1blu --> Angriff über CMS Made Simple

FCOe · 08. September 2015 08:33

Hallo Zusammen,

wir haben folgendes Problem:
1blu hat uns nun zum zweitem male ausgesperrt.
Schuld soll ein "Plugin" oder fehlerhaftes "Script" sein,
worüber SPAM verschickt wird.
Wir haben die Version 1.12., auf dem aktuellsten Stand.

Wer hat einen Rat? Woran kanns liegen??

nockenfell · 08. September 2015 08:35

Gibt 1blu einen Hinweis welches Script dafür verantwortlich sein soll? Meistens bekommt man mit der Meldung auch den Pfad der Datei.

FCOe · 08. September 2015 08:38

Nein, leider nicht! Auch auf telefonische Anfrage konnte man nichts genaues sagen.

NaN · 08. September 2015 08:38

Hattest Du die Sicherheitstipps umgesetzt?
Hast Du die neusten Beiträge zum Thema Angriffe auf Webseiten gelesen?
Existiert das Install-Verzeichnis noch?

nockenfell · 08. September 2015 08:39

Dann sollten die den Webspace auch ohne Grund wieder entsperren. Keine Sperrung ohne Grund.

FCOe · 08. September 2015 08:41

Sicherheitstipps allesamt umgesetzt, sowie das Installverzeichnis gelöscht!
Zunächst hatte ich genau dort, das Einfalltor vermutet. Nachdem alles
gestopft war - war nach 5 Tagen der Zugriff wieder gesperrt!

NaN · 08. September 2015 08:50

Nachdem alles gestopft war - war nach 5 Tagen der Zugriff wieder gesperrt!

Du hast die Sicherheitslücken gestopft, nachdem bereits jemand Deine Webseite gehackt hat? Dir wird einleuchten, dass das keinen Sinn macht, oder? Denn wenn z.B. bereits Schadcode auf dem Server ist, dann bleibt der da und macht weiterhin seinen Schabernack.

Wenn Dir Dein Provider nicht sagen kann, warum er die Webseite gesperrt hat, dann können wir hier leider auch nicht mehr sagen.

Welche Module/Plugins kommen denn zum Einsatz?
Läuft da noch etwas anderes auf dem Webspace?

Ein Script worüber SPAM verschickt wird, klingt nach CMSMailer, Newsletter Made Simple oder Formbuilder. Aber ich kann mir nicht vorstellen, dass diese Module dazu benutzt wurden.

Ich würde vorschlagen, die Seite via FTP herunterzuladen und lokal mit einem Virenscanner zu prüfen, ob und wo da Schadcode enthalten ist.

FCOe · 08. September 2015 09:12

Nachdem bekannt wurde, dass es einen Hackerangriff gegeben hat. Haben wir sämtliche Zugangspasswörter geändert. Knapp eine Woche danach begannen die Probleme. Nach der ersten Sperrung haben wir den Server leergeräumt und komplett neu aufgespielt.
Das Sicherheitsupdate, war wie gesagt, schon zuvor eingespielt.
Wir haben nun den CMSMailer deaktiviert...

NaN · 08. September 2015 10:17

Wir haben nun den CMSMailer deaktiviert...

Ich würde den gesamten Webspace überprüfen.
Ebenso die Accesslogs.
Denn ich bezweifle, dass das Problem allein am CMSmailer liegt.

mike-r · 08. September 2015 11:26

btw. ... http://www.heise.de/security/meldung/We … 77957.html

Andynium · 08. September 2015 14:29

FCOe schrieb:

Nein, leider nicht! Auch auf telefonische Anfrage konnte man nichts genaues sagen.

Quatsch!!

Die sehen in ihren Logs ganz genau, welches Script Probleme verursacht ... genau dafür laufen die Dinger ja mit.

leerraum · 15. September 2015 09:04

witzig, da scheint wohl grade was im umlauf zu sein. ich hatte eine woche vorher auch fein gehacktes. zum glück nur eine seite.

Andynium · 15. September 2015 09:48

Auch bei 1blu?

leerraum · 15. September 2015 10:20

nope, einer meiner kunden hat auf seinen provinz hoster bestanden. ich trete da jetzt nicht nach. bei meinem stammhoster ist mir das nicht passiert.

Andynium · 15. September 2015 11:46

leerraum schrieb:

hat auf seinen provinz hoster bestanden.

Und der ist dann bloß Reseller von 1blu big_smile ...

leerraum · 15. September 2015 12:50

hmmmmm...... auf die idee bin ich nicht gekommen, würde mich jetzt aber auch nicht erstaunen.

Andynium · 15. September 2015 12:56

Bin auch nur darauf gekommen, weil ja 1blu ... ich sags mal so ... medial sehr präsent war wink .

Von weiteren Attacken auf andere Hoster hab ich nix gehört (kann ja meine Ohren aber auch nicht überall haben big_smile ).

FCOe · 22. September 2015 15:37

So, nachdem alles gelöscht und neu aufgespielt worden ist, lief das ganze ca. 1 Woche, danach wurde der Account wieder gesperrt wegen SPAM-Versendung.

Nun hat man mir den Hinweis gegeben, dass die fehlerhaften Scripts im Verzeichnis Admin lägen.
Weitere genaue Auskunft wäre nicht möglich.

Wer hat einen Tipp??

leerraum · 22. September 2015 15:56

Hat der Kunde Admin-Zugang? wenn ja soll der Kunde alles auf seinem rechner überprüfen. Oder hat 1blu immer noch offene Lücken?

