gehackt?

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Tata
Posts: 2531
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: gehackt?

Postby Tata » Fri Nov 10, 2017 7:12 pm

Läuft nicht ein fremdes Script (nicht CMSimple_XH) auf der Seite?
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

olape
Posts: 330
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Postby olape » Fri Nov 10, 2017 7:21 pm

albert wrote:Nachtrag: Ups, die o.g. html-Datei war plötzlich ein zweites Mal da, stand aber ein etwas anders href drin, ist also neu

Dann besteht dringend Handlungs- und Klärungsbedarf.
Keiner weiss, was noch dranhängt, du gefärdest vielleicht auch Besucher deiner Seite.

Und auch im Interesse der XH-Community.
Es besteht ja auch die Möglichkeit, dass es eine Schwachstelle im System oder in einem Plugin gibt.

lck
Posts: 1035
Joined: Wed Mar 23, 2011 11:43 am
Location: Dahoam ;)
Contact:

Re: gehackt?

Postby lck » Fri Nov 10, 2017 7:26 pm

cmb wrote:Würde ich mir gerne mal anschauen.

Unterwegs per PN.
albert wrote:wo? auf meiner Seite oder irgendwo im Netz?

Im Netz.
albert wrote:Nachtrag: Ups, die o.g. html-Datei war plötzlich ein zweites Mal da, stand aber ein etwas anders href drin, ist also neu

Könnte sein, dass dein FTP-Account gehackt wurde oder es versteckt sich noch Schadcode in anderen Dateien, das könnte sein. Deswegen auch mein Rat auf Virenscan.
Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig ;)       ► CMSimple_XH Templates & OnePage-Templates ◄

albert
Posts: 404
Joined: Sun Mar 07, 2010 8:01 pm
Location: Germany
Contact:

Re: gehackt?

Postby albert » Fri Nov 10, 2017 8:11 pm

Avast hat nichts gefunden

Tata
Posts: 2531
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: gehackt?

Postby Tata » Fri Nov 10, 2017 9:04 pm

Falls Du am Host Backupszugriff hast, zieh die runter, zieh auch gesammte Webseite, delete gesammte Webseite vom Host, teste alles local und bis Du findest etwas verdächtiges, lass am Host nur die Backupkopie laufen.
Vor etwa 10 Jahre habe ich eine gehackte Webseite fast eine ganze Woche geheilt.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

lck
Posts: 1035
Joined: Wed Mar 23, 2011 11:43 am
Location: Dahoam ;)
Contact:

Re: gehackt?

Postby lck » Fri Nov 10, 2017 9:17 pm

albert wrote:Avast hat nichts gefunden

Das sagt noch nichts aus, ein zweiter, dritter Virenscanner wäre gut. Es gibt auch portable, wie zum Beispiel den Microsoft Safety Scanner.

Manuelle Möglichkeit:
Den Ordner mit der heruntergeladenen Webseite mit Notepad++ nach $lb8GNaXS zu durchsuchen oder einen Teil des Codes von oben und nach base64 (Suchen > In Dateien suchen, Alle Suchen).
olape wrote:Keiner weiss, was noch dranhängt, du gefärdest vielleicht auch Besucher deiner Seite.

Ja, das beste wäre die Webseite löschen, alle Passwörter zu ändern (FTP, Login Hoster, CMS ...) und dann eine saubere lokale Kopie hochzuladen.
Eventuell wurden auch vom Hacker zusätzliche FTP-Zugänge eingerichtet? Das müsste kontrolliert werden.
Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig ;)       ► CMSimple_XH Templates & OnePage-Templates ◄

Tata
Posts: 2531
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: gehackt?

Postby Tata » Fri Nov 10, 2017 9:39 pm

Auf meinem Host kann ich (und habe es auch) IP Sperre einstellen für bestimmte Länder.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

olape
Posts: 330
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Postby olape » Fri Nov 10, 2017 9:43 pm

lck wrote:
albert wrote:Avast hat nichts gefunden

Das sagt noch nichts aus, ein zweiter, dritter Virenscanner wäre gut. Es gibt auch portable, wie zum Beispiel den Microsoft Safety Scanner.

Ich bezweifel auch ein wenig, dass ein "normaler" Virenscanner hier wirklich weiterhilft.
Wenn es sich "nur" um Scripte handelt (JS oder PHP), dann ist das auf einem Websever ja normal.

Wenn also nichts drin ist, das den Browser und das dahinterliegende System der Besucher angreift, wird es wahrscheinlich nicht funktionieren. Und selbst das würde bei PHP wohl nicht auffallen, wenn nur die Datei ohne Interpreter getestet würde.

Alles löschen und alle PW ändern wäre ein Rundumschlag der sicher wirkt.
Aber leider wird dabei die Ursache nicht gefunden. Gibt es im CMS oder einem Plugin eine Lücke wird es vielleicht wieder passieren. Oder es trifft jemand anderen mit gleichem System.

Ein Vergleich der lokalen Kopie, die es hoffentlich gibt, Ordnerweise in Anzahl und Grösse, event. noch Änderungsdatum ist sicher sehr mühsam, aber würde ein wenig zur Klärung beitragen.

Gibt es denn Infos vom Hoster?
Es kann ja auch sein, das eine andere Webseite gehackt wurde und somit die Lücke primär in einer anderen Webseite ist.
Sekundär dann allerdings auch beim Server selber, denn Accountübergreifend sollte das eigentlich nicht möglich sein.

Bei einem zusätzlichen FTP-Account gäbe es nur zwei Möglichkeiten.
- Jemand ist an die Zugangsdaten der Verwaltung gekommen
Oder
- Der Server selber wurde gehackt.

Per JS- oder PHP-Script lässt sich dieser so nicht anlegen.

Bzw.. wohl nur wenn man gleichzeitig auch SSH-Zugriff hat.
Dann müsste man es aber nicht auf dem Host selber ausführen, sonder viel einfacher irgendwo anders und dann wiederum könnte man auch gleich ein Tool wie Putty o.ä. verwenden.
Last edited by olape on Fri Nov 10, 2017 10:22 pm, edited 3 times in total.

olape
Posts: 330
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Postby olape » Fri Nov 10, 2017 9:53 pm

Tata wrote:Auf meinem Host kann ich (und habe es auch) IP Sperre einstellen für bestimmte Länder.

Einzelne IPs oder IP-Ranges zu sperren ist nicht sehr treffsicher.
Dazu sollte man GEOIP bemühen, was du vermutlich meinst.

Allerdings, vermute ich, in solchen Fällen werden sicher Proxys zum Einsatz kommen, vielleicht sogar wechselnd.
Von daher ist das in diesem Zusammenhang wenig Schutz.

cmb
Posts: 12051
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: gehackt?

Postby cmb » Fri Nov 10, 2017 11:37 pm

lck wrote:
cmb wrote:Würde ich mir gerne mal anschauen.

Unterwegs per PN.

Danke! Bei dem Code handelt es sich um eine Web Shell (anscheinend eine Variante von c99madshell). Ich habe das eigentliche (ungefähr 1500 Zeilen lange) Script nur überflogen, aber es scheint umfangreiche Möglichkeiten zu bieten, sich auf dem Server auszutoben. :evil:

Wie das Script auf den Server kam, weiß ich nicht, und auch nicht wie es dort wieder hin kam – es könnte aber durchaus sein, das weitere solcher Backdoors auf der Domain (vielleicht auch irgendwo sonst auf dem Server) existieren, und der Angreifer das Script nach Belieben wieder herstellen kann.
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+


Return to “Deutsch”

Who is online

Users browsing this forum: No registered users and 1 guest