Hacker-Angriff?

ImmoF · Beitrag von **ImmoF** » Mo 30. Jan 2006, 21:20

Heute finde folgende sehr merkwuerdige Eintraege im Admin-Log:

[26-Jan-2006 03:07:18] PHP Warning: main(prepend.php3): failed to open stream: No such file or directory in /home/XXX/contenido/includes/config.php on line 411
[26-Jan-2006 03:07:18] PHP Warning: main(): Failed opening 'prepend.php3' for inclusion (include_path='.') in /home/XXX/contenido/includes/config.php on line 411
[26-Jan-2006 03:07:19] PHP Fatal error: Cannot redeclare safemode() (previously declared in http://nooob.altervista.org/pelo.txt?in ... nc.php:123) in http://nooob.altervista.org/pelo.txt?in ... eneral.php on line 123
[26-Jan-2006 17:19:06] PHP Warning: main(http://ess.trix.net/therules.dat): failed to open stream: HTTP request failed! HTTP/1.1 403 Forbidden
in http://www.s0l4r1sr0x.com/tool.gif?incl ... ql.inc.php on line 13
[26-Jan-2006 17:19:06] PHP Warning: main(): Failed opening 'http://ess.trix.net/therules.dat' for inclusion (include_path='.') in http://www.s0l4r1sr0x.com/tool.gif?incl ... ql.inc.php on line 13
[26-Jan-2006 17:19:07] PHP Warning: main(prepend.php3): failed to open stream: No such file or directory in /home/XXX/contenido/includes/config.php on line 411
[26-Jan-2006 17:19:07] PHP Warning: main(): Failed opening 'prepend.php3' for inclusion (include_path='.') in /home/XXX/contenido/includes/config.php on line 411
[26-Jan-2006 17:19:10] PHP Warning: main(http://ess.trix.net/therules.dat): failed to open stream: HTTP request failed! HTTP/1.1 403 Forbidden
in http://www.s0l4r1sr0x.com/tool.gif?incl ... eneral.php on line 13

... oder sind das nur Bots, die keine ausreichendes Rechte haben

Beitrag von **Halchteranerin** » Mo 30. Jan 2006, 21:35

Wie waer's, wenn du einfach mal die Forumssuche mit "Hacker" oder "gehackt" bemuehen wuerdest?

Beitrag von **emergence** » Mo 30. Jan 2006, 22:31

ähm so unintressant find ich das nicht...
nicht jeder hack findet auf die selbe art und weise statt...

@ImmoF
irgendwelche negativen auswirkungen entdeckt ? (ausser die errorlog einträge ?)

bluefish · Beitrag von **bluefish** » Mo 30. Jan 2006, 22:42

Code: Alles auswählen

[26-Jan-2006 03:07:19] PHP Fatal error: Cannot redeclare safemode() (previously declared in http://nooob.altervista.org/pelo.txt?includes/cfg_sql.inc.php:123) in http://nooob.altervista.org/pelo.txt?includes/functions.general.php on line 123

Da wird ein PHP Fehler aufgezeigt. Allerdings sagt die Warnung auch, das der Fehler aus der Datei "http://nooob.altervista.org/pelo.txt?in ... eneral.php" kommt. Wenn Du da nicht zufällig Deine Contenidosourcen auslagerst, hast Du nicht angekündigten Besuch. Der Hack war erfolgreich. Frage ist jetzt nur, ob das ein automatisiertes "blödes" Skript ist, was auf solche Fehler nicht vorbereitet ist und aufgibt. Wenn ja, hast Du Glück gehabt. Dann passiert nichts. Wenn es der Angreifer drauf anlegt, kann er Dir aber auf jeden Fall die DB plätten, einen eigenen User in der DB anlegen, etc. Meistens zielen solche Angriffe aber darauf ab, den Server irgendwie übernehmen zu können und dann da schlimme Sachen zum Download anzubieten. Wenn Du einen ordentlichen Provider hast, dann kann das aber in der Regel nicht passieren und der Angreifer verliert das Interesse. Legt es der Angreifer aber darauf an, Dir die Seite zu plätten oder den Dateimanager für seine Zwecke zu missbrauchen hast Du ein Problem.

Hat einer im Forum mal Links zu den wichtigsten Beiträgen zum Thema Contenido Hacks? Sind ja schon eine ganze Menge.

ImmoF · Beitrag von **ImmoF** » Di 31. Jan 2006, 09:15

Negative Auswirkungen kann ich bis jetzt nicht feststellen. Der Server laeuft stabil und verursacht auch keinen besonderen Traffic.

Der erste Angriff dauerte am 26.01. nach ErrorLog 3 Sekunden. Dann wieder am gleichen Tag nachmittags 2x je ca. 10 Sekunden und dann noch einmal am 29.01. fuer 2x 10 Sek.

Alle Meldungen sind letztendlich identisch. Fuer mich sieht das aus, als ob der Einbruchsversuch erfolglos blieb.

