...

Ich hab jetzt auf jeden Fall Strafanzeige gegen Unbekannt gestellt, IP hab ich ja aus dem LOG. Hoffentlich war da niemand im Internetcafe o.ä. . Mir gehts in diesem Fall nicht um Kohle aber um das gute Recht und meine Ehre als Informatiker ...

Was ich jetzt gemacht habe:
- Zugriffsteuerung über Webserver (.htacces)
- Teilweise Zugang über SSL- Proxy

MEINE Fragen:

-Sind Euch solche Dinge mit Contenido auch schon passiert?
-Sind Dinge wie SQL-Injection bei Contenido ein Thema ??

Grüße
Frank

[timo]

welche Contenido-Version?
hast du die Standardbenutzer geändert?

da ich von so etwas zum ersten mal höre, fallen mir nur 3 Möglichkeiten ein:

- Du benutzt eine alte Contenido-Version (die Versionen früher als 4.4.2 hatten ein Sicherheitsproblem), da du aber nur einen Zugriff auf das Contenido-Backend und nicht auf das Frontend festgestellt hast, scheidet diese Möglichkeit aus
- Du hattest einen Standardbenutzer mit Standardpasswörtern im System
- Der Angreifer kannte Benutzername und Passwort

Daß nur mit einem Request sofort ein Bruteforce- oder "Hack"-Angriff erfolgreich durchgeführt werden kann, schließe ich zu 99.999999% aus.

[Beleuchtfix]

steht nicht auch in den Logs wer etwas gemacht hat? Vielleicht kannst du noch nachvollziehen unter welchem Login der reingekommen ist.

Noch ein Tip zum Backup, schau einmal unter www.dornblut.de dort gibt es ein schönes script für mysql backups

Gruß
Florian

[Szaszi]

Hi,

ich hab die Version 4.4.2 im Einsatz und natürlich die Passwörter des Standardusers verändert.
In den Logs stand, das genau dieser ADMIN-User die Artikel usw. gelöscht hat.

--snip
- Der Angreifer kannte Benutzername und Passwort
--snip

Irgendwie kommts mir auch so vor... Hab aber kein Plan woher.
Brutforce wars sicher nicht, es war ein komplexes Passwort mit Zahlen und Sonderzeichen... und ich hab die IP in dem Zeitraum nur einmal in meinen Logfiles..

Danke für den Link zum Backup-Script, das schau ich mir mal an..

Grüße
Frank

[emergence]

es müsste sich ebenfalls etwas im apache access log finden...
dort mal nachsehen...

[Alex]

Hi!

Leicht Off-Topic: Wie sind eigentlich Eure Erfahrungen mit den Ermittlungsbehörden in diesem Fall. Was sollen die denn dabei machen? IP-Adresse muss erst einmal vom Provider in eine normale postalische Adresse verwandelt werden... und dann...

Lohnt überhaupt der Aufwand, Anzeige zu erstatten?

VG

Alex

[phpchris]

Nein, eigentlich nicht.
Generell gilt ja, dass der Provider die IP-Adresse nur solange zuordnen darf, wie der Abrechnungszeitraum andauert, um evtl. erbrachte Dienstleisungen nachweisen zu können.

Dann bist du gar nicht mehr zurückverfolgbar.

[timo]

ähm da du die 4.4.2 verwendest: Siehe http://www.contenido.org/forum/viewtopic.php?t=3433

Ob es das im Endeffekt war, kann ich dir nicht sagen, aber könnte mit ein Grund gewesen sein.