Suche

[Zimtsternchen]

Hallo Ihr Lieben,

habe ein riesen Problem,
meine Seite wurde gestern sowie heute 2 mal gehacked gestern hieß  vom Kunden Support meines Anbieters ich soll die Paßwörter überall ändern habe ich gemacht und heute wurde sie wieder gehacked. Ich habe sofern ich mich auskenne nach irgendwelchen "Sicherheitslücken" geschaut finde aber absolut nichts. Benutze auch immer noch keine Fremdmodule wie kann das sein könnte mir bitte jemand helfen ich bin mit meinem Latein am Ende.

Liebe Grüße

[breakdancer]

Hi Zimtsternchen...

Frage No. 1: Wie hat sich das "Hacken" denn geäußert ? Was ist mit der Seite passiert, was war zu sehen ? Was wurde verändert ?

Frage No. 2: Du weisst sicher, dass es sehr sensible Dateien im PragmaMX gibt, wie z. B. die config.php... Welche Rechte hat bei Dir diese Datei ? Benutzt Du das SMF ?

Liebe Grüße

Markus

[Zimtsternchen]

Hallo Markus,
danke das Du Dich meiner annimmst....


ich habe vom Anbieter die LogFile bekommen als Email da steht überall etwas mit block_, ich konnte weder in das admin.php noch in sonst irgend einen dazugehörigen Link  überall war deren html HACKED BY zu sehen...

das config.php hatte die Schreibrechte 444 ich verwende das normale eboard nicht das SMF...und nun:(((

[FrankP]

da steht überall etwas mit block_

Das ist keine korrekte Fehlermeldung, eine Analyse ist damit nicht möglich.

Vorgehensweise:
1. Welche Dateien wurden verändert
2. Wann wurden sie verändert
3. Logfileanalyse dieses Zeitraums

Ich habe zwar eine Vermutung wegen

überall war deren html HACKED BY zu sehen

doch habe ich noch zu wenig Infos dafür. Überprüfe mal, ob alle Dateien, die verändert wurden, Schreibrechte für "jeden" hatten/haben. Wenn dem so ist, der Server mit suphp läuft und obiger Punkt 3. keine bösartigen Zugriffe von extern ergibt, kann meine Vermutung richtig sein.

Aber erstmal alles wie aufgeführt analysieren.

[breakdancer]

Hi,

das werden wir schon irgendwie rauskriegen...

Wir stochern natürlich ein bisschen im Nebel, wenn ich die Logfiles nicht vor mir liegen habe... Durch die Persistenz der Angriffe könnte ich mir aber aber einen Shell-Angriff vorstellen.

Überprüf bitte mal per FTP und eingestelltem "Versteckte Dateien anzeigen" die Verzeichnisse auf Deinem Server, die mit MOD 777 eingestellt sind, ob da irgendwo ein Script oder auch nur ein Dokument liegt, das da nicht hingehört. Und prüf mal safe_mode on oder off bitte...

Was passiert sein könnte, liest Du in diesem älteren Thread am besten mal nach (nur zur Info, damit Du mal ne Vorstellung bekommst): http://www.pragmamx.org/Forum-topic-15428.html

Könnte heisst nicht muss... Ohne die Logfiles in den Händen zu haben ist es kaum möglich, jetzt etwas dazu zu sagen.

Liebe Grüße

Markus

EDIT: Ich halte mich jetzt mal zurück mit meinen eigenen Vermutungen, bei Frank bist Du definitv in guten Händen mit Deinem Problem.

[Zimtsternchen]

Darf ich die LogFile hier rein kopieren?


Wo und wie mache ich denn das mit "versteckte Dateien" anzeigen ?

[breakdancer]

Darf ich die LogFile hier rein kopieren?


Wo und wie mache ich denn das mit "versteckte Dateien" anzeigen ?

zu 1: Nein, besser nicht :-D

zu 2: Welches FTP-Programm benutzt Du ? Die Einstellmöglichkeit gibt es immer irgendwo unter "Optionen", bei Filezilla sogar einen Extra Punkt unter Menüpunkt "Server" => Versteckte Dateien anzeigen erzwingen

Liebe Grüße

Markus

[Zimtsternchen]

Habe Filezilla runtergeladen und gemacht was Du mir vorgeschlagen hast:) nun habe ich eine ganz doofe Frage wo sehe ich den nun die Auflistung?

Sehe nur das hier:

150Opening ASCII mode dataconnection...
226 Transfer Complete
Anzeigen des Verzeichnissinhaltes angeschlossen

[Zimtsternchen]

Nochmal ich...

ich habe mir mal diese LogFile angeguckt und etwas bemerkt es wurde immer an den Daten theme-images und theme-block rumgewerkelt, kann das sein?

