CMSimple Installation immer wieder gehackt

[leamaus]

Hallo Leute,

einige meiner CMSimple Installationen werden seite kurzem (ca. 1Monat) immer wieder gehackt, schadhafter php Dateien werden auf den Server gespielt, die .htaccess verändert. Habe alles geteset, die .htacces auf CHMOD 444 gesetzt, ohne Erfolg. Der Angriff kommt nun zwar nicht mehr über die .htaccess, schadhafte php Dateien werden aber weiterhin eingeschleust. Diese Dateien verursachen zahlreiche Spammails. Habe die schadhaften Dateien jetzt immer wieder gelöscht, alle paar Tage die Zugangsdaten geändert, das kann aber nicht zur Tagesordnung werden. Habe mich daher im netz auf die Suche gemacht und folgendes bei exploitsearch.net

ISS X-Force Database: cmsimple-cms-file-include(31658): CMSimple cms.php file include
CMSimple could allow a remote attacker to include arbitrary files. A remote attacker could send a specially-crafted URL request to the cms.php script using the pth['file']['config'] or pth['file']['image'] parameter to specify a malicious file from a remote system, which could allow the attacker to execute arbitrary code on the vulnerable Web server.
CVSS Score = AV:A/AC:L/Au:N/C:P/I:P/A:P
References

CVE-2007-0551 - [Search]

Initial Date Seen [2012-03-27 21:02:27]
Last Date Updated [2012-03-27 21:02:27]

und noch dieses Dokument dazu gefunden: http://www.exploit-db.com/wp-content/th ... /15038.pdf

Hat jemand davon gehört und weiß, was in der betroffenen cms.php zu ändern ist?

Für eure Hilfe wäre ich sehr dankbar.

Übrigens: Nutze die CMSimple SE v.2010e Version. Wie sieht es mit der XH Version aus? Besteht dort diese Sicherheitslücke auch noch?

[Gert]

Hallo Lea,

welche Zugangsdaten hast Du geändert? Auch das ftp-Passwort und die Zugangsdaten beim Provider Account? Das hat letztens bei einem Kunden von mir geholfen, bei dem im Minutentakt Dateien auf den Server hochgeladen wurden, was darauf hinweist, dass die unerwünschten Dateien nicht über CMSimple_XH eingeschleust wurden,

Gert

[cmb]

Hallo leamaus,

tatsächlich sind wohl gestohlene FTP-Zugangsdaten eines der häufigeren Probleme. Wenn aber nach Entzug der Schreibberechtigungen der .htaccess diese nun nicht mehr verändert wird, legt es die Vermutung nah, dass der Angriff tatsächlich per HTTP erfolgt.

Die beiden genannten Probleme haben allerdings nichts miteinander zu tun, soweit ich das überblicken kann. Die zitierte Vulnerability, das ist wohl unter http://xforce.iss.net/xforce/xfdb/31658 beschrieben, bezieht sich wohl auf einen Server, bei dem register_globals=On ist, wovon ich allgemein (nicht nur bezüglich CMSimple) dringend abraten möchte. Aber selbst dann kann, soweit ich es überblicke, auch beim genannten CMSimple 2.7 nichts passieren, wenn $pth[file][config] und/oder $pth[file][image] eingeschleust werden.

Was in dem PDF beschrieben wird, ist eine CSRF-Attacke. Die einzige mir bekannte CMSimple Variante, die einen Schutz gegen CSRF-Attacken optional anbietet, ist CMSimple 3.4. Allerdings halte ich es für eher unwahrscheinlich, dass eine CMSimple-Site überhaupt durch CSRF angegriffen wird; und schon gar nicht wiederholt in kurzen Zeitabständen. Bei CSRF-Attacken ist nämlich der Auslöser der eingeloggte CMSimple-Admin, der auf einen "geforgten" Link klinkt oder ein Formular ausfüllt, dass ihm der Angreifer untergeschoben hat.