Beitrag von **emergence** » Di 31. Jan 2006, 09:21

hmm...

welche contenido version ?

ImmoF · Beitrag von **ImmoF** » Di 31. Jan 2006, 09:28

4.4.1

Beitrag von **Dodger77** » Di 31. Jan 2006, 09:34

ImmoF hat geschrieben:4.4.1

Aber die evtl. bestehenden Sicherheitslücken hast du schon gefixt?

ImmoF · Beitrag von **ImmoF** » Di 31. Jan 2006, 09:39

Update faellt fuer mich leider zur Zeit aus. Gibt es sonst einen Ansatz?

Beitrag von **emergence** » Di 31. Jan 2006, 09:41

also die 4.4.1 hat ein paar wirklich schwere fehler, die du ohne update auf eine 4.4.6 fast nicht alleine weg kriegen wirst...

bluefish · Beitrag von **bluefish** » Di 31. Jan 2006, 11:29

Update faellt fuer mich leider zur Zeit aus. Gibt es sonst einen Ansatz?

Ich gebe emergence Recht, der 4.4.1 ist mit PHP Boardmitteln nicht beizukommen. Du kannst es dem Angreifer aber wesentlich schwieriger machen, an Dein System zu kommen. Dazu mußt Du die php.ini anpassen und "allow_url_fopen = off" setzen (wenn Du dazu die Möglichkeit hast, bei vielen Providern kann man die Option auch in der .htaccess setzen). Damit verbietest Du dem Server Dateien einzubinden die nicht auf Deinem Server liegen (also z.B. http://nooob.altervista.org/pelo.txt?in ... eneral.php). Damit haben sich dann 99% aller Atacken eredigt. Den jetzt muß der Angreifer richtig Gehirnschmalz einbringen, um seinen Code auf Deinem Server auszuführen. Solche Sicherheitslücken sind sehr schwer zu finden, wobei ich mir noch nicht mal sicher bin, ob sich Contenido so überhaupt angreifen lässt.

ImmoF · Beitrag von **ImmoF** » Di 31. Jan 2006, 13:12

Danke fuer den Tip. Werde das zunaechst umsetzen.

Ein Update habe ich bisher nicht gewagt, weil ich vermute, dass dann die Module nicht mehr sauber arbeiten. Wenn ich das Update richtig verstanden habe, werden letztendlich alle neuen Dateien einfach eingespielt und dann das Setup ausgefuehrt, was fuer die DB-Anpassung sorgt ... und genau das macht mir wirklich Angst.

Karlchen · Beitrag von **Karlchen** » So 12. Feb 2006, 20:25

Nur falls es einen interessiert, bei mir war so:
[12-Feb-2006 16:31:31] PHP Warning: sort() expects parameter 1 to be array, null given in /homepages/37/d32817082/htdocs/cms/front_content.php(563) : eval()'d code on line 1663
[12-Feb-2006 16:31:31] PHP Warning: Division by zero in /homepages/37/d32817082/htdocs/cms/front_content.php(563) : eval()'d code on line 1749
[12-Feb-2006 19:32:34] Invalid SQL: insert into con_phplib_active_sessions ( sid, name, val, changed ) values ('57b77eb5507c1dcce61b17a263d48adf', 'contenido', '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', '20060212193232')<br><br>
[12-Feb-2006 19:32:34] Session: freeze() failed.

Gruss Karlchen

Beitrag von **Halchteranerin** » So 12. Feb 2006, 20:38

Karlchen, das hat mit einem Angriff nichts zu tun. Die ersten beiden Meldungen stammen wohl von einem fehlerhaften Modul, und die letzten beiden werden dadurch entstanden sein, dass du nach zu langer Untaetigkeit von Contenido automatisch ausgeloggt wurdest (obwohl ich nicht dahinter gekommen bin, wann diese Fehlermeldung geschrieben wird, denn ich habe festgestellt, dass das nicht immer der Fall ist).

Karlchen · Beitrag von **Karlchen** » So 12. Feb 2006, 20:43

Merci! aber nach 19:32 war die Seite tot. Auch keine Eintrage mehr im Log...
Hatte vorher ganz oft Einträge dieser Art:
[07-Feb-2006 18:01:06] PHP Warning: mysql_connect(): Too many connections in /homepages/37/d32817082/htdocs/conlib/db_mysql.inc on line 76
[07-Feb-2006 18:01:06] connect(db239.puretec.de, dbo86778825, $Password) failed.
[07-Feb-2006 18:01:06] lock() failed.
[07-Feb-2006 18:01:06] cannot lock con_sequence - has it been created?
[07-Feb-2006 18:01:06] PHP Warning: mysql_connect(): Too many connections in /homepages/37/d32817082/htdocs/conlib/db_mysql.inc on line 76
[07-Feb-2006 18:01:06] connect(db239.puretec.de, dbo86778825, $Password) failed.
Vielleicht war dies ja der Grundstein?