Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 08. September 2015 08:33

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

1blu --> Angriff über CMS Made Simple

Hallo Zusammen,

wir haben folgendes Problem:
1blu hat uns nun zum zweitem male ausgesperrt.
Schuld soll ein "Plugin" oder fehlerhaftes "Script" sein,
worüber SPAM verschickt wird.
Wir haben die Version 1.12., auf dem aktuellsten Stand.

Wer hat einen Rat? Woran kanns liegen??

Offline

#2 08. September 2015 08:35

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.807
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Gibt 1blu einen Hinweis welches Script dafür verantwortlich sein soll? Meistens bekommt man mit der Meldung auch den Pfad der Datei.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#3 08. September 2015 08:38

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

Nein, leider nicht! Auch auf telefonische Anfrage konnte man nichts genaues sagen.

Offline

#4 08. September 2015 08:38

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.115

Re: 1blu --> Angriff über CMS Made Simple

Hattest Du die Sicherheitstipps umgesetzt?
Hast Du die neusten Beiträge zum Thema Angriffe auf Webseiten gelesen?
Existiert das Install-Verzeichnis noch?

Offline

#5 08. September 2015 08:39

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.807
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Dann sollten die den Webspace auch ohne Grund wieder entsperren. Keine Sperrung ohne Grund.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#6 08. September 2015 08:41

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

Sicherheitstipps allesamt umgesetzt, sowie das Installverzeichnis  gelöscht!
Zunächst hatte ich genau dort, das Einfalltor vermutet. Nachdem alles
gestopft war - war nach 5 Tagen der Zugriff wieder gesperrt!

Offline

#7 08. September 2015 08:50

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.115

Re: 1blu --> Angriff über CMS Made Simple

Nachdem alles gestopft war - war nach 5 Tagen der Zugriff wieder gesperrt!

Du hast die Sicherheitslücken gestopft, nachdem bereits jemand Deine Webseite gehackt hat? Dir wird einleuchten, dass das keinen Sinn macht, oder? Denn wenn z.B. bereits Schadcode auf dem Server ist, dann bleibt der da und macht weiterhin seinen Schabernack.

Wenn Dir Dein Provider nicht sagen kann, warum er die Webseite gesperrt hat, dann können wir hier leider auch nicht mehr sagen.

Welche Module/Plugins kommen denn zum Einsatz?
Läuft da noch etwas anderes auf dem Webspace?

Ein Script worüber SPAM verschickt wird, klingt nach CMSMailer, Newsletter Made Simple oder Formbuilder. Aber ich kann mir nicht vorstellen, dass diese Module dazu benutzt wurden.

Ich würde vorschlagen, die Seite via FTP herunterzuladen und lokal mit einem Virenscanner zu prüfen, ob und wo da Schadcode enthalten ist.

Offline

#8 08. September 2015 09:12

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

Nachdem bekannt wurde, dass es einen Hackerangriff gegeben hat. Haben wir sämtliche Zugangspasswörter geändert. Knapp eine Woche danach begannen die Probleme. Nach der ersten Sperrung haben wir den Server leergeräumt und komplett neu aufgespielt.
Das Sicherheitsupdate, war wie gesagt, schon zuvor eingespielt.
Wir haben nun den CMSMailer deaktiviert...

Offline

#9 08. September 2015 10:17

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.115

Re: 1blu --> Angriff über CMS Made Simple

Wir haben nun den CMSMailer deaktiviert...

Ich würde den gesamten Webspace überprüfen.
Ebenso die Accesslogs.
Denn ich bezweifle, dass das Problem allein am CMSmailer liegt.

Offline

#10 08. September 2015 11:26

mike-r
CMS/ms-Profi
Registriert: 21. Dezember 2010
Beiträge: 898
Webseite

Re: 1blu --> Angriff über CMS Made Simple


Unablässige Tools für's Webdevelopement/ Fehlerfindung: CSS Validierungsservice, Bildschirmlineal, Firebug, Tidy, Deutsche CSS-Referenz

Offline

#11 08. September 2015 14:29

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: 1blu --> Angriff über CMS Made Simple

FCOe schrieb:

Nein, leider nicht! Auch auf telefonische Anfrage konnte man nichts genaues sagen.

Quatsch!!

Die sehen in ihren Logs ganz genau, welches Script Probleme verursacht ... genau dafür laufen die Dinger ja mit.


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#12 15. September 2015 09:04

leerraum
arbeitet mit CMS/ms
Ort: Baden-Baden
Registriert: 15. Dezember 2010
Beiträge: 471
Webseite

Re: 1blu --> Angriff über CMS Made Simple

witzig, da scheint wohl grade was im umlauf zu sein. ich hatte eine woche vorher auch fein gehacktes. zum glück nur eine seite.


Designer benötigt? Einfach eine Mail an info at lrrm dot de schicken.

Offline

#13 15. September 2015 09:48

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Auch bei 1blu?


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#14 15. September 2015 10:20

leerraum
arbeitet mit CMS/ms
Ort: Baden-Baden
Registriert: 15. Dezember 2010
Beiträge: 471
Webseite

Re: 1blu --> Angriff über CMS Made Simple

nope, einer meiner kunden hat auf seinen provinz hoster bestanden. ich trete da jetzt nicht nach. bei meinem stammhoster ist mir das nicht passiert.