Bei CMSimple SE 2010e sind allerdings weitere Sicherheitslücken bekannt, was die Filebrowser von openWYSIWYG und tinyMCE betrifft. Für den tinyMCE liegt ein Fix vor; für den openWYSIWYG leider nicht. Mit dem openWYSIWG können allerdings keine bestehenden Dateien manipuliert werden, und ob beim tinyMCE Dateien im CMSimple-Installationsverzeichnis manipuliert werden können, weiß ich nicht.

Allerdings kann auch FTP das Problem sein. Hast Du die geänderten Zugangsdaten (falls es überhaupt diejenigen des FTP-Zugangs waren) fest im FTP-Programm gespeichert? Dann könnte theoretisch ein Trojaner diese auslesen, und an den Hacker senden.

Ansonsten bietet es sich zwecks Aufklärung an, mal einen Blick auf die access-logs zu werfen, so denn vorhanden. Wenn der Angriff per HTTP erfolgt, müssten dort Back-End-Aufrufe von einer fremden IP verzeichnet sein.

Christoph

[leamaus]

@Gert:
Es wurden sämtliche Zugangsdaten geändert, sowohl beim Provider, als auch die für FTP.
@cmb:
Rechner ist sauber, das habe ich in den letzten Wochen täglich geprüft. Wie gesagt, seit der Änderung der Schreibrechte kommt nichts mehr über die .htaccess. FTP Zugangsdaten sind gespeichert. Habe extra den unsicheren Filezilla gegen FlashFXP ersetzt, der die Zugangsdaten verschlüsselt und zusätzlich mit einer Passwortabfrage sichert. Einen Eindringling über FTP kann ich so gut wie ausschließen, zumal auch nicht alle Installationen betroffen sind, obwohl Zugangsdaten aber für alle Kunden gespeichert wurden.

Die Nachfrage bei einem Provider ergab, dass die Ursache in der cms.php liegen muss, daher brachte mich meine gezielte Suche auch auf das zitierte Vulnerability.

Problem mit dem Editor Tiny_MCE war mit bekannt und wurde von mir auch gefixt. Problem mit dem openwysiwyg ist mir neu ?!

register_globals waren laut Provider in allen Fällen auf off.

Laut access-logs sind dort zwar fremde IP's, die zwar nicht auf das backend der CMSimple Installation zugreifen wollten, jedoch auf die eingeschleusten schadhaften Dateien (IP's aus Bogota, Kanada ...)

Merkwürdig ist, dass es nur Installationen bei Providern betrifft, die Ihre .htaccess in bestimmte Verzeichnisse legen. Hierüber erfolgte auch immer der erste Angriff, da CHMOD ursprünglich auf 644 stand, die Tür also einen Spalt auf war. Habe die Schreibberechtigungen zwar geändert, aber die Attacken (jetzt nicht mehr über die .htaccess) hören nicht auf.

Lange Rede, kurzer Sinn. Da es viel Arbeit bedeutet, die alten Installationen auf CMSimple_XH umzustellen, muss ich vorab wissen, ob die XH Version sicher ist. Kann mir jemand dazu etwas sagen.

Gruß leamaus

[Gert]

Lange Rede, kurzer Sinn. Da es viel Arbeit bedeutet, die alten Installationen auf CMSimple_XH umzustellen, muss ich vorab wissen, ob die XH Version sicher ist. Kann mir jemand dazu etwas sagen.

So eine Aussage ist immer schwierig. Wir haben in der letzten Zeit dank Christophs Engagement viele kleine Sicherheitslücken geschlossen, die in anderen CMSimple Ablegern noch offen sind. Aber zum hochladen von Dateien haben diese Lücken eigentlich nicht getaugt.

Hochladen von Dateien deutet eigentlich auf einen unsicheren Filemanager hin, der von aussen missbraucht werden kann, aber ich kenne CMSimple SE zu wenig, um dazu etwas sagen zu können.

