WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

Du bist nicht angemeldet.

#1 28.02.2017 14:44:40

byteworker
Mitglied

Problem mit gehackter Seite

Moin zusammen,
eigentlich sollte ich das jetzt wo anders posten. Die Seite, die ich hier kurz vorstellte, wurde jetzt schon das 2. Mal von aussen her geändert. Ich weiss mir momentan nicht zu helfen. Nach dem Update lief das Ding etwa eine Woche problemlos, dann war auf dies im Frontend / Template hier zu sehen:

Also muss jemand per Backend oder über das Hostingportal auf die Files zugreifen können. Ich habe das Template repariert, dann die Zugangspassworte verändert. Aufällig war, es gab neben den üblichen WBCE Files im Root auch solche Sachen wie eine "wp-login.php" und eine "file.php" ein paar andere verdächtige Dinge, wie ein paar zusätzliche google Sitemap Elemente in der Ansicht enthalten einige davon eine Menge Befehle die teilweise per ascii versteckt sind.

.... kleiner Auszug:

"http:// www. bigmuch.xyz/cyxw1/0227t/pages.php"

Dazu finde ich bei Google nen netten Eintrag:
jhy.jpssale.com (http :  // www. bigmuch.xyz/
Welcome to the home of jhy.jpssale.com. To change this page, upload your website into the public_html directory.

Ich habe die Dinge entfernt, die Passworte fürs Hosting und die User geändert, im WBCE die Useranmeldungen geändert....

Und heute, nur einen Tag nach dem letzten Spässchen ist die config.php gelöscht und dafür wieder ein paar total unklare Sachen auf dem Webspace.

Wo kann ich noch suchen? bekomme ich den Wurm ausm System raus? bin etwa ratlos.

VG Norbert

Beitrag geändert von florian (28.02.2017 15:07:31)

Online

#2 28.02.2017 14:48:45

byteworker
Mitglied

Re: Problem mit gehackter Seite

Nachtrag: in der sitemapxml sind zahlreiche Einträge ala:

2Xr18397Ye96-05_2MM3/2oR0087K546985/.teans

Diese Datei wurde auch heute gegen 10.40 Uhr neu angelegt. Die Dinger verlinken auf Seiten wie diese hier.

Beitrag geändert von byteworker (28.02.2017 14:51:10)

Online

#3 28.02.2017 15:13:35

florian
Administrator

Re: Problem mit gehackter Seite

Hm, das ist übel.
Ich vestehe das richtig, dass die Seite vor dem Update schon mal gehackt wurde?
Da wird irgendwo in den Tiefen der Installation eine Backdoor versteckt sein, über die immer wieder der Schadcode hochgeladen wird, und die dann immer wieder die Dateien infiziert.

Ich fürchte, da hilft nur komplett neu aufsetzen, also kein Update machen, sondern alles löschen und neu installieren.
(Zumindest die umfangreichen Templates für miniform kannst Du evtl. retten, da ist ja leicht erkennbar, ob die infiziert sind oder nicht)


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#4 28.02.2017 15:25:41

florian
Administrator

Re: Problem mit gehackter Seite

Habe das Thema mal abgetrennt


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#5 28.02.2017 15:29:28

byteworker
Mitglied

Re: Problem mit gehackter Seite

Danke Florian.

Ich habe den Leuten vom Sanitäterverein geraten, sie sollen den Provider einschalten.
Ich werde ggf. neu installieren und den ganzen Kram erneut aufbauen.  hmm

Online

#6 28.02.2017 15:32:35

florian
Administrator

Re: Problem mit gehackter Seite

Ja, wenn's ein Rootserver ist, kann es ggf. auch woanders herkommen.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#7 28.02.2017 15:35:29

byteworker
Mitglied

Re: Problem mit gehackter Seite

Zum Thema Hacking vor WBCE, ich habe nur die Info das der damalige Betreuer eine aktuelle WB Classic drüberdudeln wollte, das ging schief (vermutlich war da schon der Angriff erfolgt) und danach habe ich das auf den Tisch gelegt bekommen.

Ich habe danach nur WBCE drübergelegt, das Template und ein paar neue Seiten erstellt.

Dann waren Seiten, die das Modul Miniform enthalten haben, nicht erreichbar. Ich dachte ich hätte bei den umfangreichen Formularen Mist gemacht, Miniform nochmal runter / wieder rauf.... ab da problemlos.

Gestern dann die Geschichte mit dem verbastelten Template, dabei ist mir aufgefallen das erneut irgendwelche php Files hochgeladen wurde in den Root der Seite.

