WBCE Home | WBCE Hilfe | WBCE Addon Repository | Impressum | Datenschutz

WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#1 15.01.2020 11:33:19

kleo
Member

mod404: Seltsames Verhalten

Auf einer Seite habe ich das Modul 404 von https://dev4me.com/modules-snippets/opensource/404/ installiert.

Es lief lange Zeit ohne irgendwelche Probleme.

Heute wollte ich schauen, was im Verlauf des Moduls steht, habe mich im Backend als Admin angemeldet und die entsprechende Seite geöffnet. Als ich auf "Verlauf" geklickt habe, ging gleich eine Weiterleitung zu folgender Adresse:

https:// [gelöscht].com/?p=gyytiyzqg45gi3bphezts&sub1=Cruz&sub2=ld.buy

und auf dem Bildschirm war das Bild aus der Anlage zu sehen!

Ich bin jetzt etwas verwirrt.

Was ist es eigentlich?
Warum werde ich aus dem backend zu dieser Seite weitergeleitet?
Warum hat es bis jetzt nie so was passiert?

Ist meine Webseite gehackt ???


P.S. Die Modulversion ist 1.3.1, WBCE 1.4.0

Last edited by florian (15.01.2020 11:58:54)

Offline

#2 15.01.2020 12:05:31

florian
Administrator

Re: mod404: Seltsames Verhalten

Beitrag ins richtige Forum verschoben und Betreff konkretisiert sowie gefährlichen Link entfernt.

Die Seite, die da aufgerufen wird, verteilt Malware.

Kannst Du mal per FTP auf Deine Seite schauen, ob im Dateisystem irgendwelche auffälligen Änderungen erfolgt sind, also ob einzelne Dateien im Modulverzeichnis ein anderes Datum haben als der Rest oder ob da Dateien mit komischen / kryptischen Namen hinzugekommen sind. Wenn ja, ist Deine Seite leider in der Tat gehackt worden.


Was ich bei mod404 festgestellt habe, ist, dass das Modul abstürzt, wenn es zu viele Einträge in der History gibt. Das hat aber wahrscheinlich nichts mit dem beobachteten Problem zu tun.

Online

#3 15.01.2020 12:12:13

kleo
Member

Re: mod404: Seltsames Verhalten

Danke Florian!

Ich habe per FTP nachgeschaut, habe aber nichts verdachtiges gefunden.

Ist es vielleicht eine SQL-Injection ?

Beim klick auf dem Verlauf werden DB-Einträge abgerufen...

Offline

#4 15.01.2020 12:14:30

florian
Administrator

Re: mod404: Seltsames Verhalten

Ja, ist gut möglich. Bitte nimm am besten mal direkt Kontakt mit dem Modulentwickler auf.

Online

#5 15.01.2020 12:21:11

kleo
Member

Re: mod404: Seltsames Verhalten

Dem Modulenentwickler habe ich schon geschrieben.

Den Abschnitt mit dem Modul habe ich siherhaltshalber entfernt und das Modul deinstalliert.

Offline

#6 15.01.2020 12:44:33

berny
Member

Re: mod404: Seltsames Verhalten

es kann durchaus sein, dass die Datei selbst gehackt und mit Schadcode versehen wurde.

Meistens funktioniert das mittels einfacher Codierung, zb base64-encode usw.
Dabei erkennst du auf den ersten Blick gar nicht, dass hier was faul ist.

irgend ein Parameter, zb $tts=base64-decode('ergg6ffz6crz4dhtuu')
(Buchstaben sind jetzt zufällig ;-) )
und dieser wird dann in einem anderen Teil des Scripts aufgerufen.

solltest du so etwas entdecken, sind vermutlich auch andere Datein betroffen.
Wenn ja, ich hab da mal ein script gebastelt, um solche Datein aufzuspüren
Jedoch muss ein Teil des Codes für die Suche bekannt sein.
Wenn notwendig, müsste ich es raussuchen...

Last edited by berny (15.01.2020 12:45:36)

Offline

#7 15.01.2020 13:58:52

webbird
Administrator

Re: mod404: Seltsames Verhalten

Oha, das sieht gehackt aus! Unbedingt wirklich alles prüfen, am besten alles frisch hochladen, also Core, Module, Templates... Die Dateien im pages-Verzeichnis mußt Du von Hand prüfen.

Ein guter Provider sollte sowas übrigens bei seinem regelmäßigen Virenscan gefunden und Dich informiert haben.


Ich habe eine Amazon-Wishlist. wink

Online

#8 15.01.2020 14:16:45

florian
Administrator

Re: mod404: Seltsames Verhalten

Naja, merkwürdig ist doch, dass das offenbar nur passiert, wenn beim mod404 auf "Verlauf" geklickt wird. Ich glaube nicht, dass die gesamte Seite gehackt ist, ich vermute eher, dass da beim Generieren der Verlaufseinträge irgendwo etwas nicht sauber escapet wird und ein Javascript-Redirect erfolgt.

Online

#9 15.01.2020 16:57:22

kleo
Member

Re: mod404: Seltsames Verhalten

Ich hatte heute einen Termin und habe in der Eile das Modul deinstalliert. So sind auch die entsprechenden Tabellen entfernt worden. Sonst hätte man da auch schauen können, wo der Mist steckt und wie der aussieht. Es ist leider zu spät...

Ich versuche die Seite koplett neu zu installieren und den Inhalt auch neu zu gestallten, werde zuerst alles abspeichern, um die Inhalte leichter neu zu erstellen.

Allerdings ist wahrschaeinlich irgendwo eine Schwachstelle im Modul, vielleicht kann Ruud sie trotzdem finden.

Offline

#10 15.01.2020 17:06:42

florian
Administrator

Re: mod404: Seltsames Verhalten

ja, das hatte ich fast befürchtet, dass die Daten schon weg sind. Dann wird es schwierig mit der Ursachensuche.

Online

Board footer

Powered by FluxBB

up