HIIIIIIILLLFE Virusdatei z.php und nix geht mehr.....

[Craxx]

Hallo WBler:),

seit heute geht unsere Website www.messlers.com nicht mehr. Nachdem ich mich per FTP eingeloggt habe, habe ich imm root die z.php gefunden und auf meinen Rechner geschoben. Es kam sofort ne Virus Trojaner Meldung....

Habe dann die z.php 2 mal gefunden gelöscht. Seit dem werden alle Links nicht mehr korrekt ausgeführt. Bei Sortiment kommt man jetzt zu http://www.messlers.com/pages/start/sortiment  statt zu http://www.messlers.com/pages/start/sortiment.php....

Bitte wer kann helfen???

Übrigens kam der Virus NICHT per FTP... 1und1 meint es könnte ein Fehler im CMS sein, über die sich Code einschleußen lies...

Hoffe auf schnelle Hilfe Danke:)
Craxx

[mr-fan]

hmm...mal so unwichtige details wie

- WB Version
- installierte Module
- FCK Editor Vers.
- Server Log Files
usw.

klären - sonst wird das mit der HIIIIIIIILLLFE recht schwierig...

mfg martin

[DarkViper]

schaug erst mal im Backend unter::  Optionen => erweiterte Optionen, ob im Feld "Dateiendungen" richtig ".php" eingetragen ist...

Deine Seiten sind nämlich alle erreichbar, nur die Dateiendung fehlt bei den Links

[chio]

schaug erst mal im Backend unter::  Optionen => erweiterte Optionen, ob im Feld "Dateiendungen" richtig ".php" eingetragen ist...

Deine Seiten sind nämlich alle erreichbar, nur die Dateiendung fehlt bei den Links

Das kommt leider selten, aber doch vor, dass diese Einstellung verschwindet.

Es deutet auch nichts darauf hin, dass auf dieiner Site irgendwas seltsam ist. Dass der Hoster SOWIESO gleich sagt, es muss am CMS liegen ist ja klar.

[Craxx]

Hy,

Danke an alle hier die Daten:
CMS Version 2.8.1
Revision 1285
Admin version 1.4

Jetzt komme ich gar nicht mehr auf die Seite. Es kommt immer:
Error 500 - Internal server error
Ein interner Fehler ist aufgetreten!
Bitte versuchen Sie es zu einem späteren Zeitpunkt.

Per FTP habe ich noch Zugriff!!
Kann also Optionen => erweiterte Optionen, ob im Feld "Dateiendungen" richtig ".php" nicht prüfen.

Gibt es die Möglichkeit das in der Mysql Datenbank zu prüfen....?

Ist für Euch die Seite erreichbar?

Danke
Craxx;)

[chio]

Ja, kein Problem. Alles da. (solange man hinten immer brav .php ranhängt)

EDIT: Jo, jetzt ist sie bei mir auch weg. 500er
Das war aber nicht mein Browsercache,...

[Craxx]

Ich bekomme nur noch

Error 500 - Internal server error

Ein interner Fehler ist aufgetreten!
Bitte versuchen Sie es zu einem späteren Zeitpunkt.

egal bei welcher Seite...

Komme nicht mehr ins Admin Menue... Was tun?

Craxx;)

[chio]

Die Datenbank per MyPHPAdmin runterladen.

Checken, ob php _generell_ noch läuft. <?php echo "huhu!"; ?>

die .htaccess umbenennen

Du wirst sicher eine lokale Kopie der gesamten Site haben. Die schieb einfach per FTP drüber.
Möglicherweise ist nur die config.php hin.

EDIT: Aber möglicherweise hast du schon versucht, die Site neu hochzuladen und dabei auch deine leere oder lokale config.php drüber geschrieben. Daher der Serverfehler.
Dann musst du die config.php rekonstuieren.

[Craxx]

  DANKE das war es 

Optionen => erweiterte Optionen, im Feld "Dateiendungen" war ".php" nicht mehr eingetragen....

Eingefügt und schon funzt es:)

Herzlichen Dank für Eure Unterstützung.

Wie kann denn sowas passieren?

Schönen Abend
Craxx;)

[wollinche]

Eingefügt und schon funzt es:)

Wie kann denn sowas passieren?

Mit Sicherheit nicht so wie die unbefleckte Empfängnis in der Bibel.

Ich würde mir an deiner Stelle große Sorgen machen:

1.) ob nicht doch Reste auf dem Webserver bei 1&1 zurückgeblieben sind und jederzeit wieder ...

2.) ob nicht auch dein PC schon durch jemand anderem gesteuert wird ...

Aber egal, Hauptsache es tut wieder alles.
(Und beim Klick auf einen Link wird wieder richtig normal ein Download gestartet.)

Diese z.php war kein Zufall !

