WB - Seite wurde gehackt (betrifft 2.6.7)

[x.biker]

Hallo,
leider wurde heute eine WB-Seite (2.6.7) gehackt. Laut Angaben des Hosters betraf der Hack tatsächlich nur die Datenbank und wurde über den Admin-Bereich von WB realisiert.
So weit ich das jetzt überblicke, wurde lediglich FCKEditor als Modul (allerdings in einer neueren Verison als die Version, die im Downloadbereich als kritisch beschrieben wurde) eingesetzt. Trotzdem habe ich den Editor gerade nochmal upgedatet.
Die Seite ist jetzt - nachdem der Hoster netterweise ein Backup der Datenbank eingespielt hat - wieder korrekt am Netz.

Gibt es vielleicht irgendwelche Informationen, dass 2.6.7 Sicherheitslücken hat ? Der Hoster hat mir geraten, auf die neue Version 2.7 upzudaten.

Viele Grüße und vielen Dank für Tipps.

P.S.: Blöderweise bin ich heute wegen eines Termins nicht mehr am Netz und kann erst ab morgen nachmittag antworten.

[doc]

Hi,

leider wurde heute eine WB-Seite (2.6.7) gehackt. Laut Angaben des Hosters betraf der Hack tatsächlich nur die Datenbank und wurde über den Admin-Bereich von WB realisiert.

Wer hatte sich denn zum Zeitpunkt des hacks in das Backend eingeloggt? Denke das können nicht so viele gewesen sein. Hacks über das Backend von WB sind z.B. durch das Code Modul jederzeit möglich. Wenn Du Leuten im Backend nicht vertrauen kannst, schränke deren Zugriffsrechte soweit ein wie möglich.

Gruss Christian

[x.biker]

Hallo,
danke für die Antwort.

Wer hatte sich denn zum Zeitpunkt des hacks in das Backend eingeloggt? Denke das können nicht so viele gewesen sein. Hacks über das Backend von WB sind z.B. durch das Code Modul jederzeit möglich. Wenn Du Leuten im Backend nicht vertrauen kannst, schränke deren Zugriffsrechte soweit ein wie möglich.

Das ist ja das erstaunliche: Es gibt nur drei vertrauenswürdige Personen, die Zugriff auf die Seite haben.
Es gibt keine Seiten, die über das Code Modul erstellt worden sind.

Über das Modul "User Statistics", das ich zusätzlich integriert habe, habe ich festgestellt, dass keine Person zu dem Zeitpunkt des Hacks eingeloggt war, es sei denm, mein Kennwort wäre ausgespäht worden, was ich allerdings für eher unwahrscheinlich halte. Aber ich werde jetzt das Kennwort sicherheitshalber auch noch ändern.

Viele Grüße

[kweitzel]

Dann frag doch mal Deinen Hoster nach einer genauen Analyse, wie der "Hacker" über WB reingekommen sein soll.

Gruß

Klaus

[doc]

@x-biker:
Jede auch noch so kleine Information Deines Providers könnte helfen herauszufinden, wie der Hack durchgeführt wurde.
Bitte poste auch eine Liste aller Module und deren Versionsnummer und beschreibe mal was an der Datenbank geändert wurde. Bisher einfach etwas wenig Infos um eine Aussage treffen zu können.

Gruss Christian

[BerndJM]

Hi,

ich will keine Schwarzmalerei betreiben, o.ä.
aber:

Über das Modul "User Statistics", das ich zusätzlich integriert habe, habe ich festgestellt, dass keine Person zu dem Zeitpunkt des Hacks eingeloggt war,

Das ist in dem Moment nicht aussagekräftig, denn:
wenn ich mit den richtigen Rechten im Backend eingelogt bin, kann ich mit einer Code-Seite so ziemlich alles manipuliern, auch die Tabellen der User-Statistics ...

Es gibt keine Seiten, die über das Code Modul erstellt worden sind.

Und wenn ich fertig bin lösche ich die Codeseite natürlich wieder

Grüßle Bernd

[x.biker]

Hallo,
vielen Dank für die Antworten.

Das ist in dem Moment nicht aussagekräftig, denn:
wenn ich mit den richtigen Rechten im Backend eingelogt bin, kann ich mit einer Code-Seite so ziemlich alles manipuliern, auch die Tabellen der User-Statistics ...

ok - ist natürlich ein Argument.

Und wenn ich fertig bin lösche ich die Codeseite natürlich wieder

auch richtig.

Das würde ja dann bedeuten, dass das Kennwort ausgespäht worden ist.

Verwendete Module:
Backup, Code, Form, HTMLArea, Menu Link, News, Reload Add-ons, Wrapper, WYSIWYG: alles 2.6
FCKeditor, 2.87
User Statistics 0.14

Was genau an der Datenbank geändert wurde, kann ich nicht sagen. Der "Hack" funktionierte nach meiner Erinnerung (habe ich blöderweise nicht gespeichert) über ein "Redirect", sowas in der folgenden Art:
<meta http-equiv="refresh" content="5; URL=http://www.xxx.com/">

Als ich das Admin-Modul gestartet habe, war dieser Eintrag in der obersten Zeile zu sehen.

Ich habe das Kennwort geändert und warte jetzt mal ab, wenn ich vom Hoster weitere Informationen erhalte. Sobald ich da nähere Informationen habe, setze ich sie hier in das Forum.

Ich wollte hier auch keine Panik auslösen, sondern nur sicherheitshalber klären, ob es evtl. auch an WB 2.6.7 liegen könnte.

Viele Grüße
Hans-Gerd

[doc]

Hallo,

neben den WB Passwörtern sollte auch das Passwort der MySQL Datenbank geändert werden. Weitere Möglichkeit wäre alle Seiten per FTP herunterzuladen und mittels DIFF gegen die Originaldateien von WB 2.6.7 zu vergleichen.

Christian

[x.biker]

Hallo,
danke für die Antwort

neben den WB Passwörtern sollte auch das Passwort der MySQL Datenbank geändert werden. Weitere Möglichkeit wäre alle Seiten per FTP herunterzuladen und mittels DIFF gegen die Originaldateien von WB 2.6.7 zu vergleichen.

werde ich wohl machen - zumindest die Änderung der Passwörter ist ja schnell erledigt.

Viele Grüße
Hans-Gerd