WBCE CMS – Way Better Content Editing.
Du bist nicht angemeldet.
Auf einer Seite habe ich das Modul 404 von https://dev4me.com/modules-snippets/opensource/404/ installiert.
Es lief lange Zeit ohne irgendwelche Probleme.
Heute wollte ich schauen, was im Verlauf des Moduls steht, habe mich im Backend als Admin angemeldet und die entsprechende Seite geöffnet. Als ich auf "Verlauf" geklickt habe, ging gleich eine Weiterleitung zu folgender Adresse:
https:// [gelöscht].com/?p=gyytiyzqg45gi3bphezts&sub1=Cruz&sub2=ld.buy
und auf dem Bildschirm war das Bild aus der Anlage zu sehen!
Ich bin jetzt etwas verwirrt.
Was ist es eigentlich?
Warum werde ich aus dem backend zu dieser Seite weitergeleitet?
Warum hat es bis jetzt nie so was passiert?
Ist meine Webseite gehackt ???
P.S. Die Modulversion ist 1.3.1, WBCE 1.4.0
Beitrag geändert von florian (15.01.2020 11:58:54)
Offline
Beitrag ins richtige Forum verschoben und Betreff konkretisiert sowie gefährlichen Link entfernt.
Die Seite, die da aufgerufen wird, verteilt Malware.
Kannst Du mal per FTP auf Deine Seite schauen, ob im Dateisystem irgendwelche auffälligen Änderungen erfolgt sind, also ob einzelne Dateien im Modulverzeichnis ein anderes Datum haben als der Rest oder ob da Dateien mit komischen / kryptischen Namen hinzugekommen sind. Wenn ja, ist Deine Seite leider in der Tat gehackt worden.
Was ich bei mod404 festgestellt habe, ist, dass das Modul abstürzt, wenn es zu viele Einträge in der History gibt. Das hat aber wahrscheinlich nichts mit dem beobachteten Problem zu tun.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Danke Florian!
Ich habe per FTP nachgeschaut, habe aber nichts verdachtiges gefunden.
Ist es vielleicht eine SQL-Injection ?
Beim klick auf dem Verlauf werden DB-Einträge abgerufen...
Offline
Ja, ist gut möglich. Bitte nimm am besten mal direkt Kontakt mit dem Modulentwickler auf.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Dem Modulenentwickler habe ich schon geschrieben.
Den Abschnitt mit dem Modul habe ich siherhaltshalber entfernt und das Modul deinstalliert.
Offline
es kann durchaus sein, dass die Datei selbst gehackt und mit Schadcode versehen wurde.
Meistens funktioniert das mittels einfacher Codierung, zb base64-encode usw.
Dabei erkennst du auf den ersten Blick gar nicht, dass hier was faul ist.
irgend ein Parameter, zb $tts=base64-decode('ergg6ffz6crz4dhtuu')
(Buchstaben sind jetzt zufällig ;-) )
und dieser wird dann in einem anderen Teil des Scripts aufgerufen.
solltest du so etwas entdecken, sind vermutlich auch andere Datein betroffen.
Wenn ja, ich hab da mal ein script gebastelt, um solche Datein aufzuspüren
Jedoch muss ein Teil des Codes für die Suche bekannt sein.
Wenn notwendig, müsste ich es raussuchen...
Beitrag geändert von berny (15.01.2020 12:45:36)
Offline
Oha, das sieht gehackt aus! Unbedingt wirklich alles prüfen, am besten alles frisch hochladen, also Core, Module, Templates... Die Dateien im pages-Verzeichnis mußt Du von Hand prüfen.
Ein guter Provider sollte sowas übrigens bei seinem regelmäßigen Virenscan gefunden und Dich informiert haben.
Ich habe eine Amazon-Wishlist. Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal
Offline
Naja, merkwürdig ist doch, dass das offenbar nur passiert, wenn beim mod404 auf "Verlauf" geklickt wird. Ich glaube nicht, dass die gesamte Seite gehackt ist, ich vermute eher, dass da beim Generieren der Verlaufseinträge irgendwo etwas nicht sauber escapet wird und ein Javascript-Redirect erfolgt.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Ich hatte heute einen Termin und habe in der Eile das Modul deinstalliert. So sind auch die entsprechenden Tabellen entfernt worden. Sonst hätte man da auch schauen können, wo der Mist steckt und wie der aussieht. Es ist leider zu spät...
Ich versuche die Seite koplett neu zu installieren und den Inhalt auch neu zu gestallten, werde zuerst alles abspeichern, um die Inhalte leichter neu zu erstellen.
Allerdings ist wahrschaeinlich irgendwo eine Schwachstelle im Modul, vielleicht kann Ruud sie trotzdem finden.
Offline
ja, das hatte ich fast befürchtet, dass die Daten schon weg sind. Dann wird es schwierig mit der Ursachensuche.
Code allein macht nicht glücklich. Jetzt spenden!
Offline