Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
Seiten: 1
#1 26. Mai 2012 21:19
- AL-d82
- Server-Pate
- Ort: Heilbronn / Göppingen
- Registriert: 18. Dezember 2010
- Beiträge: 149
- Webseite
Frage Schreibzugriff für alle PHP .htaccess verbieten nur lesezugriff
Hi,
so wies ausschaut wurde meine Account gehackt.
In jede PHP Seite wurde folgendes eingefügt (nicht nur im cms Ordner):
<?php #Fortinet FortiWeb Web Application Firewall require_once('/www/htdocs/tgovb//.fortiweb_firewall.php'); ?>zudem wurde im Hauptverzeichnis folgende Dateien
.fortiweb_firewall.php
user_procmailrc
eingefügt
Nun die Frage kann man über .htaccess jeder php Datei nur Leserechte zuweisen?
Hab mir mal HowTo: CMS made simple absichern durchgelesen nur da werde ich nicht schlau draus :op
greez AL
Offline
#2 27. Mai 2012 23:02
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.437
Re: Frage Schreibzugriff für alle PHP .htaccess verbieten nur lesezugriff
Nun die Frage kann man über .htaccess jeder php Datei nur Leserechte zuweisen?
Nein. Das geht nur auf Betriebssystemebene bzw. via FTP (Stichwort CHMOD Zugriffsrechte; Dateien 444, Verzeichnisse 555).
Via .htaccess kannst Du höchstens den direkten http-Zugriff auf Dateien und Verzeichnisse beschränken (siehe Beispiel .htaccess in meiner Signatur). Daher auch der Name htaccess (Hyper Text Access).
Die viel wichtigere Frage ist allerdings, wie der Angreifer Zugriff erlangen konnte.
Denn solange das nicht geklärt ist, kann es sein, dass all Deine Sicherheitsvorkehrungen völlig umsonst sind.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#3 27. Mai 2012 23:04
- rage_all
- kennt CMS/ms
- Ort: Augsburg
- Registriert: 09. März 2011
- Beiträge: 288
Re: Frage Schreibzugriff für alle PHP .htaccess verbieten nur lesezugriff
Die Frage ist, ob Du Dir mit einem solchen Schritt Gutes tust.
Dass PHP-Dateien andere Dateien schreiben ist häufig nicht unbeabsichtigt - z.B. beim File-Upload. Gerade der Cache dürfte damit problematisch werden.
Einer meiner Kunden wurde zwei Mal hintereinander gehackt. Beim ersten Mal hab ich noch die Schuld auf mich genommen, weil ein altes Kontaktformular von einer OsC-Installation noch lief, wessen Sicherheitslücke inzwischen schon sehr weit verbreitet und bekannt war. Beim zweiten Mal wurde ich aber misstrauisch und änderte sämtliche Kennwörter, inkl. den Kundenmenü-Kennwörtern, FTP, etc. - voilà, der Spuk hatte ein Ende.
Ich sage nicht, dass der vorherige Webadmin/Webdesigner fahrlässig war oder sonstiges; aber der Kunde wurde bevor ich die Arbeit übernahm wohl schon einige Male gehackt und bei mir eben 2x bis ich alle Passwörter geändert habe...
Sofern Deine Installation nicht noch eine alte 1.xx ist, und Du keine weiteren Systeme laufen hast über die Sicherheitslücken bekannt wären, würde ich persönlich vorläufig nur dazu raten das letzte gesunde Backup einzuspielen und die FTP, User und Kundenmenü Kennwörter zu ändern.
Schau dann über einen Zeitraum von ca. vier bis sechs Wochen alle paar Tage nochmal rein, vergleiche Änderungszeitstempel oder kopiere die Daten via FTP und lasse WinDiff drüber laufen zum vergleichen. Eventuell gibt es noch weitere Optionen wie die Systemprüfung mit Prüfsummendatei - aber damit kenne ich mich nicht aus.
Du kannst auch täglich reinschauen, meine Erfahrung ist aber das Hacker sich nur alle paar Tage mal um ihre gehackten Seiten kümmern. Ich kenne eine Geschichte eines Wettbewerbers, dessen Kunde nur Donnerstags eine Poker-Werbung drin hatte - keine Ahnung warum; vielleicht damit es nicht so sehr auffällt...