Gestern Nachmittag änderte ich die Zugangspassworte, heute Morgen wars dann wieder verbaut!

Beitrag geändert von byteworker (28.02.2017 16:01:42)

Online

#8 28.02.2017 15:36:54

florian
Administrator

Re: Problem mit gehackter Seite

Hast Du eigentlich auch die FTP- und Datenbankzugangsdaten geändert?


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#9 28.02.2017 15:42:40

byteworker
Mitglied

Re: Problem mit gehackter Seite

Interessant: ich habe in den Logfiles einen Eintrag zu einer "ftpchk3.php" gefunden, diese wurde hochgeladen, danach die anderen Files, dann wurde sie wieder entfernt.

Ja auch die FTP Zugänge sind anders, scheint nichts gebracht zu haben.

Beitrag geändert von byteworker (28.02.2017 15:43:27)

Online

#10 05.03.2017 17:59:57

berny
Mitglied

Re: Problem mit gehackter Seite

Es gab mal Probleme mit der upload Funktion im Editor.

Schützen:
1) den Adminbereich mit htacces Passwort schützen
2) den Adminbereich umbenennen (stat admin zB Bearbeitung) oder ähnliches.

Ich habe irgendwo noch ein script, mit dem ich am Server nach bestimmten Strings suchen kann um so verseuchte scripte aufzuspüren....
wenn ich es finde, stelle ich es online...

Offline

#11 05.03.2017 20:16:50

byteworker
Mitglied

Re: Problem mit gehackter Seite

Das wäre toll. Danke.

Online

#12 05.03.2017 20:54:37

evaki
Gast

Re: Problem mit gehackter Seite

Brauche Deine Mailadresse (PM) für den Scan-Report.
MfG. Evaki

#13 05.03.2017 20:59:53

cwsoft
Mitglied

Re: Problem mit gehackter Seite

@byteworker: Wenn ich richtig verstehe, war es eine WB 2.x über die dann die WBCE Dateien drüber kopiert und das Upgradeskript ausgeführt wurde. Da vermutlich das Problem schon seit der WB Seite besteht, bringt ein solches vorgehen nicht in Punkto Sicherheit.

Hier hilft nur eine kompletter Neuanfang.


Account inactive since 2018/11/17.

Offline

#14 05.03.2017 22:01:43

byteworker
Mitglied

Re: Problem mit gehackter Seite

Ja verstehe ist es denn wahrscheinlich das /media und /pages auch befallen sind? Oder betrifft es nur ausführbare Dateien?

Online

#15 06.03.2017 00:34:49

cwsoft
Mitglied

Re: Problem mit gehackter Seite

Ja das ist sehr wahrscheinlich. In /pages stehen normalerweise nur Accessfiles, die sind schnell gecheckt. In /media sollten nur Dateien liegen, die für das Projekt nötig sind. Eher selten, aber auch möglich wäre eine Backdoor über die MySQL Datenbank. Meist wird in Javascript, PHP, .htaccess und Co. Schadcode versteckt.

Beitrag geändert von cwsoft (06.03.2017 00:37:51)


Account inactive since 2018/11/17.

Offline

#16 07.03.2017 08:17:37

berny
Mitglied

Re: Problem mit gehackter Seite

Habt ihr da ein Script zum checken des wbce auf Änderungen oder hacks?

Für joomla gibt's zb soetwas...

Offline

#17 07.03.2017 09:00:12

evaki
Gast

Re: Problem mit gehackter Seite

Nee, für Hack ham wa nüscht.
Aber was die "unerwünschten" Dateiänderungen betrifft gab/gibt es ein Admintool. Weiß nur nicht mehr wie das Ding heißt. 

Tja, und für die o.a. Module wäre aus meiner Sicht Abhilfe gefragt. Schaun wir mal was kommt. Laufen ja nicht fürs Sportabzeichen.
MfG. Evaki

Beitrag geändert von evaki (07.03.2017 09:03:40)

#18 07.03.2017 09:21:40

florian
Administrator

Re: Problem mit gehackter Seite

Das eine Tool heißt croncheck, das prüft aber nur in regelmäßigen Abständen per Cronjob, ob sich irgendwas an der Seite verändert hat. Darüber hinaus gibt/gab es noch "Watch My Site". Beiden ist gemein, dass sie natürlich nur so lange funktionieren, wie sie nicht selbst manipuliert worden sind, und nur bei Veränderungen warnen, jedoch keine Scanner im eigentlichen Sinne sind; d.h. es bringt nur wenig, diese Tools auf einer bereits gehackten Seite einzusetzen, und speziell Croncheck schreit auch bei jedem neuen harmlosen Upload ins Medienverzeichnis herum.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#19 07.03.2017 09:46:01

byteworker
Mitglied

Re: Problem mit gehackter Seite

Es waren diese beiden Module:

