Download 1.12.2

Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

Seiten: 1

#1 30. Oktober 2013 11:16

Efferd
kennt CMS/ms
Registriert: 20. Dezember 2010
Beiträge: 182

[GELÖST] Mal wieder "gehackt"?

Hallo,

leider habe ich schon wieder ein "Malör".

Und zwar gehöre ich zu den Sammlern. Ich hebe alles auf, was ich mal gebastelt habe. Zusammen mit der Cms-Installation auf dem Webserver, was ich wohl hätte besser nicht machen sollen. Demnächst kommt alles Auf den NAS - dort sind die Sachen dann lokal. Egal, zum Thema:

Ich hatte angefangen einen von den vielen T-Shirt Shops zu basteln. Zwischendurch verging mir auch mal die Lust, da das Thema für Google leider nichts ist. Poker gehört für Google fast komplett in die Online-Casino-Sparte.

So... Template hingebastelt, übertragen auf ein anderes Web-Pack und die Leiche liegt noch auf dem "alten" Webpack.

Jetzt kam eine E-Mail von Host-Europe von wegen zu viele ungepflegte CMS Installationen und ich wurde gehackt. Hier mal ein Auszug aus dem Log der geänderten Dateien: (nur mal aus der einen CMS-Installation)

./www/poker/cmsmadesimple/tmp/cache/csshash.dat
./www/poker/cmsmadesimple/tmp/cache/index.php
./www/poker/cmsmadesimple/tmp/templates_c/template.php
./www/poker/cmsmadesimple/tmp/templates_c/body.php
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/171013.tar
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/.htaccess
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/index.php
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/app.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/image/action-links.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/image/aside-shadow.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/image/fld-input.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/image/rgn-noise.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/image/rgn-sprite.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/iob_login_startseite.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/jquery-1.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/jquery.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/jquery_002.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/jquery_003.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/loginPanel.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/modernizr-1.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/pb-logo.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/rai.css
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/type/pb_medium_cnd-webfont.ttf
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/pb-Dateien/type/pb_medium_cnd-webfont.woff
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/templates/finish.php
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/templates/login.php
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/1294932528532/templates/validation.php
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/.htaccess
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/index.php
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/app.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/image/action-links.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/image/aside-shadow.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/image/fld-input.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/image/rgn-noise.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/image/rgn-sprite.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/iob_login_startseite.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/jquery-1.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/jquery.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/jquery_002.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/jquery_003.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/loginPanel.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/modernizr-1.js
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/pb-logo.png
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/rai.css
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/type/pb_medium_cnd-webfont.ttf
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/pb-Dateien/type/pb_medium_cnd-webfont.woff
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/templates/finish.php
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/templates/login.php
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/2324832841942/templates/validation.php
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/.htaccess
./www/poker/cmsmadesimple/tmp/templates_c/4393281592/index.html
./www/poker/cmsmadesimple/tmp/templates_c/0032497.php
./www/poker/cmsmadesimple/tmp/templates_c/connector_t.php
./www/poker/cmsmadesimple/tmp/templates_c/connector.php
./www/poker/cmsmadesimple/tmp/templates_c/.htaccess
./www/poker/cmsmadesimple/tmp/templates_c/index.php



Interessant ist der Teil unter Template_c

Dort wurden 2 Ordner angelegt.

jeweils nur zahlen.

Darin:

Templates
pb-Dateien
und 2 Dateien. htaccess und index

der Erste Blick in die pb-Dateien und ich bekam schon Angst, ein Postbank-Logo!

Dazu ein haufen js dateien die z.B. loginPanel.js heissen...

Mit ziemlicher Sicherheit gingen dort Spam-Mails raus mit dem Link zu Meiner Seite, wo Postbank Kunden ihre Daten eingeben sollten. Und sicher Schnurstracks in den Ostblock oder nach Afrika....

Ausgezeichnet.

Das ganze geht sicher von einer gepackten Datei aus:

/www/poker/cmsmadesimple/tmp/templates_c/171013.tar   (Inhalt kenn ich nicht, hab ich nicht Entpackt)

die muss irgendwie auf den Server gekommen sein.