Designer benötigt? Einfach eine Mail an info at lrrm dot de schicken.

Offline

#15 15. September 2015 11:46

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: 1blu --> Angriff über CMS Made Simple

leerraum schrieb:

hat auf seinen provinz hoster bestanden.

Und der ist dann bloß Reseller von 1blu big_smile big_smile big_smile ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#16 15. September 2015 12:50

leerraum
arbeitet mit CMS/ms
Ort: Baden-Baden
Registriert: 15. Dezember 2010
Beiträge: 471
Webseite

Re: 1blu --> Angriff über CMS Made Simple

hmmmmm...... auf die idee bin ich nicht gekommen, würde mich jetzt aber auch nicht erstaunen.


Designer benötigt? Einfach eine Mail an info at lrrm dot de schicken.

Offline

#17 15. September 2015 12:56

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Bin auch nur darauf gekommen, weil ja 1blu ... ich sags mal so ... medial sehr präsent war wink.

Von weiteren Attacken auf andere Hoster hab ich nix gehört (kann ja meine Ohren aber auch nicht überall haben big_smile).


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#18 22. September 2015 15:37

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

So, nachdem alles gelöscht  und neu aufgespielt worden ist, lief das ganze ca. 1 Woche, danach wurde der Account wieder gesperrt wegen SPAM-Versendung.

Nun hat man mir den Hinweis gegeben, dass die fehlerhaften Scripts im Verzeichnis Admin lägen.
Weitere genaue Auskunft wäre nicht möglich.

Wer hat einen Tipp??

Offline

#19 22. September 2015 15:56

leerraum
arbeitet mit CMS/ms
Ort: Baden-Baden
Registriert: 15. Dezember 2010
Beiträge: 471
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Hat der Kunde Admin-Zugang? wenn ja soll der Kunde alles auf seinem rechner überprüfen. Oder hat 1blu immer noch offene Lücken?


Designer benötigt? Einfach eine Mail an info at lrrm dot de schicken.

Offline

#20 22. September 2015 16:05

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Naja, dass ein vermeintliches /admin-Verzeichnis der primäre Angriffsvektor einer Webseite ist, sehe ich hier täglich in den Logs. (Jedoch sollte man auf einer Seite wie unserer eigentlich nicht nach /wpadmin suchen tongue cool ...)

Ein Tipp?

Kurz und schmerzlos - /admin komplett löschen, neu hochladen, /admin-Verzeichnis umbenennen, den neuen Verzeichnisnamen via Parameter in die config.php einfügen und via .htaccess mit passwort absichern (wie bereits im security-Thread empfohlen). Und natürlich Passwörter noch einmal komplett ändern.

By the way - hattest du die Security-Threads vollständig umgesetzt?

http://www.cmsmadesimple.de/forum/viewtopic.php?id=18
http://www.cmsmadesimple.de/forum/viewtopic.php?id=765
http://www.cmsmadesimple.de/forum/viewtopic.php?id=1673

Beitrag geändert von cyberman (22. September 2015 19:47)


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#21 01. Oktober 2015 12:19

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

So, nun habe ich nach langer Zeit endlich mal eine Auskunft von 1blu erhalten, womit man was anfangen kann. Über folgende Scripte wurde SPAM versendet:

{HEX}php.base64.v23au.185 : www/cmss/modules/ThemeManager/images/view.php
{HEX}php.base64.v23au.185 : www/cmss/lib/lang/tasks/lib62.php
{HEX}php.base64.v23au.185 : www/cmss/verwaltung/themes/OneEleven/css/lib.php

Offline

#22 01. Oktober 2015 12:35

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Du ahnst es sicherlich bereits - alle 3 Dateien sind NICHT Bestandteil des Original CMSMS.

Da der Eindringling die Dateien relativ tief im System versteckt hat, gehe ich davon aus, dass er vollen Zugriff auf die Dateistruktur hat.

Von daher solltest du dich intensiv mit den geposteten Topics beschäftigen wink.


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#23 01. Oktober 2015 12:41

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

Ich habe die Sicherheitsanweisungen abgearbeitet, soweit sie noch nicht durchgeführt waren, mit dem Ergebnis, dass ich mich vom ftp-Zugang selbst ausgesperrt habe!  hmm

Mir scheint, dass man über root-Rechte auf dem Webspace/Server zugreift.....die normalen Zugänge sind kryptische Passwörter und zum wiederholten Male geändert.

Offline

#24 01. Oktober 2015 12:46

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.878
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Hast du selbst root Rechte?

Falls nein, würde ja der schwarze Peter bei deinem Hoster liegen roll ...

By the way - laufen auf dem Host noch andere Domains / andere Software? Gerade Wordpress steht ja unter Dauerbeschuss.


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#25 01. Oktober 2015 12:49

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.115

Re: 1blu --> Angriff über CMS Made Simple

Mir scheint, dass man über root-Rechte auf dem Webspace/Server zugreift

Könnte man das nicht überprüfen, indem man den Eigentümer der Dateien ermittelt?

Offline