MiniForm: (Version 0.8)
Download Gallery 2:  (Version 2.61)

Dank Evakis Hilfe haben wir die Seite wieder sauber bekommen. Ich bin dabei so vor gegangen:
1. neue leere DB angelegt, komplett andere Benennung, komplizierteres Passwort
2. WBCE in eine Subdomäne installiert, die ganze Seite aus per httrack gesicherten html Files neu erstellt / nachgebaut.
3. Das Sitetemplate überprüft.
3. Miniform installiert, die angepassten Templates überprüft und eingebaut.

Als es wieder lief, hat er einen Scanner drüber laufen lassen, dabei sind die Lücken aufgetaucht, nach deaktivieren der beiden Module war Ruhe im Karton. Ich habe dann später im Modul 404plus gesehen, wie viele Zugriffe es inzwischen wieder auf (jetzt nicht mehr vorhandene) Dateien gab  smile

Möchte auf dem Weg auch allen anderen Helfern danke sagen!

Beitrag geändert von byteworker (07.03.2017 09:49:42)

Online

#20 07.03.2017 13:25:27

cwsoft
Mitglied

Re: Problem mit gehackter Seite

Ok.

Aktuell wären MiniForm 0.9.1 und Download Gallery 3.1.3. Versionen der Download Gallery bis 2.6.6 hatten einige Sicherheitsprobleme. Zu WB 2.6.5 - 2.7 Zeiten war die UR-UR-Downloadgallery (1.x bzw. 2.x) übrigens schon einmal das Einfalltor für die teilweise Übernahme des WB-Addon Bereiches.

Was lernen wir daraus. Nur Module installieren die es wirklich brauch, Module und Core aktuell halten. Leider mangels automatischem Upgrade nicht ganz so trivial.


Account inactive since 2018/11/17.

Offline

#21 07.03.2017 13:32:16

florian
Administrator

Re: Problem mit gehackter Seite


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#22 07.03.2017 16:55:02

berny
Mitglied

Re: Problem mit gehackter Seite

Hier das script
wobei der Eintrag
$contents=array('x2fvar');
für das suchen des Strings x2fvar verantwortlich ist.

Diesen String entsprechend anpassen....

hat mir geholfen, auch versteckte infizierte Datein zu finden.

<?php
// Function, die die einzelnen Dateien berprft.
function checkfile($file) {
    // Der Inhalt dieser Dateitypen wird berprft.
    $types=array('php', 'php4', 'php5', 'txt', 'html', 'htm', 'ini');
    // Nach diesem Inhalt wird in den Dateien gesucht.
    $contents=array('x2fvar');
    $found=array();
    // Namen der ausfhrenden Datei und der zu durchsuchenden bestimmen.
    $thisfile=preg_split('/\//', $_SERVER['SCRIPT_FILENAME'], -1, PREG_SPLIT_NO_EMPTY);
    $filename=preg_split('/\//', $file, -1, PREG_SPLIT_NO_EMPTY);
    // Den Dateityp bestimmen.
    $filetype=preg_split('/\./', $file, -1, PREG_SPLIT_NO_EMPTY);
    // Wenn es sich nicht um die ausfhrende Datei handelt und der Typ in der Dateiliste ist, einen Filehandler fr die Datei ffnen.
    if ($thisfile[count($thisfile)-1]!=$filename[count($filename)-1] and in_array($filetype[count($filetype)-1], $types)) {
        // Die Datei so lange auslesen, bis das Ende erreicht wurde.
        $fp= @fopen($file, 'r');
        // Wenn der Filehandler erfolgreich geffnet werden konnte, die Datei durchsuchen.
        if ($fp) {
            while (!feof($fp)){
                // Alle Suchbegriffe durchgehen und wenn einer gefunden wurde, diesen Treffer dem Trefferarray hinzufgen.
                foreach ($contents as $content) {
                    if(strpos(strtolower(fgets($fp)), strtolower($content)) !== false) $found[]=$content;
                }
            }
            // Dateihandler schlieen
            fclose($fp);
        }
    }
    unset($fp);
    // Wenn Suchbegrife gefunden wurden, diese als String ausgeben. Anderenfalls mit false antworten.
    if (count($found) == 0) return false;
    else return implode(', ',$found);
}
// Das angegeben Verzeichnis und alle Unterverzeichnisse durchsuchen.
// Wenn kein Verzeichnis angegeben wird, dann im aktuellen beginnen.
function listcontent($dir='.') {
    // Wenn es sich um ein Verzeichnis handelt, den Inhalt listen.
    if (is_dir($dir)) {
        $dircontent=scandir($dir);
        // Den gesamten Inhalt des Verzeichnisses durchgehen.
        foreach ($dircontent as $c) {
            // Wenn es sich um ein Verzeichnis handelt, die Function listcontent() aufrufen;
            if ($c!='.' and $c!='..' and is_dir($dir.'/'.$c)) {
                listcontent($dir.'/'.$c);
            // Wenn es sich um eine Datei handelt und die checkfile() Function einen String zurckgibt, einen Suchtreffer ausgeben.
            } else if ($c!='.' and $c!='..' and checkfile($dir.'/'.$c)) {
                echo 'Found file: '.$dir.'/'.$c.' with content: '.checkfile($dir.'/'.$c).'<br />';
                     $zeilen = file($dir.'/'.$c);
                     Echo 'Zeilea: '.$zeilen[0].'<br/>';
  