[FrankP]

@breakdancer: mach nur weiter, shellscript ist auch meine Vermutung - nur - das muss nicht auf ihrem Web liegen 

@Zimtsternchen: nochmal: korrekte Meldungen abgeben, "wurde rumgewerkelt" damit kann keiner was anfangen. Du kannst dir verdächtige Zeilen aus dem log posten, mache URLs zum etwaigen Schadcode unkenntlich. Also schön konzentriert die Reihenfolge einhalten. Logfileanalyse des (vermeintlichen) Zweitraumes, dir verdächtige Zeilen maskiert posten. Wenn das nichts ergibt, sind wir entweder im falschen Zeitraum (Schadcode wurde früher aufgespielt aber erst jetzt ausgeführt) oder der Angriff kommt gar nicht von extern. Das ist es, was wir finden wollen. Ist es entweder immer ein neuer Angriff von extern über ein löchriges Script oder liegt da auf deinem Web oder dem Server etwas, was immer nur neu angestoßen wird.

[Zimtsternchen]

Lieber Frank, gerne würde ich korekte Äußerungen machen doch auf diesem Gebiet und mit der dazugehörigen Sprache kenne ich mich nunmal nicht aus...Kann nur als Laie Vermutungen aufstellen. Habe diese Seite zwar per Handbuch und lesen des Forums aufgebaut doch muss ich gestehen das dies schon alles war was ich mir an Kenntnissen aneignen konnte...bedauerlicherweise:((

ich kopiere hier Auschnitte rein von dem was ich habe von der LogFile... wie ich zu dem Schluss kam kann ich auch sagen..ich habe am theme heute nichts verändert deswegen kam es mir seltsam vor....Dankeschön

Tue Aug 26 08:08:13 2008 0 78.184.231.118 900 /www/htdocs/w006c638/themes/BlueBump/images/block/block_r1_c1.jpg b _ o r w006c638 ftp 0 * c
Tue Aug 26 08:08:14 2008 0 78.184.231.118 698 /www/htdocs/w006c638/themes/BlueBump/images/block/block_r1_c3.jpg b _ o r w006c638 ftp 0 * c
Tue Aug 26 08:08:16 2008 0 78.184.231.118 686 /www/htdocs/w006c638/themes/BlueBump/images/block/block_r1_c3a.jpg b _ o r w006c638 ftp 0 * c
Tue Aug 26 08:08:17 2008 0 78.184.231.118 517 /www/htdocs/w006c638/themes/BlueBump/images/block/block_r1_c5.jpg b _ o r w006c638 ftp 0 * c
Tue Aug 26 08:08:18 2008 0 78.184.231.118 774 /www/htdocs/w006c638/themes/BlueBump/images/block/block_r2_c1.jpg b _ o r w006c638 ftp 0 * c
Tue Aug 26 08:08:20 2008 0 78.184.231.118 1128 /www/htdocs/w006c638/themes/BlueBump/images/block/block_r2_c2.jpg b _ o r w006c638 ftp 0 * c

Tue Aug 26 08:09:24 2008 0 78.184.231.118 826 /www/htdocs/w006c638/themes/BlueBump/images/exclamation.gif b _ o r w006c638 ftp 0 * c
Tue Aug 26 08:09:25 2008 0 78.184.231.118 3250 /www/htdocs/w006c638/themes/BlueBump/images/exclamation.jpg b _ o r w006c638 ftp 0 * c
Tue Aug 26 08:09:26 2008 0 78.184.231.118 624 /www/htdocs/w006c638/themes/BlueBump/images/faq.gif b _ o r w006c638 ftp 0 * c
Tue Aug 26 08:09:28 2008 0 78.184.231.118 421 /www/htdocs/w006c638/themes/BlueBump/images/headerline.gif b _ o r w006c638 ftp 0 * c
Tue Aug 26 08:09:29 2008 0 78.184.231.118 1330 /www/htdocs/w006c638/themes/BlueBump/images/home.gif b _ o r w006c638 ftp 0 * c

so ungefähr geht es weiter...

[breakdancer]

@Frank: Ich bevorzuge hier mal die Erwägung der zweiten Alternative... Irgendwo ein Schadscript reingespritzt in irgendeinen Modulordner... Für das Aufspielen eines Backups werden ja von den Webmastern gerne Sicherungen verwendet, die noch nicht ganz so alt sind und eher zeitnah vor dem Ereignis lagen... Insofern könnte ich mir vorstellen, dass das Schadscript im Backup mitgezogen und durch irgendeinen Aufruf wieder aktiviert wurde...

Dass so kurzfristig von ausserhalb hintereinander eine Seite geimpft wird, ist meines Wissens eher selten. Was nicht heisst, dass man es ausschliessen kann...

@Zimtsternchen: Versuch mal, den Trick bei Filezilla rauszukriegen. Ordne mal die Fenster so an, dass Du links Deine Festplatte siehst und rechts den Remote-Server, also Dein Web. Dann schau bitte oben in´s Menü, klick bitte den o. g. Eintrag mit den versteckten Dateien an und dann schau mal, ob Du irgendwo fündig wirst... Galerieordner sind gerne mit CHMOD 777, aber sich nicht nur die... Ich weiss, ist eine Heidenarbeit... Rechte Maustaste auf den Ordner, Dateiattribute anzeigen und Du siehst, welcher Ordner auf 777 geschaltet ist. Bei diesen dann mal reinschnuppern, ob Dir was komisch vorkommt.