[Craxx]

Das war echt kein Zufall, ich habe von 1und1 folgende Email erhalten:

Sehr geehrte/r Herr ...,

Wir haben festgestellt, dass Ihr 1&1 Webspace über eine Sicherheitslücke in Ihrer Software von außen angegriffen worden ist. In dieser E-Mail erhalten Sie eine Analyse des Angriffs und Hinweise, wie Sie die Sicherheit Ihres 1&1 Webspaces wiederherstellen.

1    Analyse des Angriffs
1.1  Das folgende Skript hat den Angreifern als Einfallstor gedient:
./CMS/admin/login/index.php

1.2  Die folgenden schädlichen Dateien wurden auf Ihren 1&1 Webspace geladen:
./CMS/admin/123.pjp
./CMS/admin/123.php
./CMS/admin/ssh.php
./CMS/admin/rootshell.php
./CMS/admin/cg1.pl
./CMS/admin/z0n3-H.php
./CMS/admin/izocin.php
./CMS/admin/saf4.php
./CMS/admin/root.pl
./CMS/admin/xbyp4ss.php
./CMS/admin/xshell.php
./CMS/media/setup.php
./CMS/media/r57i.php
./CMS/media/exploit.c
./CMS/media/cheddar_bay.sh
./CMS/modules/webbasededit/info.php
./CMS/modules/webbasededit/tool.php

Wir haben diese Dateien deaktiviert um weiteren Missbrauch Ihres 1&1 Webspaces zu verhindern. Beachten Sie bitte, dass Ihre Online-Präsenz hierdurch beeinträchtigt worden sein könnte.

Um alle Funktionen und die Sicherheit Ihres 1&1 Webspaces wiederherzustellen, gehen Sie wie folgt vor:

2    Hinweise zur Absicherung
2.1  Löschen Sie die oben genannten Dateien. Zuvor müssen Sie sich die Zugriffsrechte daran wieder erteilen. Hinweise dazu finden Sie unter http://hilfe-center.1und1.de/hosting/homepage/webspaceexplorer/9.html

2.2  Schließen Sie alle Sicherheitslücken in Ihrer Software. Prüfen Sie die Sicherheit der folgenden Skripte an den angebenen Variablen. Sie haben den Angreifern als Einfallstor gedient:
messlers.com    ~/CMS/admin/login/index.php
messlers.com    ~/CMS/account/login.php
messlers.com    ~/CMS/index.php


2.3  Untersuchen Sie Ihren gesamten 1&1 Webspace auf weitere fremde Dateien, die während des Angriffs abgelegt wurden. Löschen Sie diese unverzüglich.

WICHTIG: Angriffe dieser Art gefährden Ihren 1&1 Webspace! Prüfen Sie daher in Zukunft regelmäßig die Sicherheit Ihrer Software. Gerne beraten und unterstützen wir Sie bei der Lösung einzelner Probleme. Die Absicherung der von Ihnen verwendeten Software beruht jedoch auf Ihrer alleinigen Verantwortung.





Die beiden Dateien
./CMS/modules/webbasededit/info.php
./CMS/modules/webbasededit/tool.php
sind aber die originalen vom Modul...
Ist die Feststellung der beiden Dateien von 1und1 ein Fehler oder steht das Modul in Zusammenhang?

So, was nun? Habe die Dateien die eingeschleust wurden gelöscht. Ist da in WebsiteBaker eine Lücke???
Was tun, damit das nicht nochmal passiert...?

Danke
Craxx;)

[Waldschwein]

Hallo!

Befolge doch einmal bitte Martins Rat - alle Module die du installiert hast, am Besten mit Versionsnummer aufzählen.
Hast du Webbaseedit oder der Angreifer hochgeladen? Wenn es der Angreifer wirklich war wohl eher als Mittel zum Zweck...

Gruß Michael

[Craxx]

Hy Michael,

das Webbased Edit hatte ich installiert.

Anbei meine installierten Module. Alle Module sind laut Amasap aktuell.




Danke für Deine Unterstützung:)
Craxx;)

[maverik]

außerdem werden die module auf amasp teilweise sehr unzureichend gepflegt oder gar nicht mehr weiter betreut. mitunter ist dann irgendwo im forum oder auf der autoren seite eine neuere version des moduls zu finden. was nicht auch im addons repository zu finden ist hat auf einer live seite eigentlich nix zu suchen.

[Craxx]

Welche Module sind Eurer Meinung nach alt und "gefährdet"?

Der Angreifer kam aber doch über das Admin Login herein, zumindest laut 1und1.....

Craxx;)

[wollinche]

Der Angreifer kam aber doch über das Admin Login herein, zumindest laut 1und1.....

Es gäbe einiges dazu zu sagen.

Vorweg als wichtigste Frage eines:
Benutzt du einen Linksys-Router?

