ConPresso Community

Fragen, Antworten, Diskussionen rund um das Content Management System ConPresso

 
gehackt - Dateien hochladen nicht mehr möglich HTTP 403

 
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> laufender Betrieb ConPresso 4
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Ulrich Krause
ConPresso-User


Anmeldungsdatum: 27.02.2007
Beiträge: 41
Wohnort: 63075 Offenbach

BeitragVerfasst am: 30.12.2013 18:15    Titel: gehackt - Dateien hochladen nicht mehr möglich HTTP 403 Antworten mit Zitat

Meine Seite www.gag-buergel.de ist "hacked by karim96" zum Opfer gefallen. Wie das passieren konnte?? Das _setup-Verzeichnis war allerdings noch vorhanden.
Es wurden in _data bilder gelöscht und bei pdf-Dateien unter Bezeichnung Einträge vorgenommen. (siehe Anhang)
Auf der SQL-Datenbank habe ich _data alle kaputten pdf-files gelöscht und auch in _data befinden sich nur noch Dateien, die auch auf der Datenbank vorhanden sind.
Unter Dateien kann ich noch Dateien ansehen und löschen. Bei hochladen bekomme ich jedoch HTTP 403.
Kann mir jemand helfen??
Ulrich





131230_gag_buergel__-dat_auszug.pdf - 163.6 KB
3860 mal

Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7022

BeitragVerfasst am: 30.12.2013 18:22    Titel: Antworten mit Zitat

Wie sieht es aus mit den Rechten des _data Verzeichnisses?
Hast Du Rechte und bist Du der Besitzer?

Die ganzen hochgeladenen PHP-Dateien sind übrigens viel problematischer als die PDFs...

Für die Zukunft solltest Du mod_track benutzen, um frühzeitig informiert zu werden.
Hat er sich normal eingeloggt?
Irgendwo muss es da eine verheerende Sicherheitslücke geben, die sich wohl in den falschen Kreisen rumspricht...

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Ulrich Krause
ConPresso-User


Anmeldungsdatum: 27.02.2007
Beiträge: 41
Wohnort: 63075 Offenbach

BeitragVerfasst am: 30.12.2013 20:11    Titel: Antworten mit Zitat

MarkusR hat Folgendes geschrieben:
Wie sieht es aus mit den Rechten des _data Verzeichnisses?
Hast Du Rechte und bist Du der Besitzer?

Hat er sich normal eingeloggt?
Irgendwo muss es da eine verheerende Sicherheitslücke geben, die sich wohl in den falschen Kreisen rumspricht...


Die Rechte habe ich. Besitzer?

Normals eingeloggt hat sich der Hacker heute nicht.

Es wäre schön, wenn Du mal auf die scripte und die Anwendung schaust.
Mit separater mail schicke ich Dir Zugangsdaten für FTP und Administrator für conpresso.

Ich habe mir schon überlegt, ob ich alles neu mache. So richtig viel Daten sind ja nicht vorhanden.
Ulirch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7022

BeitragVerfasst am: 30.12.2013 20:34    Titel: Antworten mit Zitat

Die Datei _admin/upload_files.php hatte die Rechte 200 statt 644, daher konntest Du die Datei nicht aufrufen.
Die Meldung erhieltest Du also nicht beim Hochladen sondern beim Versuch das Formular für den Dateiupload aufzurufen.
Ich habe es jetzt wieder auf 644 wie die anderen Dateien gestellt.

Ansonsten scheinst Du ja schon aufgeräumt zu haben.

Leider ist Dein Logfile auf 5 Tage eingestellt, daher ist außer Deinen heutigen Aktionen nichts zu sehen.
Auch das FTP-Log gibt keinen Aufschluss, da der Angriff wohl direkt über ConPresso lief.
Leider sieht man in Deinem Screenshot nicht mit welcher Userkennung die Dateien hochgeladen wurden. Weißt Du das noch?

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7022

BeitragVerfasst am: 30.12.2013 20:42    Titel: Antworten mit Zitat

Laut dem Serverlog kam Dein Angreifer mit der IP 197.207.101.205 aus Algerien.
Die Vorarbeit wurde aber schon einen Tag zuvor von der IP 5.11.46.96 aus Palästina geleistet.
Am 29.12 um 9:15:54 hatte 1&1 bereits festgestellt, daß es einen Hacker-Angriff gab. Haben Dir die das nicht mitgeteilt? Schau mal unter logs/forensic

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7022

BeitragVerfasst am: 30.12.2013 21:33    Titel: Antworten mit Zitat

Definitiv war das eine SQL-Injection.

Daher hier nochmal der Hinweis an ALLE, daß man zumindest ctracker installieren sollte
http://community.conpresso.de/viewtopic.php?t=3160

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Ulrich Krause
ConPresso-User


Anmeldungsdatum: 27.02.2007
Beiträge: 41
Wohnort: 63075 Offenbach

BeitragVerfasst am: 30.12.2013 22:16    Titel: Antworten mit Zitat

Es war als admin-user jedenfalls karim96 angelegt. Mit welchem User die Dateien hochgeladen wurden, darauf habe ich nicht geachtet.

Auf jeden fall danke, danke und nochmals danke für die schnelle Hilfe. Very Happy Ich wünsche Dir einen guten Start ins neue Jahr.
Ulrich
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Ulrich Krause
ConPresso-User


Anmeldungsdatum: 27.02.2007
Beiträge: 41
Wohnort: 63075 Offenbach

BeitragVerfasst am: 30.12.2013 22:36    Titel: Antworten mit Zitat

Zu 1und1 möchte ich noch sagen:
um 12.24 habe ich per E-Mail lt. Anlage geschrieben, da überhaupt kein Zugriff auf die Homepage möglich war. Ca. gegen 14.00 Uhr war der Zugang wieder möglich, jedoch war die Anzeige noch nicht sauber (eine Datei fehlte). Um 17.41 Uhr informiert mich 1und1. Wegen der fehlerhaften Daten meint die Dame am Telefon, das wird sich sicher auch noch geben.

Von einem Hacker-Angriff war überhaupt nie die Rede. Es ist schon stark, mich einfach im Dunkeln tappen zu lassen.

Nochmal Danke
Ulrich





131229_1un1_support_center.pdf - 111.85 KB
266 mal

Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Ulrich Krause
ConPresso-User


Anmeldungsdatum: 27.02.2007
Beiträge: 41
Wohnort: 63075 Offenbach

BeitragVerfasst am: 31.12.2013 12:50    Titel: Antworten mit Zitat

noch ein Nachsatz zu 1und1:
zur Ehrenrettung will ich hinzufügen, daß um 12 Uhr bereits eine E-Mail von 1und1 mit der Hackermeldung herausging. Es ist jedoch die E-Mail-Adresse der Kirchengemeinde hinterlegt (hab ich jetzt geändert) und dort war niemand.

Jetzt läuft wieder alles
Ulrich
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
Beiträge der letzten Zeit anzeigen:   
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> laufender Betrieb ConPresso 4 Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen