Gehacket

[merpil]

Hallo,

ich wurde zum 2. mal jetzt gehacket. Gibt es den keine lösung die Admin login zu schützen? Wie kann ich meine seite schützen?

[gernot]

hi,

also was mir jetzt spontan einfallen würde entsprechende ordner zusätzlich mit htaccess zu schützen. so mußt du warscheinlich dann zwar 2x dich anmelden aber htaccess ist ja recht sicher. mal hören was kevin dazu sagt

gruß gernot

[Kevin]

Also das eingebrochen wurde tut mir sehr leid, aber ohne konkretere Infos kann ich leider nicht helfen.
Ich benötige am besten Server Logs von dem Tag wo es passiert ist.

Darüber hinaus Infos welche BIGACE Version und welche Plugins verwendet wurden.

Es gibt natürlich grundsätzlich Mechanismen um seinen Auftritt sicherer zu machen, wie z.B. von Gernot vorgeschlagen .htacess Files zu verwenden um den Zugriff auf Systemordner zu unterbinden.

Lief bei Dir noch etwas anderes als BIGACE, also z.B. ein Forum? Hast Du bei der Installation mit .htaccess installiert oder ohne?

[merpil]

Hallo Kevin,

erstmal vielen dank für deine Hilfe. Ich schicke dir die Logfiles per PM. Es wird mittlerweile jedentag gehackt von "Hackturkey". .htacess files sind nur an ein paar ordnern und nicht überall weil ich nicht weiss wohin überall rein darf? Ich habe 2 Plugins 1x iframeplugin und einmal: Bildergalerie

Bitte Hilft mir damit diese elend eine ende findet, ich kann die hackseite nicht mehr sehen. Danke

[gernot]

"Hackturkey  die idioten sind das.   die haben sich das scheinbar zum sport gemacht CMS systeme zu hacken. bei meinem Kollegen das Joomla haben die auch schon gehackt.  Was helfen könnte wenn du die möglichkeit hast deren IP's zu sperren.   die werden zwar dann versuchen vie Proxy reinzukommen. 

Habe meinen Hoster mal gefragt was wir gemacht haben.

faktisch kann man da nix gegen machen. der virenscanner und alle tools ziehen jetzt im 2-stunden-rhythmus updates und 3 mal am tag erfolgt ein kompletter virenscan. weiterhin wurde mein kollege sein shell-account umbenannt da er mit den zugangsdaten der domain identisch war
wenn ein php script anfällig ist und man code auf das zielsystem bringen kann ist hopfen und malz verloren
dann kann man da gemütlich im hintergund per brute force passwörter rausgraben
dazu brauch der angreifer keine verbindung mehr. das zielsystem hackt sich quasi selbst

bei meinem kollegen gab es eine r.php über die der angreifer lokale remoteshell programme starten konnte. Diese liegt bei uns in quarantäne.
Wir haben bei uns avira laufen auf recht hocher stufe.

bei joomla war es ein problem mit dem access token (stellt sicher das nicht zu oft wiederholt loginversucher erfolgen können etc.)

er sollte mal seine apache logs posten falls sie noch existieren
dann sieht man welches dokument der eingang war
die access logs fänd ich halt äußerst interessant. hab ja nu doch ein ein wenig ahnung von php

ehm welchen ordner du noch nehmen kannst denke ich mal Kevin möger mich berichtigen falls ich falsch liege wäre der adminordner.

@Kevin wenn du magstr kann ich dir die r.php mal zukommen lassen vieleicht hieft die dir weiter.

[Kevin]

Also, so beim ersten Durchblicken habe ich in den Logs nichts finden können.
Es laufen noch externe Skripte auf der Domain, die darf man nicht vernachlässigen, auch dort könnte die Schwachstelle sitzen, z.B. das reservierungsskript.

Womit ich natürlich nicht ausschließen will, das es trotzdem an BIGACE liegen könnte.

Interessant wäre den IP Adressraum zu vergleichen, das mache ich nachher mal. Wenn man dann weiß, welche IP Adresse es wahrscheinlich war, schaut man einfach durch, welche URLs von denen aufgerufen wurden und kann so die Problemstelle stark eingrenzen.

Kannst Du sagen um wieviel Uhr das passiert ist, damit ich den Umfang der Logfiles eingrenzen kann?

Die Ordner system/ misc/ consumer/ und plugins/ kannst Du via .htacess schützen

[Kevin]

Wenn es denen wenigstens darum ginge Sicherheitslücken aufzuzeigen, aber die sind scheinbar nur am zerstören interessiert... Idioten Pack...