Alles deutet darauf hin das du solche einen Router mit integriertem Switch in Betrieb hast.

[Craxx]

Hy Wollinche,

nein ich habe eine Fritzbox 7270.

Was meinst Du damit?


Craxx;)

[chio]

Welche Module sind Eurer Meinung nach alt und "gefährdet"?

Generell sollte man Module, die man nicht braucht wieder wegräumen. Wie man gerade am "Backup"-Tool gesehen hat, ist auch das Urgestein nicht grundsätzlich ohne Zweifel.

Und da liegt oft die Krux: Neue Module enthalten Codeschnippsel von älteren Modulen, in der Annahme, dass das schon richtig ist. Man müsste jetzt alle Module, die die irgendwo auf dem Backup-Modul basieren ansehen.

Gut, bei dir liegt der Fall anders. Die Datei z.php kann über WB reingekommen sein, oder auch über was anderes. Ich würde die Begründung von 1und1 jetzt mal nicht als Gottes Wort ansehen, sondern als naheliegende Erklärung: "Da brauchen wir gar nicht genauer schauen, login.php ist _immer_ schuld. Eh klar"

[wollinche]

Dann ist meine Vermutung falsch.
exploit.c ist ein exploit das den DHCP-Server in Linksys-Router manipoliert und Passwörter abgreift.
Dazu hätte auch gepaßt das der Angriff über den Admin-Login erfolgt sein soll.

Ansonsten ist das eine beeindruckende Sammlung von Server-Shells die sie bei dir installiert haben.

Die z.php ist bekannt dafür das sie über Shout-Boxen eingeschleust wird, das das aber der Weg über den Admin-Login gewesen sein soll, kann ich mir fast nicht vorstellen.
Dann schon eher ein Trojener auf deinem PC der das PW weitergegeben hat.

[Craxx]

Unsere PCs habe ich gecheckt und Virenscann haben keinen Virus oder Trojaner gefunden...

Aähh Backup Tool ist das nicht zum empfehlen? Soll ich es deinstallieren? Ich mache von der Datenbank mit dem Backuptool und mit pypmyadmin und mit Adminer immer ne Sicherung. Lieber 2x zuviel als 1 mal zu wenig:)

Shout Boxen oder Minichats habe ich nicht drauf.

Gibt es denn Tipps über unsichere Module, die ich installiert habe und entfernen sollte?

Eins ist vielleicht noch wichtig.
Wenn Ihr die offizielle Seite besucht www.messlers.com seht Ihr ja nur ein paar Seiten. Wenn man sich einloggt erscheinen ca 140 Seiten mehr die für unsere internen Zwecke, Formulare etc. sind. Die Mitarbeiter haben Logins, um darauf zuzugreifen. Es gibt sonst nur 2 Logins, die auch Editorenrechte bekommen haben.


Danke
Craxx;)

[wollinche]

Aähh Backup Tool ist das nicht zum empfehlen? Soll ich es deinstallieren?

Nein, wie hier im Board zu lesen ist gibt es dafür ein exploit mit dem WB erfolgreich gehackt werden kann.

Es wäre sicher gut wenn einer der Verantwortlichen mal sagen könnte ob es bei dir der Fall sein _könnte_
(und ob man es erkennt das über dieses Script ein Angriff erfolgte)

Solange wie das nicht klar ist, ist alles andere Spekulation woher der Zugriff erfolgte.

Zu deiner Frage oben:
http://www.websitebaker2.org/forum/index.php/topic,17727.0.html

[kweitzel]

Mit dem Exploit kommt man an die Datenbank ran, da das Script ein Backup der DB macht. Wenn man dann das Adminpasswort decryptet kommt man so in WB rein.

Gruß

Klaus

[Craxx]

Danke:) habs deinstalliert.

Wäre gut wenn wir das Loch noch finden würden, betrifft eventuell auch andere WB-User...


Craxx;

[chio]

Ob du das Backup-Tool entfernen sollst?

JA!!!! - und zwar sofort!

EDIT: Das Loch ist bekannt.
Mehr dazu auch hier:
http://websitebaker.at/topics/warnung-sicherheitsluecke.html

[Waldschwein]

Wenn man dann das Adminpasswort decryptet kommt man so in WB rein.

In den wenigsten Fällen. In den meisten Fällen zusätzlich dazu noch in den E-Mail-Account des Admins, hier ins Forum, bei Facebook, und wo man sonst noch hin möchte. Die wenigsten Leute benutzen nämlich für alles ein verschiedenes Passwort.  Alternativ kann man diese Daten auch verkaufen, das bringt auf dem Schwarzmarkt ganz schön Kohle. Für ein paar zehntausend WB-Installationen käme da ein schönes Sümmchen zusammen.

Gruß Michael