gehackt - Dateien hochladen nicht mehr möglich HTTP 403

Fragen und Diskussionen zu laufenden ConPresso 4.x Projekten werden in diesem Forum diskutiert.
Antworten
Ulrich Krause
ConPresso-User
Beiträge: 41
Registriert: 27.02.2007 09:41
Wohnort: 63075 Offenbach
Hat sich bedankt: 4 Mal

gehackt - Dateien hochladen nicht mehr möglich HTTP 403

Beitrag von Ulrich Krause »

Meine Seite www.gag-buergel.de ist "hacked by karim96" zum Opfer gefallen. Wie das passieren konnte?? Das _setup-Verzeichnis war allerdings noch vorhanden.
Es wurden in _data bilder gelöscht und bei pdf-Dateien unter Bezeichnung Einträge vorgenommen. (siehe Anhang)
Auf der SQL-Datenbank habe ich _data alle kaputten pdf-files gelöscht und auch in _data befinden sich nur noch Dateien, die auch auf der Datenbank vorhanden sind.
Unter Dateien kann ich noch Dateien ansehen und löschen. Bei hochladen bekomme ich jedoch HTTP 403.
Kann mir jemand helfen??
Ulrich
Dateianhänge
131230_gag_buergel__-dat_auszug.pdf
(163.6 KiB) 4740-mal heruntergeladen
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7338
Registriert: 01.01.1970 01:00
Hat sich bedankt: 109 Mal
Danksagung erhalten: 930 Mal
Kontaktdaten:

Beitrag von MarkusR »

Wie sieht es aus mit den Rechten des _data Verzeichnisses?
Hast Du Rechte und bist Du der Besitzer?

Die ganzen hochgeladenen PHP-Dateien sind übrigens viel problematischer als die PDFs...

Für die Zukunft solltest Du mod_track benutzen, um frühzeitig informiert zu werden.
Hat er sich normal eingeloggt?
Irgendwo muss es da eine verheerende Sicherheitslücke geben, die sich wohl in den falschen Kreisen rumspricht...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Ulrich Krause
ConPresso-User
Beiträge: 41
Registriert: 27.02.2007 09:41
Wohnort: 63075 Offenbach
Hat sich bedankt: 4 Mal

Beitrag von Ulrich Krause »

MarkusR hat geschrieben:Wie sieht es aus mit den Rechten des _data Verzeichnisses?
Hast Du Rechte und bist Du der Besitzer?

Hat er sich normal eingeloggt?
Irgendwo muss es da eine verheerende Sicherheitslücke geben, die sich wohl in den falschen Kreisen rumspricht...
Die Rechte habe ich. Besitzer?

Normals eingeloggt hat sich der Hacker heute nicht.

Es wäre schön, wenn Du mal auf die scripte und die Anwendung schaust.
Mit separater mail schicke ich Dir Zugangsdaten für FTP und Administrator für conpresso.

Ich habe mir schon überlegt, ob ich alles neu mache. So richtig viel Daten sind ja nicht vorhanden.
Ulirch
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7338
Registriert: 01.01.1970 01:00
Hat sich bedankt: 109 Mal
Danksagung erhalten: 930 Mal
Kontaktdaten:

Beitrag von MarkusR »

Die Datei _admin/upload_files.php hatte die Rechte 200 statt 644, daher konntest Du die Datei nicht aufrufen.
Die Meldung erhieltest Du also nicht beim Hochladen sondern beim Versuch das Formular für den Dateiupload aufzurufen.
Ich habe es jetzt wieder auf 644 wie die anderen Dateien gestellt.

Ansonsten scheinst Du ja schon aufgeräumt zu haben.

Leider ist Dein Logfile auf 5 Tage eingestellt, daher ist außer Deinen heutigen Aktionen nichts zu sehen.
Auch das FTP-Log gibt keinen Aufschluss, da der Angriff wohl direkt über ConPresso lief.
Leider sieht man in Deinem Screenshot nicht mit welcher Userkennung die Dateien hochgeladen wurden. Weißt Du das noch?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7338
Registriert: 01.01.1970 01:00
Hat sich bedankt: 109 Mal
Danksagung erhalten: 930 Mal
Kontaktdaten:

Beitrag von MarkusR »

Laut dem Serverlog kam Dein Angreifer mit der IP 197.207.101.205 aus Algerien.
Die Vorarbeit wurde aber schon einen Tag zuvor von der IP 5.11.46.96 aus Palästina geleistet.
Am 29.12 um 9:15:54 hatte 1&1 bereits festgestellt, daß es einen Hacker-Angriff gab. Haben Dir die das nicht mitgeteilt? Schau mal unter logs/forensic
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7338
Registriert: 01.01.1970 01:00
Hat sich bedankt: 109 Mal
Danksagung erhalten: 930 Mal
Kontaktdaten:

Beitrag von MarkusR »

Definitiv war das eine SQL-Injection.

Daher hier nochmal der Hinweis an ALLE, daß man zumindest ctracker installieren sollte
http://community.conpresso.de/viewtopic.php?t=3160
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Ulrich Krause
ConPresso-User
Beiträge: 41
Registriert: 27.02.2007 09:41
Wohnort: 63075 Offenbach
Hat sich bedankt: 4 Mal

Beitrag von Ulrich Krause »

Es war als admin-user jedenfalls karim96 angelegt. Mit welchem User die Dateien hochgeladen wurden, darauf habe ich nicht geachtet.

Auf jeden fall danke, danke und nochmals danke für die schnelle Hilfe. :D Ich wünsche Dir einen guten Start ins neue Jahr.
Ulrich
Ulrich Krause
ConPresso-User
Beiträge: 41
Registriert: 27.02.2007 09:41
Wohnort: 63075 Offenbach
Hat sich bedankt: 4 Mal

Beitrag von Ulrich Krause »

Zu 1und1 möchte ich noch sagen:
um 12.24 habe ich per E-Mail lt. Anlage geschrieben, da überhaupt kein Zugriff auf die Homepage möglich war. Ca. gegen 14.00 Uhr war der Zugang wieder möglich, jedoch war die Anzeige noch nicht sauber (eine Datei fehlte). Um 17.41 Uhr informiert mich 1und1. Wegen der fehlerhaften Daten meint die Dame am Telefon, das wird sich sicher auch noch geben.

Von einem Hacker-Angriff war überhaupt nie die Rede. Es ist schon stark, mich einfach im Dunkeln tappen zu lassen.

Nochmal Danke
Ulrich
Dateianhänge
131229_1un1_support_center.pdf
(111.85 KiB) 349-mal heruntergeladen
Ulrich Krause
ConPresso-User
Beiträge: 41
Registriert: 27.02.2007 09:41
Wohnort: 63075 Offenbach
Hat sich bedankt: 4 Mal

Beitrag von Ulrich Krause »

noch ein Nachsatz zu 1und1:
zur Ehrenrettung will ich hinzufügen, daß um 12 Uhr bereits eine E-Mail von 1und1 mit der Hackermeldung herausging. Es ist jedoch die E-Mail-Adresse der Kirchengemeinde hinterlegt (hab ich jetzt geändert) und dort war niemand.

Jetzt läuft wieder alles
Ulrich
Antworten