Offline
#4 27. Mai 2012 23:11
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.437
Re: Frage Schreibzugriff für alle PHP .htaccess verbieten nur lesezugriff
Nicht selten läuft der gaze Spaß auch automatisiert ab. Die Hacker bauen sich Hintertürchen ein, um zu prüfen, ob ein Hack bereits erfolg hatte. Ist eine Sicherheitslücke bekannt, wird ein Script geschrieben, welches eine Tabelle mit bestimmten Domains abarbeitet, die Lücke ausnutzt und später regelmäßg wieder vorbeischaut, ob es vom Opfer bemerkt wurde. Wurde es bemerkt, wird erneut gehackt. Schlägt das fehl, ruhig verhalten und auf die nächste Lücke warten.
Da sitzt selten wirklich ein Mensch dahinter.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#5 27. Mai 2012 07:06
- AL-d82
- Server-Pate
- Ort: Heilbronn / Göppingen
- Registriert: 18. Dezember 2010
- Beiträge: 149
- Webseite
Re: Frage Schreibzugriff für alle PHP .htaccess verbieten nur lesezugriff
Hi ihr 2 DANKE für eure Antworten 
Hatte auf diesem Unteraccount 2 Systeme laufen.
Eine immer aktuell die andere war 1.9.4.
Habe jetzt mal die 1.9.4 ausgelagert auf ein extra Unteraccount und natürlich gleich mal die neue Version aufgespielt.
Die komischen Dateien habe ich natürlich entfernt, FTP Passwörter geändert.
schau mal mal ob nochmal was ist 
Offline
#6 27. Mai 2012 07:37
- AL-d82
- Server-Pate
- Ort: Heilbronn / Göppingen
- Registriert: 18. Dezember 2010
- Beiträge: 149
- Webseite
Re: Frage Schreibzugriff für alle PHP .htaccess verbieten nur lesezugriff
So wies ausschaut wurde das ganze am 25.05.2012 16:42 durchgeführt.
denn so ist der Zeitstempel von allen PHP Dateien.
Laut FTP - Zugrifsprotokoll war an diesem Tag nix gewesen. Erst als ich mich VIA FTP drauf geschaltet habe wurde das gelogt
Offline
#7 27. Mai 2012 08:27
- AL-d82
- Server-Pate
- Ort: Heilbronn / Göppingen
- Registriert: 18. Dezember 2010
- Beiträge: 149
- Webseite
Re: Frage Schreibzugriff für alle PHP .htaccess verbieten nur lesezugriff
Hab die Dateien, die ich nix mit CMSms zu tun haben, mit folgendem Tool: http://www.digitalvolcano.co.uk/content/textcrawler , durchsucht und die fraglichen Stellen entfernt.
Das Tool ist echt gut, sucht z.B. nur nach PHP Dateien auf der Webseite und schließt sogar Unterordner mit ein 
Offline
#8 28. Mai 2012 10:24
- faglork
- arbeitet mit CMS/ms
- Ort: Fränkische Schweiz
- Registriert: 15. Dezember 2010
- Beiträge: 1.152
- Webseite
Re: Frage Schreibzugriff für alle PHP .htaccess verbieten nur lesezugriff
Moin!
Was steht denn diesbezüglich im access_log deines Servers? Das ist doch die erste Adresse zum Nachschauen. Da siehst du doch, welche Dateien wann von welcher IP-Adresse aus aufgerufen wurden und wie.
Servus,
Alex
Offline
#9 31. Mai 2012 19:55
- AL-d82
- Server-Pate
- Ort: Heilbronn / Göppingen
- Registriert: 18. Dezember 2010
- Beiträge: 149
- Webseite
Re: Frage Schreibzugriff für alle PHP .htaccess verbieten nur lesezugriff
Auffällig war, dass an diesem Tag immer wieder
diese Sachen aufgerufen worden sind.
[25/May/2012:16:42:08 +0200] "POST /3cms/infophp.1.php HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
xxx- - [25/May/2012:16:42:11 +0200] "POST /3cms/infophp.1.php HTTP/1.1" 200 10 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
xxxx- - [25/May/2012:16:42:13 +0200] "GET /vb/calendar/jax_calendar.php?Y=2318&m=6&d=4&cal_id=0&language=english&gmt_ofs=0&view=d1&psn_itemsa=7 HTTP/1.1" 200 173 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
/3cms --> alte speilwiese
/vb/calendar/jax_calendar.php --> alter Kalender den ich vor cmsMS genutzt habe
hab jetzt mal alle unnötigen Sachen wie z.B. /3cms, /vb/calendar/ .... gelöscht.
alles Passwörter geändert
jetzt schau ma ob nochmal was kommt 
/
greez AL
Offline
Seiten: 1