Also nur kurz zwei Anmerkungen meinerseits:
1. Ein Login bzw. Link zur Anmeldung sollte man lieber nicht in öffentliche Seiten bauen, wenn es keinen Grund dafür gibt.. "die Geister die ich rief"
2. Hast Du jedesmal die Passwörter zu den Accounts geändert? Eventuell den Benutzernamen via Datenbank ändern und das Passwort mal stärken, z.B. 20 Zeichen und Kombination aus Zahlen, Buchstaben und Sonderzeichen, das knackt kein Brute Force...

[merpil]

Ich habe leider nur am 24. April merken können wann der seite gehackt wurde und es war um 14.40 rum, den ich was auf der seite beschäftigt. Da war auch der IP nr: 78.164.111.158 unterwegs.

Ich habe wie empfohlen, in den Ordnern system/ misc/ consumer/ und plugins/  .htaccess angelegt. Benutzernamen geändert und die Passwörter mit 16 zeichen (Klein & großBS., Zahlen und sonderzeichen ) verstärkt.

Ich weiss auch, dass nach der hacken die andere admin als inaktiv (gesperrt) makiert wird. Der Res. Script hat seine eigene DB und eigene ordner, und er funktioniert auch wenn der seite gehackt ist! Ich weiss nicht ob der schwachstelle sein sollte?

LG

[Kevin]

Tja, also die Einträge in den Logs geben zu dem Zeitpunkt nichts her. Automatisierte Hackerangriffe weisst quasi jedes Logfile auf, immer wird nach bekannten URLs gesurft wie /wp-admin/ oder Frontpage Extensions wie in Deinem Fall (/_vti_bin/shtml.exe/_vti_rpc).

Was ich aber schon merkwürdig finde sind folgende Tatsachen:

In Deinen Logfiles vom 24 und 26 finden sich solche Aufrufe:
/public/index.php?cmd=admin&id=ajaxCommand_tADMIN_lde&treeID=5&ajaxCmd=DeletePage

Dies wiederholt sich mehrfach exakt mit den IDs "treeID=5", "treeID=20" ... die es auf Deiner Seite gibt.

Probier die URL mal aus, die kann man nur aufrufen, wenn man angemeldeter Benutzer ist.

Das gleiche gilt für Aufrufe zur Benutzeradministration:

/public/index.php?cmd=admin&id=userAdmin_tADMIN_lde&mode=admin&data[id]=3

Hier werden die Benutzer mit den IDs 1, 2 und 3 aufgerufen.

Warst Du das selbst, oder haben die Hacker eventuell Dein Passwort geknackt und dann manuell die Seiten gelöscht?

Genauso geht aus den Logfiles hervor, das Stylesheets und Templates gelöscht werden.

Ich würde vermuten, das in meinen Logfiles solche Angriffe auch zu sehen wären, wenn es eine offizielle Lücke wäre.
Könntest Du mal bei Dir nachschauen Gernot?!?

Achso, diese Hacker Seite die dann zu sehen ist, kommt die aus BIGACE oder ist das eine HTML Seite die auf dem Server liegt?

Änder auch die Passwörter der anderen Benutzeraccounts oder deaktiviere die vorübergehend.

[gernot]

jo kannich machen.  ehm in den apche logs werde ich sicher nicht wirklich viel finden, zum glück haben sie es  noch nicht versucht bei mir. ich schaue mal in den bigace logs was da so steht

[Kevin]

Also eigentlich müsste ja in den Apache Logs stehen... bei meinen Seiten konnte ich jedenfalls nichts auffälliges finden...

[merpil]

Es existiert nur 2 admin account und keine weitere ( außer +all ) Die hack seite ist nur html die nicht in dem server liegt. Ich glaube dass di index.tpl ändern!?

2 screenshot als Anhang falls das was bringt und eine Ansicht über dem Linkaufruf ( /public/index.php?cmd=admin&id=ajaxCommand_tADMIN_lde&treeID=5&ajaxCmd=DeletePage )

[Kevin]

Der Linkaufruf klappt aber NUR wenn man angemeldet ist. Wenn Du nicht angemeldet bist, erschint die Login Seite.
Ich hoffe Du hast das auf einem Testsystem ausprobiert, ansonsten hast Du Dir gerade einen Seite gelöscht...

Okay, das heisst die müssen manuell das Template ändern, ich glaube nicht das das automatisiert abläuft.

Ja klar, hatte ich übersehen, ein Admin, ein Anonymer und ein weiterer Benutzer Account, logisch...