Oft sitzt in solchen Fällen irgendwo auf dem Server ein Programm, das diese Dateien immer wieder installiert,

Gert

PS: Eine CMSimple Installation besteht in der Regel aus CMSimple und vielen Plugins. Es muss also nicht CMSimple selbst sein, das die Probleme verursacht, also:

- eine Plugin Liste der betroffenen Installationen wäre interessant
- in welche Verzeichnisse werden die Dateien hochgeladen? Sind es vielleicht die Verzeichnisse, die der Filemanager von CMSimple SE bedient?

[leamaus]

@Gert:
Stichwort Filemanager. Da gibt es ja mehrere Möglichkeiten. Nicht nur das CMS selbst, sondern auch Editoren, wie openwysiwyg, ckeditor oder Tiny_MCE haben ja alle einen Filemanager integriert, sind also potentielle Backdoors für Angreifer, oder? Die Frage ist
1. Wird immer auch die aktuelle Version des jeweiligen Editors im aktuellen CMS verwendet?
2. Wenn nein, könnte ich die aktuelleste Version immer ohne Probleme installieren?

Wie gesagt, die Schwachstelle im Tiny MCE habe ich gefixt und trotzdem werden schadhafte Dateien auf dem Server platziert.

Außer den mitgelieferten Plugins habe ich noch folgende (auf allen betroffenen Servern) installiert:
- memberpages
- kissgallery
- wrapper
- advancednews
- calendar

Die schadhaften Dateien werden immer nur ins Hauptverzeichnis (dort wo die index.php liegt) geschrieben, sonst in keinen Unterordner. Wenn das CMS im Unterordner liegt, dann auch ins Hauptverzeichnis des Servers. Aber auf jeden Fall immer in die CMS Installation.

Fakt ist, dass es am CMS liegen muss, da vor der Installation keinerlei Angriffe zu verzeichnen waren. Ob es direkt von der cms.php ausgeht, würde ich jetzt nicht mehr mit Bestimmtheit sagen. Der Provider, der mich auf diese Datei hingewiesen hat, hat dies wahrscheinlich nur geraten, weil er ein Fix zur Sicherheitslücke der cms.php von Peter aus dem Jahr 2008 in der Schublade hatte. Denke mal, dass da nur gemutmaßt wurde.

Wenn ich das Ganze nochmal zusammennehme, kann es eigentlich nur an den Editoren liegen, denn:
- Angriff über FTP ist ausgeschlossen, da doppelt gesichert, verschlüsselt und fast täglich Passwörter geändert wurden
- Angriff über cms.php nur vermutet und auch von eurer Seite widerlegt, da hierüber eigentlich keine Dateien auf den Server geladen werden können
- Angriff über Login des CMS auch ausgeschlossen, da Passwörter auch hierfür fast täglich geändert wurden
- alte PHP Version auch ausgeschlossen, da alle betroffenen Installationen mit PHP 5 und damit automatisch im register_globals off laufen (und auch wirklich off sind )
- Zugangsdaten zum Provider wurden auch regelmäßig geändert

Bleiben also nur noch die integrierten Filemanager der Editoren. Oder was meint ihr?

Gruß Leamaus

[Gert]

Hallo Leamaus,

da es sich um CMSimple SE handelt, kann ich nix dazu sagen. Dafür ist ausschliesslich der Anbieter verantwortlich.

Was ich weiss ist, dass CMSimple SE auf einer der ersten CMSimple_XH Versionen basiert, dass da eine Menge alter Plugins mitgeliefert werden, dass da mehrere alte Editoren dabei sind usw., es wird seit Jahren nur halbherzig weiterentwickelt, seit geraumer Zeit gar nicht mehr. Es ist noch ANSI codiert und somit für neue Plugins ungeeignet.

Die Domain, von der CMSimple SE zu haben ist, wurde von Jens Bröcher weitergegeben, ob verkauft oder geschenkt - keine Ahnung, es wurde nix offiziell mitgeteilt. Den neuen Domaininhaber kennt niemand von uns.