Nimm Dir dabei am besten tatsächlich als erstes mal den Themes Ordner vor... Ich kenne das Theme BlueBump nicht, nicht, dass da irgendwo eine Sicherheitslücke besteht... Woher hast Du das denn ?

Sollte das übrigens nochmal vorkommen, dass Du gehackt wirst, sichere bitte unbedingt mal Deine Dateien und lass sie nicht einfach vom Provider per Backup löschen bzw. überschreiben... Diese Dateien wären richtig interessant, damit man erkennen kann, was eigentlich beim Hackversuch verändert wird.

Liebe Grüße

Markus

[FrankP]

Das sind keine Apache-Logs, sondern ftp-Logs. Nachdem, wie z.B. proftpd die logs aufzeichnet, ist die türkische IP erfolgreich per ftp auf deinem Web unterwegs. "o" = outgoing, "r" richtiger User "b" = binary.

Für mich sieht das so aus, als ob tatsächlich unerwünschter Fremdzugriff per ftp vorgefallen ist. Ich bin jetzt nicht grad der ftp-Profi und sowas ist dann doch eher selten, deshalb erstaunt es mich. Doch lt. diesen Logfileauszügen ist dem so.

[Andi]

Moin

wenn ich das so grob überfliege und lese,

vom Kunden Support meines Anbieters ich soll die Paßwörter überall ändern

stellt sich die Frage des Ei's...
Wer war zuerst da? Das Huhn oder das Ei.

Oder richtig:

Hast du dich zuerst an den Support wegen Hilfe gewendet, oder ist der Support zuerst auf dich zugekommen, mit der Bitte die Passwörter zu ändern?

[Webfan]

Hallo Zimtsternchen,
überprüfe ggf. auch mal Deine(n) Rechner.
Mir ist ein Fall bekannt indem eine Seite immer wieder über ein verseuchtes FTP Programm gehacked wurde.
auch dort wurden index...html Dateien verändert, auch dort war es eine türkische "Crew".
mfg

[FrankP]

Hast du dich zuerst an den Support wegen Hilfe gewendet, oder ist der Support zuerst auf dich zugekommen, mit der Bitte die Passwörter zu ändern?

Schlimm ist, der Böses dabei denkt 

Aber die Antwort auf diese Frage würde mich auch heiß interessieren.

Wir können aber Zimtsternchen nun abschließend raten: Der Angreifer hat ftp-Zugriff. Ändere das Passwort, repariere die Site, deinstalliere dein ftp-Programm, installiere ein anderes. Scanne deinen Rechner intensivst, besonders nach Trojanern und sonstigen Möglichkeiten, die einem Angreifer remote control geben könnten. Teile das neue ftp-Passwort niemandem (!) , auch nicht etwaigen Sozialpartnern mit.

Dann schaun wer mal.

[breakdancer]

Teile das neue ftp-Passwort niemandem (!) , auch nicht etwaigen Sozialpartnern mit.

Was um Himmels Willen sind denn nun Sozialpartner ? So was ähnliches wie "Lebensabschnittsgefährten" ? 

Liebe Grüße

Markus

[FrankP]

jap.

[Zimtsternchen]

Hallo,



ich habe beim Support angerufen, weil ich nicht weiter wußte und weil es ein Ftp zugriff war haben die mir geraten die Passwörter zu ändern und mich an pragma mx zu wenden wg. evtl "Sicherheitslöcher" .

Ich habe meinen Pc formatiert da ich auch die Befürchtung habe das diese Typen über meinen Rechner sich Zugriff geholt haben...weiss zwar nicht wie da ich von niemanden etwas angenommen habe oder sonstiges aber die bekommen das ja immer irgendwie hin. Seit dem sind auch diese komischen Probleme mit meinem Pc besser die ich seit geraumer Zeit hatte.

Was meint Ihr den mit repariere die Site?

[FrankP]

Was meint Ihr den mit repariere die Site?

Nunja, alles wieder so herrichten, wie vor dem Angriff. Also entweder Backup einspielen oder Dateien einzeln ersetzen/reparieren.

Heißt das, dass *nachdem* du das alles (PC formatieren, neues PW festlegen) gemacht hast, enreut ein erfolgreicher Angriff stattgefunden hatte? Weißt du, wie dein Provider darauf gekommen ist, dass es ein unzulässiger ftp-Zugriff war? Hat der da nen Tag lang rumgesucht oder wusste er das spontan? Wer ist denn dein Provider?

[Zimtsternchen]

Habe alles eingespielt wie vor dem Angriff, nein ich habe gestern Nacht formatiert und danach alle Paßwörter etc erneuert, seit dem NOCH kein Angriff aber ich bin mir nicht so sicher ob es nicht demnächst wieder stattfindet.

Zuerst haben sie gemeint das sie das erst am nächsten Tag feststellen können dann wurde ich mit der Technik verbunden diese haben mir dann per mail diese LogFile Daten gesendet. Ich bin bei all-inkl Kunde...
Nun bin ich verunsichert und schaue alle fünf Minuten auf die Seite sofern ich Zeit finde ob ich nicht wieder eine htm finde und meine Seite weg ist....

LG