Schon wieder gehacked :-(

[Schnetty]

Moin,
mit Erschrecken durfte ich grad feststellen, das am 6.11.2011 offensichtlich Angriffe auf einigen, vor Jahren von mir erstellter Webs gelaufen sind.  Logfies über ftp hab ich mal reingeschaut.

um 18Uhr ging es los. Sämtliche index.php, index.html, sowie einige andere Dateien wie class.login.php, basic_header.html, header.html, footer.html und comment_page.php wurden mit Schadcode versehen.

[EDIT - kweitzel]Schadcode wg. Meldungen gelöscht[/EDIT]

WB-Versionen: 2.7 und einmal 2.8

Wie kann der Code da reingelangt sein und gibt es dazu schon Infos?

Ein Kumpel von mir hatte mich grad darauf gebracht, weil er seine eigene Seite auch mit WB2.7 erstellt hat. Sein Provider hatte ihn angemailt weil die sporadisch mal auf diverse Kundenwebs schauen und beim Aufrufen eine Virenmeldung erhielten, das ein Blackhole Exploid in der Seite enthalten sei.

Greets
Schnetty

[fischstäbchenbrenner]

Naja - da stellt sich grundsätzlich mal die Frage:
War das ein WB-Spezifischer Hack?
Oder sind die Hacker sonstwo reingekommen und haben einfach mal in jede passende Datei den Code reingemacht. Das glaub ich eher.

Es kommt immer wieder vor, dass Provider selbst gehackt werden - ein ziemlich Großer in Deutschland zb unlängst - dann haben die Einbrecher sämtliche Zugangsdaten und können machen was sie wollen; egal welches CMS und wie geschützt das ist.

[Schnetty]

tja, wie soll ich das rausfinden?
Es handelt sich um insgesamt 5 Domains bei drei verschiedenen Providern. Ein lokaler, ein großer mit nem tollen Fernsehspot für ach-so-tolle HP-Baukästen und ein für WB oft empfohlener mit dem großen "A".

Wäre schon ein großer Zufall, wenn es sich um Serverseitige Sicherheitslöcher handelt. Bei drei völlig unterschiedlichen Providern das gleiche Loch? Ich hab hier mal etwas herumgesucht und da war in einem Fall auch schon mal der FCKeditor das Problem oder ein Modul.

Bin mal gespannt, drei Webs wurden nach kurzer Mitteilung an mich von einem Provider vorsorglich deaktiviert, weil noch nicht sicher ist, was genau dieser Code macht und ich säubere das grad. Damit ist aber weder erkannt, wie der Angreifer reinkam noch das Leck behoben. Ich bin "nur" Webdesigner kein Programmierer und Server-Admin schon garnicht. Es liegt leider außerhalb meiner Möglichkeiten die Ursache zu finden Ich komme einigermaßen gut mit WB klar aber das war´s dann auch schon.

Die Dateirechte sind schon recht "kurz" gehalten. Darauf bin ich nach dem letzten Hack von meinem Provider schon geimpft worden.


Greets
Schnetty

[BlackBird]

Der mit dem Fernsehspot liefert normalerweise recht hilfreiche Informationen über das Einfallstor. Auf die Weise hab ich vor Jahren mal von einer dicken Lücke in phpMyFaq erfahren. Vielleicht hakst Du da einfach nochmal nach.

[Schnetty]

Thanx, check ich mal an

By the Way: ich hab noch eine jaanz alte Flachseite, noch so richtig in Dreamweaver und bis auf ein PHP-Mail-Formular reine HTML-Seiten. Die hab ich vorhin mal angesurft und schwupp. Ne Exploid Warnung von meinem Virenscanner.
Also mal kurz per FTP drauf geschaut und man glaubt es kaum - die einzige index-Seite (index.htm) ist auch infiziert, ebenfalls am 6.11.2011 gegen 18 Uhr. Die liegt bei nem großen Hoster, den alle meist nur zereissen und der mit S anfängt - hihi.

Also haben wir jetzt schon 4 verschiedene Hoster aber diesmal keine WB-Installation und trotzdem ein Blackhole drin. Was soll mir das nun sagen?

Sieht also so aus, als würde sich das Problem nicht nur auf WB reduzieren, auch wenn die Anzahl der infizierten Seiten deutlich höher ist als die der noch verbliebenen Flachseiten.

Bin mal gespannt, wie der Angreifer nun da reingekommen ist. Entweder über das Formular und dann wahrscheinlich auch in WB, oder ein FTP-Hack.

Greets
Schnetty

PS. und wie ich dies grad so schreibe, ruft mein Kumpel mich an und erzählt mir grad, das einer seiner Kunden vor einer Weile sein CMS aufgegeben hat und eine Flachseite von ihm haben wollte, die ist ebenfalls betroffen. Also schon zwei "Nicht-WB-Seiten".