Andynium · 22. September 2015 16:05

Naja, dass ein vermeintliches /admin-Verzeichnis der primäre Angriffsvektor einer Webseite ist, sehe ich hier täglich in den Logs. (Jedoch sollte man auf einer Seite wie unserer eigentlich nicht nach /wpadmin suchen tongue cool ...)

Ein Tipp?

Kurz und schmerzlos - /admin komplett löschen, neu hochladen, /admin-Verzeichnis umbenennen, den neuen Verzeichnisnamen via Parameter in die config.php einfügen und via .htaccess mit passwort absichern (wie bereits im security-Thread empfohlen). Und natürlich Passwörter noch einmal komplett ändern.

By the way - hattest du die Security-Threads vollständig umgesetzt?

http://www.cmsmadesimple.de/forum/viewtopic.php?id=18
http://www.cmsmadesimple.de/forum/viewtopic.php?id=765
http://www.cmsmadesimple.de/forum/viewtopic.php?id=1673

Beitrag geändert von Andynium (22. September 2015 19:47)

FCOe · 01. Oktober 2015 12:19

So, nun habe ich nach langer Zeit endlich mal eine Auskunft von 1blu erhalten, womit man was anfangen kann. Über folgende Scripte wurde SPAM versendet:

{HEX}php.base64.v23au.185 : www/cmss/modules/ThemeManager/images/view.php
{HEX}php.base64.v23au.185 : www/cmss/lib/lang/tasks/lib62.php
{HEX}php.base64.v23au.185 : www/cmss/verwaltung/themes/OneEleven/css/lib.php

Andynium · 01. Oktober 2015 12:35

Du ahnst es sicherlich bereits - alle 3 Dateien sind NICHT Bestandteil des Original CMSMS.

Da der Eindringling die Dateien relativ tief im System versteckt hat, gehe ich davon aus, dass er vollen Zugriff auf die Dateistruktur hat.

Von daher solltest du dich intensiv mit den geposteten Topics beschäftigen wink .

FCOe · 01. Oktober 2015 12:41

Ich habe die Sicherheitsanweisungen abgearbeitet, soweit sie noch nicht durchgeführt waren, mit dem Ergebnis, dass ich mich vom ftp-Zugang selbst ausgesperrt habe! hmm

Mir scheint, dass man über root-Rechte auf dem Webspace/Server zugreift.....die normalen Zugänge sind kryptische Passwörter und zum wiederholten Male geändert.

Andynium · 01. Oktober 2015 12:46

Hast du selbst root Rechte?

Falls nein, würde ja der schwarze Peter bei deinem Hoster liegen roll ...

By the way - laufen auf dem Host noch andere Domains / andere Software? Gerade Wordpress steht ja unter Dauerbeschuss.

NaN · 01. Oktober 2015 12:49

Mir scheint, dass man über root-Rechte auf dem Webspace/Server zugreift

Könnte man das nicht überprüfen, indem man den Eigentümer der Dateien ermittelt?

Forum für CMS/made simple

#1 08. September 2015 08:33

1blu --> Angriff über CMS Made Simple

#2 08. September 2015 08:35

Re: 1blu --> Angriff über CMS Made Simple

#3 08. September 2015 08:38

Re: 1blu --> Angriff über CMS Made Simple

#4 08. September 2015 08:38

Re: 1blu --> Angriff über CMS Made Simple

#5 08. September 2015 08:39

Re: 1blu --> Angriff über CMS Made Simple

#6 08. September 2015 08:41

Re: 1blu --> Angriff über CMS Made Simple

#7 08. September 2015 08:50

Re: 1blu --> Angriff über CMS Made Simple

#8 08. September 2015 09:12

Re: 1blu --> Angriff über CMS Made Simple

#9 08. September 2015 10:17

Re: 1blu --> Angriff über CMS Made Simple

#10 08. September 2015 11:26

Re: 1blu --> Angriff über CMS Made Simple

#11 08. September 2015 14:29

Re: 1blu --> Angriff über CMS Made Simple

#12 15. September 2015 09:04

Re: 1blu --> Angriff über CMS Made Simple

#13 15. September 2015 09:48

Re: 1blu --> Angriff über CMS Made Simple

#14 15. September 2015 10:20

Re: 1blu --> Angriff über CMS Made Simple

#15 15. September 2015 11:46

Re: 1blu --> Angriff über CMS Made Simple

#16 15. September 2015 12:50

Re: 1blu --> Angriff über CMS Made Simple

#17 15. September 2015 12:56

Re: 1blu --> Angriff über CMS Made Simple

#18 22. September 2015 15:37

Re: 1blu --> Angriff über CMS Made Simple

#19 22. September 2015 15:56

Re: 1blu --> Angriff über CMS Made Simple

#20 22. September 2015 16:05

Re: 1blu --> Angriff über CMS Made Simple

#21 01. Oktober 2015 12:19

Re: 1blu --> Angriff über CMS Made Simple

#22 01. Oktober 2015 12:35

Re: 1blu --> Angriff über CMS Made Simple

#23 01. Oktober 2015 12:41

Re: 1blu --> Angriff über CMS Made Simple

#24 01. Oktober 2015 12:46

Re: 1blu --> Angriff über CMS Made Simple

#25 01. Oktober 2015 12:49

Re: 1blu --> Angriff über CMS Made Simple

Fußzeile des Forums