gehackt?

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
Tata
Posts: 3586
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: gehackt?

Post by Tata » Fri Nov 10, 2017 7:12 pm

Läuft nicht ein fremdes Script (nicht CMSimple_XH) auf der Seite?
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Post by olape » Fri Nov 10, 2017 7:21 pm

albert wrote: Nachtrag: Ups, die o.g. html-Datei war plötzlich ein zweites Mal da, stand aber ein etwas anders href drin, ist also neu
Dann besteht dringend Handlungs- und Klärungsbedarf.
Keiner weiss, was noch dranhängt, du gefärdest vielleicht auch Besucher deiner Seite.

Und auch im Interesse der XH-Community.
Es besteht ja auch die Möglichkeit, dass es eine Schwachstelle im System oder in einem Plugin gibt.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

lck
Posts: 2963
Joined: Wed Mar 23, 2011 11:43 am
Contact:

Re: gehackt?

Post by lck » Fri Nov 10, 2017 7:26 pm

cmb wrote:Würde ich mir gerne mal anschauen.
Unterwegs per PN.
albert wrote:wo? auf meiner Seite oder irgendwo im Netz?
Im Netz.
albert wrote:Nachtrag: Ups, die o.g. html-Datei war plötzlich ein zweites Mal da, stand aber ein etwas anders href drin, ist also neu
Könnte sein, dass dein FTP-Account gehackt wurde oder es versteckt sich noch Schadcode in anderen Dateien, das könnte sein. Deswegen auch mein Rat auf Virenscan.
„Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig!“   👉 Ludwig's XH-Templates for MultiPage & OnePage

albert
Posts: 526
Joined: Sun Mar 07, 2010 8:01 pm
Location: Germany
Contact:

Re: gehackt?

Post by albert » Fri Nov 10, 2017 8:11 pm

Avast hat nichts gefunden

Tata
Posts: 3586
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: gehackt?

Post by Tata » Fri Nov 10, 2017 9:04 pm

Falls Du am Host Backupszugriff hast, zieh die runter, zieh auch gesammte Webseite, delete gesammte Webseite vom Host, teste alles local und bis Du findest etwas verdächtiges, lass am Host nur die Backupkopie laufen.
Vor etwa 10 Jahre habe ich eine gehackte Webseite fast eine ganze Woche geheilt.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

lck
Posts: 2963
Joined: Wed Mar 23, 2011 11:43 am
Contact:

Re: gehackt?

Post by lck » Fri Nov 10, 2017 9:17 pm

albert wrote:Avast hat nichts gefunden
Das sagt noch nichts aus, ein zweiter, dritter Virenscanner wäre gut. Es gibt auch portable, wie zum Beispiel den Microsoft Safety Scanner.

Manuelle Möglichkeit:
Den Ordner mit der heruntergeladenen Webseite mit Notepad++ nach $lb8GNaXS zu durchsuchen oder einen Teil des Codes von oben und nach base64 (Suchen > In Dateien suchen, Alle Suchen).
olape wrote:Keiner weiss, was noch dranhängt, du gefärdest vielleicht auch Besucher deiner Seite.
Ja, das beste wäre die Webseite löschen, alle Passwörter zu ändern (FTP, Login Hoster, CMS ...) und dann eine saubere lokale Kopie hochzuladen.
Eventuell wurden auch vom Hacker zusätzliche FTP-Zugänge eingerichtet? Das müsste kontrolliert werden.
„Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig!“   👉 Ludwig's XH-Templates for MultiPage & OnePage

Tata
Posts: 3586
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: gehackt?

Post by Tata » Fri Nov 10, 2017 9:39 pm

Auf meinem Host kann ich (und habe es auch) IP Sperre einstellen für bestimmte Länder.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Post by olape » Fri Nov 10, 2017 9:43 pm

lck wrote:
albert wrote:Avast hat nichts gefunden
Das sagt noch nichts aus, ein zweiter, dritter Virenscanner wäre gut. Es gibt auch portable, wie zum Beispiel den Microsoft Safety Scanner.
Ich bezweifel auch ein wenig, dass ein "normaler" Virenscanner hier wirklich weiterhilft.
Wenn es sich "nur" um Scripte handelt (JS oder PHP), dann ist das auf einem Websever ja normal.

Wenn also nichts drin ist, das den Browser und das dahinterliegende System der Besucher angreift, wird es wahrscheinlich nicht funktionieren. Und selbst das würde bei PHP wohl nicht auffallen, wenn nur die Datei ohne Interpreter getestet würde.

Alles löschen und alle PW ändern wäre ein Rundumschlag der sicher wirkt.
Aber leider wird dabei die Ursache nicht gefunden. Gibt es im CMS oder einem Plugin eine Lücke wird es vielleicht wieder passieren. Oder es trifft jemand anderen mit gleichem System.

Ein Vergleich der lokalen Kopie, die es hoffentlich gibt, Ordnerweise in Anzahl und Grösse, event. noch Änderungsdatum ist sicher sehr mühsam, aber würde ein wenig zur Klärung beitragen.

Gibt es denn Infos vom Hoster?
Es kann ja auch sein, das eine andere Webseite gehackt wurde und somit die Lücke primär in einer anderen Webseite ist.
Sekundär dann allerdings auch beim Server selber, denn Accountübergreifend sollte das eigentlich nicht möglich sein.

Bei einem zusätzlichen FTP-Account gäbe es nur zwei Möglichkeiten.
- Jemand ist an die Zugangsdaten der Verwaltung gekommen
Oder
- Der Server selber wurde gehackt.

Per JS- oder PHP-Script lässt sich dieser so nicht anlegen.

Bzw.. wohl nur wenn man gleichzeitig auch SSH-Zugriff hat.
Dann müsste man es aber nicht auf dem Host selber ausführen, sonder viel einfacher irgendwo anders und dann wiederum könnte man auch gleich ein Tool wie Putty o.ä. verwenden.
Last edited by olape on Fri Nov 10, 2017 10:22 pm, edited 3 times in total.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Post by olape » Fri Nov 10, 2017 9:53 pm

Tata wrote:Auf meinem Host kann ich (und habe es auch) IP Sperre einstellen für bestimmte Länder.
Einzelne IPs oder IP-Ranges zu sperren ist nicht sehr treffsicher.
Dazu sollte man GEOIP bemühen, was du vermutlich meinst.

Allerdings, vermute ich, in solchen Fällen werden sicher Proxys zum Einsatz kommen, vielleicht sogar wechselnd.
Von daher ist das in diesem Zusammenhang wenig Schutz.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: gehackt?

Post by cmb » Fri Nov 10, 2017 11:37 pm

lck wrote:
cmb wrote:Würde ich mir gerne mal anschauen.
Unterwegs per PN.
Danke! Bei dem Code handelt es sich um eine Web Shell (anscheinend eine Variante von c99madshell). Ich habe das eigentliche (ungefähr 1500 Zeilen lange) Script nur überflogen, aber es scheint umfangreiche Möglichkeiten zu bieten, sich auf dem Server auszutoben. :evil:

Wie das Script auf den Server kam, weiß ich nicht, und auch nicht wie es dort wieder hin kam – es könnte aber durchaus sein, das weitere solcher Backdoors auf der Domain (vielleicht auch irgendwo sonst auf dem Server) existieren, und der Angreifer das Script nach Belieben wieder herstellen kann.
Christoph M. Becker – Plugins for CMSimple_XH

Post Reply