[NorHei]

Wie sicher waren denn die benutzen Passwörter ? Oder habt ihr vielleicht vor einer weile einen Mitarbeiter entlassen ?

[Schnetty]

Nee entlassen wurde keiner, Passwörter sind schon nicht in der Art User: admin - Pass: 1234 
Von der Seite aus vermute ich keine Einfallstore.
Es muss auf jedenfall eine automatisierte Geschichte gewesen sein. Dazu sind die Zugriffe auf die Dateien zu fix gelaufen. Komisch auch, das es auch bei Flachseiten passiert ist.

[mr-fan]

tippe auf FTP  - abgreifen der Passwörter ohne SFTP und dann Infizierung aller FTP Zugänge - egal welcher Server/Hoster/CMS/Sonstiges wurden alle index.?? überspielt...

[Schnetty]

Dann stellt sich die Frage, wie Passwörter von Webs abgegriffen werden können, auf die schon mehrere Jahre per FTP nicht mehr zugegriffen wurden. Die älteste Web-Leiche steht schon seit 2007 und die jüngste seit 2009. Auf den CMS wurde nur noch per http zugegriffen/editiert. Meine und die Baustellen meines Kumpels sind ja auch völlig unabhängige Projekte. Und zumindest auf meiner Seite ist alles Virenfrei. Mein Scanner ist immer up2date und scannt das Netzwerk einmal am Tag zu Feierabend.

[kweitzel]

Es gibt verdammt viele Möglichkeiten Passwörter anzugreifen, auch über HTTP ... denn die werden unverschlüsselt übertragen. Dann gibt es auch noch die Möglichkeit eines infizierten Rechners, der alles mitschneidet.

Vielleicht sind die betreffenden Passwörter auch gar nicht auf Eurer Seite mitgeschnitten worden ... es gibt halt zu viele mögliche Einfallstore.

Prüfe als erstes sämtliche Webspaces und vor allem die Zeitstempel der geänderten Dateien. Du solltest in der Lage sein die erste veränderte Datei aufzuspüren. Damit trittst Du an den Webhoster ran. Der sollte Dir dann sagen können durch wen und von wo auf diese Datei zugegriffen wurde ... und so weiter und so fort ...

Gruß

Klaus

[Schnetty]

Thanx, mit den Tipps werde ich erstmal weiter arbeiten. Sobald ich weiß was Sache ist, pin ich´s hier rein.

Greets
Schnetty

[Ragin]

Komisch, immer wenn ich diese Seite aufrufe (ich habe es mehrfach ausprobiert) springt bei mir Avira an mit folgender Meldung:

In der Datei C:\Users\...\Mozilla\...\740E7d01 wurde ein Virus oder unerwünschtes Programm gefunden. Der Zugrif...

Also hier ist was faul...

R.

[kweitzel]

Das hört sich ein wenig nach einer Meldung wegen dem WYSIWYG Editor an. Probier mal den zu ändern. Und dann schau doch mal, ob Du einen Sceenshot der gesamten Vierenmeldung machen kannst.

Gruß

Klaus

[Ragin]

Uh, hatte vergessen den Dateinamen mit aufzuschreiben.

Hier die ganze Meldung:

R.

[kweitzel]

Und zurück ... dieser Virus hat wohl eher nichts mit FCK zu tun. Du musst UNBEDINGT herausfinden, wo der auf Deinem Server ist und wie der dahingekommen ist. Ich gehe mal davon aus, das Du mit Deiner WB Seite auf dem aktuellen Stand bist?

Gruß

Klaus

[Ragin]

Nein, die Meldung erscheint wenn ich diese Seite Eures Forums aufrufe, diesen Thread in dem wir beide gerade schreiben!

R.

[dbs]

die meldung habe ich eben auch bekommen beim öffnen dieses threads.

[Ragin]

Sach ich doch. Da hat einer was eingebastelt...

R.

[dbs]

mit deaktiviertem chache tritt das nicht auf.

[kweitzel]

ich bin dran ...

[Ragin]

Wenn ich den Cache leere, oder die datei von Avira entfernen lasse und suche diese Seite dann wieder auf, ist das Ding sofort wieder da.
@kweitzel: Viel Erfolg!

R.

[Ragin]

Vielleicht liegt es daran dass der Threadstarter den Schadcode hier gepostet hat und er beim Laden dieser Seite dann im Cache landet...

Vielleicht einfach mal rauslöschen das Zeuch...

R.

[kweitzel]

Genau ...

[kweitzel]

Code ist jetzt weg, bitte Cache leeren und nochmal versuchen!

Gruß

Klaus

[dbs]

  wenn alles so einfach wäre