Suche

[tus_leider]

Hallo zusammen,
unser Verein hat ( www.tus-leider.de) ein ernstes Problem. Die Domain wurde bereits mehrfach vom Provider aufgrund von Spam Attacken gesperrt. Nun stellt sich die Frage was dagegen getan werden kann? Nutzt eine Neuinstallation etwas etc.
Die Version ist aktuell! Access.log siehe:

http://www.pragmamx.org/Forum-topic-33888.html



Anbei das Feedback vom Provider:

Sehr geehrte Damen und Herren,

nachdem seit gestern wieder über 150.000 Spam-E-Mails über Ihren Account verschickt wurden, wurde dieser erneut gesperrt.

Die von Ihnen eingesetzten PHP-Scripte (Content-Management-Systeme) verfügen mangels Updates über Schwachstellen, die ausgenutzt werden, um Spam-Scripte auf dem Server abzulegen.

Dies geschah zuletzt am 06. Februar 2013 über einen WYSIWYG-Editor auf Ihrem
Webspace:

net-93-64-131-211.cust.dsl.vodafone.it - - [06/Feb/2013:11:31:00 +0100] "POST /junioren/includes/wysiwyg/spaw/editor/plugins/imgpopup/lib/lang/index.php
HTTP/1.1" 200 25 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
net-93-64-131-211.cust.dsl.vodafone.it - - [06/Feb/2013:11:31:00 +0100] "POST /junioren/includes/wysiwyg/spaw/editor/plugins/imgpopup/lib/lang/index.php
HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
net-93-64-131-211.cust.dsl.vodafone.it - - [06/Feb/2013:11:31:01 +0100] "GET /blocks/article.php HTTP/1.1" 200 184 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
net-93-64-131-211.cust.dsl.vodafone.it - - [06/Feb/2013:11:31:01 +0100] "POST /junioren/includes/wysiwyg/spaw/editor/plugins/imgpopup/lib/lang/index.php
HTTP/1.1" 200 27 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"

Hierdurch wurden Spam-Scripe wie zum Beispiel im Ordner /junioren/includes/classes/Multiblock die Datei include.php abgelegt und zum spammen benutzt. Dies ist jedoch nur eine Schwachstelle auf Ihrer Seite. Zur Veranschaulichung erhalten Sie das access-Log der letzten Tage. Fast jeder POST-Aufruf ist der Aufruf einer bereits abgelegten Spam-Datei oder einer Schwachstelle in Ihren PHP-Scripten, die diese "Code-Injection" ermöglichen.

Sie müssen Ihren Webspace unbedingt von unbekannten Dateien bereinigen (siehe Logfile) und die Schwachstellen durch das Einspielen von Updates der von Ihnen eingesetzten PHP-Scripte schließen.

Bitte setzen Sie sich diesbezüglich mit uns in Verbindung, damit wir Ihre Seite wieder freigeben und Sie diese Arbeiten durchführen können.

[Andi]

Moin

welche pragmaMx Version ist das?

Die besagte Datei /junioren/includes/wysiwyg/spaw/editor/plugins/imgpopup/lib/lang/index.php gehört nicht zu pragmaMx. Die wurde dort vermutlich auch schon "unbefugt" abgelegt...
Die solltest du zuallererst löschen. Dann durchsehen, wo noch überall Dateien rumliegen, die nicht zu pragmaMx gehören.
Ist schwer, wenn du willst kann ich dir dabei helfen, benötige dazu einen FTP-Zugang zu der Seite.

Ansonsten sind uns zur Zeit keine Schwachstellen in pragmaMx bekannt, die das unbefugte ablegen von Dateien in irgendwelcen Ordnern erlauben würden. Das Problem liegt vermutlich woanders.
Fremdscripte installiert? FTP-Passwort gehackt? Virus am eigenen PC?

[tus_leider]

Hi Andi,
Danke für die Antwort.

Leider habe ich gerade das FTp passwort nicht greifbar. Ich besorge es und melde mich. Wohin soll ich die FTP Daten senden?

[Andi]

Moin

info @ pragmamx.org

[tus_leider]

Hi Andi,
Infos sind per Mail raus.

Danke,
Guido

[tus_leider]

Es ist gut möglich, das der JUNIOREN Pfad noch aus dem damaligen Test herstammen. Da scheint die Pragma Stuktur doppelt vorzuliegen...

[Andi]

Moin

wie schon geschrieben, die Mails wurden da nicht über einen wysiwyg Editor verschickt, sondern über eine Datei, die dort eigentlich nichts verloren hat.