Die Version ist extrem alt: 1.6.1

Sooooooooooooooooo, nun meine größte Frage: Ist mein FTP-Zugang Schuld? Die CMS Made Simple Version? Oder war ich es? (Mich nenn ich natürlich erst zum Schluss ;o)

Da sich der Vermeindliche "Hacker" bzw sicher lief das automatisch - nur im Templates_C Ordner ausgetobt hat, fange ich da mal an.
Das Verzeichnis hat die Berechtigung 770
Alles schön, würde ich fast sagen.

FTP-Zugang ist frisch angelegt und mittlerweile - da es leider öfter Passiert - wird er ca. 1 x im Monat gelöscht und neu angelegt.

Virensoftware ist G-Data. Meiner Meinung nach auch eine Gute Wahl, da es 2 Virendatenbanken Nutzt, 1 x Kaspersky (glaub ich) und eine Eigene.

Lag der Fehler jetzt "nur" in der alten CMS Version?
Würde mich Extrem Beruhigen.

Und wenn Jemand den Die Kuriosen Dateien haben will, lad ich sie gern runter und verschicke sie per Mail...

Gruß,
Flo

PS: Ich hasse Hacker/Trojaner/Viren...

Offline

#2 30. Oktober 2013 11:32

RafaelCzernek
probiert CMS/ms aus
Registriert: 20. November 2012
Beiträge: 47

Re: [GELÖST] Mal wieder "gehackt"?

Hattest du irgendwo Formulare in der Seite eingebunden?

Offline

#3 30. Oktober 2013 11:42

faglork
arbeitet mit CMS/ms
Ort: Fränkische Schweiz
Registriert: 15. Dezember 2010
Beiträge: 1.152
Webseite

Re: [GELÖST] Mal wieder "gehackt"?

Moin!

http://www.exploit-id.com/web-applicati … ade-simple

http://www.cvedetails.com/vulnerability … imple.html

hth,
Alex

Offline

#4 30. Oktober 2013 11:50

faglork
arbeitet mit CMS/ms
Ort: Fränkische Schweiz
Registriert: 15. Dezember 2010
Beiträge: 1.152
Webseite

Re: [GELÖST] Mal wieder "gehackt"?

Efferd schrieb:

Lag der Fehler jetzt "nur" in der alten CMS Version?

Das dürfte sich aus der Analyse der Log-Files ergeben.

Prinzipiell ist es ja so dass nach Exploits gescannt wird. Siehste ja im Acces Log ...
Von daher birgt jede nicht-aktuelle Installation ein Risiko.

Man kann es den Angreifern auch ganz einfach machen und den Standard-Footer drin lassen, mit der CMS-Versionsangabe. Dann wissen sie gleich welchen Exploit sie verwenden können.

Prinzipiell sollten alle Hinweise auf das verwendete System aus dem Quellcode entfernt werden.

Servus,
Alex

Offline

#5 30. Oktober 2013 14:40

Efferd
kennt CMS/ms
Registriert: 20. Dezember 2010
Beiträge: 182

Re: [GELÖST] Mal wieder "gehackt"?

hmmmmmmmm........

Und muss ich das jetzt der Polizei oder so melden?

Denn wenn dort ein Kunde eventuell seine Postbank-Daten bei mir auf dem Webspace an Betrüger weitergegeben hat, kann ich dafür Haftbar gemacht werden?

Laut Statistik waren dort über 50 Besucher

Offline

#6 31. Oktober 2013 14:16

Efferd
kennt CMS/ms
Registriert: 20. Dezember 2010
Beiträge: 182

Re: [GELÖST] Mal wieder "gehackt"?

soooo,
ich hebe nun einfach die logfiles auf und pule die dateien nun wieder aus meinem webspace. Weiter werden alle noch verbleibenden Installationen aktualisiert - und aktuell gehalten und "Spielerreien" und alte Webs werden lokal abgelegt.

Eine Lehre war es mir aber, die Buchse war fast voll ;o)

Vielen Dank!

Offline

Seiten: 1


Fußzeile des Forums

Powered by FluxBB