                
                if($_REQUEST['clear'] == '1') {
                     echo 'Clear File: ';
                                    $zeilen = file($c);
                                    
                                    $string1 = explode("?>",$zeilen[0]);
                                    Echo 'string1: '.$string1[0];
                                   // $zeilen[0]= '<?php';
                                    ///unset($zeilen[0]);
                                    
                                    
                                    
                                    Echo ' - String2: '.$string1[1].'<br/>';
                                    /*
                                    $handle = fopen($dir.'/'.$c, 'wb');
                                    fwrite($handle, implode('', $zeilen));
                                    fclose($handle); 
                                     
                                     */
                 }

                
                
                
            }
        }
    // Wenn es sich um eine Datei handelt und die checkfile() Function einen String zurckgibt, einen Suchtreffer ausgeben.
    } else if (checkfile($dir.'/'.$c)) {
        echo 'Found potential bad file: '.$dir.'/'.$c.' with content: '.checkfile($dir.'/'.$c).'<br />';
    }
}
// Die Suche starten.
echo "Starting search<br />";
listcontent();
echo "Search finished<br />";
?>

Noch ein Code war der
FileWatcher
der checkt alle Datein und listet den hash, wenn sich dieser ändert, wirft er die Datei als verändert aus.
http://www.phpgangsta.de/manipulationen … ackt-wurde

Offline

Liked by:

florian

#23 10.03.2017 09:58:07

viktor321j
Mitglied

Re: Problem mit gehackter Seite

Nun habe ich nach Lektüre dieses Threads auf einer Site das mit WBCE ausgelieferte MiniForm 0.8 deinstalliert und stattdessen die aktuelle Version 0.9.1 installiert. Allerdings stelle ich fest, dass dort die deutschsprachigen Templates fehlen; es gibt nur niederländische und englische. Spricht etwas dagegen, dass ich mir die deutschsprachigen Templates der Version 0.8 von einer anderen WBCE-Installation in den templates-Ordner kopiere und diese mit 0.9.1 verwende? (Zumindest von der Funktion her ist es ok, wie ich soeben ausprobiert habe.)
Danke für Eure Unterstützung.

Offline

#24 10.03.2017 10:06:40

florian
Administrator

Re: Problem mit gehackter Seite

Da spricht grundsätzlich nichts dagegen, nur löst nach meinem Kenntnisstand die Version 0.9.1 noch nicht das Sicherheitsproblem. Im konkreten Fall ist aber wohl nicht MiniForm das Einfallstor gewesen.


Code allein macht nicht glücklich. Jetzt spenden!

Offline

#25 10.03.2017 10:30:45

evaki
Gast

Re: Problem mit gehackter Seite

>> Im konkreten Fall ist aber wohl nicht MiniForm das Einfallstor gewesen.
So ist es. Miniform bot aber eine Flutungsmöglichkeit (sql-Injection-Versuche: viele Felder = höhere Belastung, es erfolgte aber keine Einschleusung), weshalb z.B. Captcha empfohlen wird.
MfG. Evaki

Beitrag geändert von evaki (10.03.2017 10:37:16)

Fußzeile des Forums

up