Ich habe jetzt mal deine Ordner und Dateistruktur mit einem sauberen pragmaMx-installationsordner verglichen und bin erschrocken, was da so alles rumliegt...
Kurz gesagt, da hilft nur noch komplett plattmachen. ich wollte erst nur die nicht zu pragmaMx gehörenden Dateien löschen, aber das bringt nichts, weil auch Dateien verändert wurden und Schadcode eingeschleust wurde. Unter anderem eine rootshell, welche fast vollständigen zugriff auf den (virtuellen) Server zulässt...
Auch der liga Manager und der sql-Dumper die da im Ordner liegen sind völlig verseucht. Die Dateien des liga Managers wurden, wenn ich das richtig interpretiere, bereits am 23.12.2011 verändert


ps...
die Dateien, die ich schon gelöscht hatte, habe ich hier auf meiner Festplatte zwischengespeichert, ist also noch alles da

[tus_leider]

Hallo Andi,
das ist ja ein Ding. Herzlichen Dank für Deine Mühen!

Ich vermute da waren noch reste einer Jomla Installation vorhanden. Jomla wurde durch Pragmamx ersetzt.

Einige Fragen zur Neuinstallation:

1. Kann mann nach einer Neuinstallation ein bestehendes Datebank Backup überhaupt noch einspielen
2. Kann man das Design (bridesightoflife) übernehmen oder ist auch das verseucht?

Oder hilft tatsächlich nur komplettes setup und Neu Konfiguration aller Koponenten?


Danke,
Guido

[Sarge31FR]

Als äußerst wichtigen Rat für eine Neuinstallation kann ich Dir nur eins mitgeben:

Mache nicht den selben Fehler wie viele andere, als "Passwörter" für die User, die Datenbank etc. sowas wie "1234" zu verwenden. Leider wird sowas oft aus Bequemlichkeit gemacht, mit dem Ergebnis das die Sicherheit quasi bei NULL liegt.

Vernünftige Passwörter sehen in etwa so aus:

h5.ü3,7jQ3vNqi1.

wobei die Länge des Passworts ab 16 Zeichen und mehr schon einen guten Schutz bildet.

Du solltest für alles das ein Passwort verwendet auch ein komplett neues Passwort nehmen, sprich keine doppelte Benutzung.

Für den sql-dumper solltest Du auf jeden Fall den Verzeichnisschutz aktivieren, dafür verwendest Du dann auch wieder einen völlig neuen Benutzernamen + Passwort. Sinn der Sache: Falls jemand durch herumprobieren den Pfad zum Dumper herausfindet, und dieses Verzeichnis nicht geschützt ist, hast Du ein Problem.

Ebenso rate ich Dir, evtl. notwendige Module ausschließlich von dieser Seite hier zu laden, und die Möglichkeit Code in Blöcke einzubauen nur dann wahrzunehmen, wenn er aus seriöser, bekannter Quelle kommt.
Falls Du Funktionen auf der Seite brauchst, die pragmaMx so nicht bietet, dann frage lieber vorher hier im Forum danach.

Was Deine Fragen betrifft:

Da laut Andi die Installation wohl total zerschossen und verseucht ist, gehe ich davon aus dass vorhandene Backups ebenfalls kompromitiert sind, ich würde daher die Finger davon lassen. Und was Andi meinte, war wohl eine komplette Löschung der gesamten Seite, also alles was bei euch auf dem Server unter "httpdocs" (oder dem Pfad wo sich bei euch die Seite befindet) gelöscht werden muss. Ich würde aber eher dazu raten, den gesamten Server plattzumachen und neu installieren, bzw. das vom eurem Hoster machen zu lassen. Danach alles neu installieren, sprich neue Datenbank anlegen, pragmaMx installieren usw.

Mehr kann ich dazu nicht schreiben, da ich euer Hostingpaket nicht kenne

Gruß,
Frank

[tus_leider]

Danke, wir werden deinen Rat befolgen!

[Andi]

Moin

ganz wichtig, nichts überstürzen.
Ich schreib dir morgen noch was dazu...

[Andi]

Moin

ich würde wirklich alles was an Dateien auf dem Server liegt, vorher sichern und dann dort löschen.
Weiss Gott, wo da überall noch manipulierte und gefährliche Dateien versteckt sind.
Dass die Datenbank, also die Inhalte der Seite selbst, gefährliche Dinge beherbergt ist eher unwahrscheinlich. Die Daten aus der Datenbank werden ja nicht als Code ausgeführt. Die Passwörter der User und Admins sollten allerdings zurückgesetzt werden. Das könnte man direkt im phpMyAdmin machen.

War unter Joomla der Liga Manager auch als Joomla-Komponente installiert? Wenn ja, könnte das das Einfallstor gewesen sein. Diese Komponente hatte ein grosses Sicherheitsleck, welches genau diesen Hack verursachen könnte...
http://www.securityfocus.com/bid/19234/info
http://xforce.iss.net/xforce/xfdb/28079