Problem nach Hacker-Zugriff

[Bertes]

Habe ein Problem, ein Hacker (warum auch immer) hat ein WB-Installation auf allen php-Seiten einen Frame-Vereis auf eine Trojaner-Seite (http://cdpuvbhfzz.com/dl/...) hinzugefügt.

So, ich alle php-Dateien per FTP runtergezogen, überall den Verweis (Gott sei dank immer am Ende der Datei) gelöscht.

Jetzt wollt ichs wieder hochladen/überschreiben - pustekuchen (das Thema mit den Eigentumsrechten hab ich jetzt kapiert).

Was könnten Ihr mir als alternative vorschlagen ??

Gruß,

Rainer

[niemand]

"Normalerweise" kann man den Hoster innerhalb von 24 Std. das Backup zurückspielen lassen.

Gruß, Hans J. G.

[gottfried]

Pardon - darf ich eine Frage stellen? Ich möcht WB auch einsetzen.

Wie kam es dazu ? 777 ?

 

[chio]

Wo hat er die Links eingefügt? Die werden ja nicht in der Datenbank stehen - oder?
In den Access-Files (die Dinger im Pages-Verzeichnis)?
In einem bestimmten Modul?

[ruebenwurzel]

Hallo,

alle bisher bekannt gewordenen Hacker Angriffe hatten nichts mit WB zu tun. Es waren immer Schwachstellen der Server (billighoster, schlecht konfiguriert ....) die es Angreifern erlaubt haben Zugriff auf die Server und damit natürlich auch auf Verzeichnisse mit WB installationen zu haben.

Alle bekanntgewordenen Schwachstellen (FCKEditor + Media Verzeichnis) sind in den aktuellen Versionen gefixt, noch mögliche offene Lücken (ich nenne sie mit Absicht nicht) werden in WB 2.7 gefixt sein.

Wenn neben den Schwachstellen der Server, User von sich aus über chmod 777 zusätzliche Löcher für Hacker aufmachen, liegt das auch nicht an WB sondern am User.

Schlussendlich muss man sagen, WB auf einem vernünftig konfigurierten Server normal eingesetzt ist sicher.

Matthias

[Bertes]

Ich vermute, er ist über ein älteres Coppermine rein gekommen. Das wird dann aber noch ausgebessert.
Für mich ist jetzt erstmal prio, WB wieder zum laufen zu bekommen.

Gehostet wird bei all-inkl (zähl ich jetzt mal nicht zu den Billighostern).

Keine Vorschläge die aktualisierten php-Dateien hochzubekommen bzw. die frame-Verweise aus den Pages zu entfernen ?

Gruß,
Rainer

[chio]

Wenn du uns nicht verrätst, wo die Frames sind, wird es schwer, dir was zu sagen.

Wenn sie in den Access-Files sind: Schnell mal die Seiten in der Hierarchie ändern (= irgendeiner anderen unterordnen und zurück) sollte reichen, dann werden die Files neu angelegt.

[Bertes]

Die iframe-Verweise sind in JEDER .php-Datei. Also in der index.php (die konnt ich schon ändern...), den einzelnen php-Pages usw.

Rainer

[chio]

Naja, dann würde ich mal die WB-Dateien neu hochladen (ohne Installation). Und dann sehen.

[Bertes]

Aber ich kann die Pages-php-Datein nicht per FTP überschreiben, das sie dem wwwuser zugeordnet sind....

[Chaploo]

Und wenn du die Seiten mit anderem Titel gemäß Menüstruktur per WB Admin nochmal neu erstellst udn die Inhalte (ohne die iFrames  ) rüberkopierst (am besten Sourcecode pur)? Danach die alten Seiten löschen, die neuen Titel ggf. wieder angleichen.
Kann evt. ne Menge Arbeit sein, aber was Besseres fällt mir jetzt auch nicht ein.

Grüße
Jochen

[ruebenwurzel]

@bertes

Ich würde als erstes mal alle WB (vom Originalpaket) drüberkopieren, dass das System wieder sauber ist.

Für das bearbeiten der anderen Dateien versuch es mal mit "Webadmin". Glaube damit kannst du die php Dateien direkt auf dem Server bearbeiten, ohne sie runterladen zu müssen und ohne die Eigentumsrechte zu ändern. Nur lösche bitte den webadmin danach wieder. So wie du kann jeder die Dateien damit verändern.

Matthias

[Bertes]

Danke Matthias, damit gings (2,5 Std. Fleissarbeit) !

Rainer