Von der Nutzung von CMSimple SE kann ich eigentlich nur abraten, auch wenn es mit dieser Sache nichts zu tun haben sollte,

Gruss - Gert

[Gert]

Bleiben also nur noch die integrierten Filemanager der Editoren. Oder was meint ihr?

Wenn irgendwo auf dem Server noch ein Script sitzt, das alle paar Stunden neu infiziert, kannst Du Passwörter ändern wie Du willst, es kommt immer wieder.

Ich weiss ja nicht, was alles auf der Domain installiert ist. Bei meinen Kunden habe ich oft Verzeichnisstrukturen vorgefunden, die für mich unkontrollierbar waren, weil ich ja nicht wusste, was da reingehört und was nicht. Aufgehört hat es dann, als ich den Kunden überreden konnte, sämtlichen alten Müll zu löschen, quasi die Domain leer zu machen, und CMSimple_XH neu zu installieren,

Gert

[Tata]

Die Erfahrung mit fremden Dateien (z.B. inndex.php, adminn.php loggin.php und andere) habe ich auch etwa vor einem Monat gehabt auf einer meinen Domainen. FTP Passwort und Login Veränderung hat (bis heute) alles gelösst.

[cmb]

Hallo leamaus,

Filebrowser sind prinzipiell immer ein potentieller Angriffspunkt für nicht authentisierte File-Uploads. Und, wie Gert bereits erwähnt hat, kann es natürlich sein, dass bereits ein Script installiert wurde, dass einfach von außen gestartet wird.

Zu den SE-Editoren: wenn der tinyMCE entsprechend Klaus' letzter Version gefixt wurde, könnte ein Angreifer noch die Session kapern. Da es aber auf mehreren Installationen passiert (ich gehe davon aus, dass diese auf verschiedenen Domains laufen), ist das wohl eher unwahrscheinlich. Mit openWYSIWYG können zwar keine Dateien geändert werden, aber trotzdem solltest Du diesen im Zweifel besser deinstallieren. Der CKEditor von SE 2010e hat, soweit ich weiß, keinen Filemanager. oEdit definitiv nicht. Bliebe noch der FCKeditor von Calendar, der soweit ich weiß aber auch abgesichert ist.

Ansonsten ist noch eine Sicherheitslücke bei occcal bekannt (aber da Du das nicht aufgelistet hast, ist es wohl nicht installiert; daran kann's dann nicht liegen).

Zu den neuen Editoren: ob immer die neuste Version aktuell für das CMSimple-Plugin eingepflegt wird, hängt natürlich von den Autoren ab. Eine kleine Verzögerung wird's aber immer geben. Das ist aber bezüglich der Filebrowser dieser Editoren kein Problem, da sie gar keine Filebrowser enthalten . Die Filebrowser sind externe Lösungen (bei CMSimple_XH >= 1.5 als eigenständige Plugins entwickelt). Da spielt die Aktualität ggf. eine entscheidendere Rolle bzgl. der Sicherheit. Das betrifft aber eigentlich nur den hi_kcfinder. Der interne Filebrowser ist eine Eigenentwicklung von Martin, der Ajaxfilemanager selbst wird eigentlich schon länger nicht mehr entwickelt (da schau ich aber von Zeit zu Zeit mal nach, ob vielleicht doch noch ein Bugfix veröffentlicht wird).

Ja, CMSimple_SE. Es sieht wohl wirklich so aus, als ob das nicht mehr weiter entwickelt wird. Von daher sicherlich nichts, worauf man für die Zunkunft noch setzen sollte.

Um noch mal auf das bereits installierte bösartige Script zurück zu kommen: hast Du mal die CMSimple-Programmdateien überprüft (z.B. eben die index.php). Es kann nämlich auch sein, dass diese modifiziert wurden.

Christoph