Dann deaktivier den zusätzlichen Account vorerst mal.

[gernot]

also ich habe jetzt mal die logs der letzten  woche durchgeschaut vom webserver da war nix besonderes
nur was komisch war ist das

77.208.120.68 - - [19/Apr/2009:23:55:52 +0200] "GET /public/index.php?cmd=file&id=4_lde HTTP/1.1" 200 5714 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:52 +0200] "GET /public/index.php?cmd=file&id=3_lde HTTP/1.1" 200 5714 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:52 +0200] "GET /public/index.php?cmd=file&id=2_lde HTTP/1.1" 200 5713 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:51 +0200] "GET /public/index.php?cmd=file&id=0_lde HTTP/1.1" 200 5713 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:51 +0200] "GET /public/index.php?cmd=application&id=3_tauth_kform_l HTTP/1.1" 200 4522 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:51 +0200] "GET /public/index.php?cmd=application&id=2_tauth_kform_l HTTP/1.1" 200 4522 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:50 +0200] "GET /public/index.php?cmd=image&id=1 HTTP/1.1" 200 5714 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:50 +0200] "GET /public/index.php?cmd=application&id=1_tauth_kform_l HTTP/1.1" 200 4522 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:49 +0200] "GET /public/index.php?cmd=image&id=9 HTTP/1.1" 200 5713 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:49 +0200] "GET /public/index.php?cmd=image&id=8 HTTP/1.1" 200 5713 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:49 +0200] "GET /public/index.php?cmd=image&id=12 HTTP/1.1" 200 5713 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:48 +0200] "GET /public/index.php?cmd=image&id=11 HTTP/1.1" 200 5713 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:48 +0200] "GET /public/index.php?cmd=image&id=10 HTTP/1.1" 200 5712 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:47 +0200] "GET /public/index.php?cmd=application&id=0_tauth_kform_l HTTP/1.1" 200 4522 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:47 +0200] "GET /public/index.php?cmd=application&id=-1_tauth_kform_l HTTP/1.1" 200 4525 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:46 +0200] "GET /public/index.php?cmd=application&id=-1_tauth_kregister_lde HTTP/1.1" 200 6689 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:46 +0200] "GET /public/index.php?cmd=smarty&id=9_l HTTP/1.1" 200 4495 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:45 +0200] "GET /public/index.php?cmd=smarty&id=6_l HTTP/1.1" 200 5697 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:44 +0200] "GET /public/index.php?cmd=smarty&id=5_l HTTP/1.1" 200 4025 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:44 +0200] "GET /public/index.php?cmd=smarty&id=3_l HTTP/1.1" 200 12059 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:43 +0200] "GET /public/index.php?cmd=smarty&id=2_l HTTP/1.1" 200 10470 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:42 +0200] "GET /public/index.php?cmd=smarty&id=1_l HTTP/1.1" 200 9089 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:41 +0200] "GET /public/./pages/downloads/hapedit.rar HTTP/1.1" 500 752 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:41 +0200] "GET /public/./pages/downloads/gugel-pos.exe HTTP/1.1" 500 752 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:40 +0200] "GET /public/index.php?cmd=smarty&id=0_l HTTP/1.1" 200 8535 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:40 +0200] "GET /public/index.php?cmd=smarty&id=-1_l HTTP/1.1" 200 5707 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:39 +0200] "GET /public/index.php?cmd=image&id=0 HTTP/1.1" 200 5713 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:39 +0200] "GET /public/system/images/security.png HTTP/1.1" 200 3072 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:38 +0200] "GET /public/index.php?cmd=application&id=-1_tauth_kform_lde HTTP/1.1" 200 4534 "-" "Java/1.6.0_04"
77.208.120.68 - - [19/Apr/2009:23:55:38 +0200] "GET / HTTP/1.1" 200 5713 "-" "Java/1.6.0_04"

in den logs vom cms habe ich das noch  sseeeehhhhhrrrrr oft :

ID     48071
Namespace    system
Datum    26.04.2009 15:36:14
Level    Script
Datei    /srv/www/deejayw.de/public_html/addon/smarty/plugins/function.link.php
Zeile    54
Benutzer    1
Titel    
Nachricht    Undefined index: command

[merpil]

Stimmt, einer der seite wurde dadurch gelöscht. Ich kann aber jetzt keine Seite editieren (auch mit einem neuen admin account nicht), kann das mit der .htaccess zusammen liegen? Ich bekomme beim speichern die meldung: "Fehler beim Speichern der Seite" Woran liegt das?