Aktuelle Hacks und Sicherheitslücken Topic is solved

[cyberman]

Robert/Calguy1000 (einer der Chefentwickler) hat sich zu den aktuellen Hacks zu Wort gemeldet. Da auch hier im Forum einige davon betroffen waren, hab ich mal eine freie Übersetzung erstellt:

Aktuell erhalten wir im Forum eine Vielzahl von Berichten, dass Webseiten mit CMSms gehackt worden seien, oder Fehlermeldungen in der Administration angezeigt werden, oder auch Zeichengruppen mit jeweils 16 Zeichen auf dem Bildschrim angezeigt werden usw.

Wir konnten nicht jeden dieser Hacks überprüfen, aber es scheint, dass eine Gruppe von Internetnutzern nach unsicheren CMSms Webseiten sucht. Bei den geprüften Fällen waren ausschließlich Webseiten betroffen, die nicht auf die letzte Version aktualisiert hatten, mit der eine Sicherheitslücke geschlossen wurde.

Wenn Ihr damit vertraut sind, müssen die folgenden Schritte abgearbeitet werden:

1) Löscht alle von CMS made simple verwendeten Datenbank-Tabellen
2) Löscht alle Dateien und Verzeichnisse Eurer CMSms-Installation
3) Stellt dann Eure CMSms-Installation (die Dateien und die Datenbank) aus einem als nicht gehackt bekannten Sicherheitskopie wieder her.
4) Ändert ALLE CMSms Passwörter
5) Aktualisiert Eure CMSms-Installation so schnell als möglich auf Version 1.2.5

Ein zusätzliches Sicherheitsplus sollte sein, das Kennwort für den Zugriff auf die Datenbank zu ändern oder auch eine andere Datenbank zu verwenden.

Scheinbar wurde die Sicherheitslücke auf verschiedenen Wegen ausgenutzt und es gibt keinen Weg, genau zu sagen, wie der Hacker in Euer System eingedrungen ist.

CMS 1.2.5 wurde am 12. Mai veröffentlicht ... und wir bekommen immer noch neue Berichte über gehackte Webseiten. Dies konnte nur Webseitenbetreibern passieren, die ihre CMSms-Installation nicht aktualisiert haben.

Die Aktualisierung der CMSms-Installationen liegt in Eurer Verantwortung. Und diese Verantwortung solltet Ihr wahrnehmen, sobald eine neue Version veröffentlicht wird, insbesondere dann, wenn die neue Version eine Sicherheitslücke behebt. Wir können daher nicht bei gehackten Seiten mit CMS made simple helfen, deren Version Monate oder gar Jahre alt sind.

Außerdem ist eine Mailingliste verfügbar, über die über neue/aktuelle Versionen von CMSms informiert wird. Damit Ihr nicht jeden Tag das Forum besuchen müsst, empfehle ich, diese Mailingliste zu abonnieren.

OK, Robert hat es noch etwas schärfer formuliert - wer es lesen möchte

http://forum.cmsmadesimple.org/index.php?topic=22516.0

Zur Anmeldung bei der Mailingliste müsst ihr einfach nur eine (leere) Email an announcements+subscribe@lists.cmsmadesimple.org schicken.

[LeisureLarry]

Und wer gerade keinen Email-Client zur Hand hat, benutzt das Anmeldeformular:

http://lists.cmsmadesimple.org/mailman/ ... s-announce

Wer es nicht macht, ist selber schuld

[cyberman]

Außerdem kann man sich entweder über den RSS-Feed oder den "Benachrichtigen"-Button des Announcement-Boards über derartige Meldungen informieren lassen.

[NaN]

...

...
2) Löscht alle Dateien und Verzeichnisse Eurer CMSms-Installation
...

...

Dem würde ich unbedingt Folge leisten.
Habe gerade mal einfach nur aus Interesse den gesamten Webspace einer Seite (die noch überhaupt nicht fertig ist) heruntergeladen um zu überprüfen, ob sich dort schon jemand daran zu schaffen gemacht hat..
Und siehe da!

Ein Haufen Dateien, wo diese überhaupt nichts zu suchen haben!

Ich erstelle gerade eine Liste.
Alle Dateien fangen mit "update__" an und haben als Rest des Dateinamens Namen von Dateien, die tatsächlich zum CMS gehören. (Bsp.: update__action.defaultadmin.php)

Ausnahmslos jeder Modulordner hat eine solche Datei. (Sind bei mir momentan 23 Module)

Und einige Bilderordner im Uploadsverzeichnis.

Also: Mit dem Löschen EINER Datei, die eventuell irgendwelche Fehlermeldungen verursacht hat, ist es leider NICHT getan.

Nachtrag:
In jeder dieser merkwürdigen Dateien wird eine Funktion namens testdata und say deklariert und aufgerufen. Ich habe noch nicht ganz verstanden was genau diese Funktionen machen. Aber sie scheinen einfach irgendwelche Dateien mit x-beliebigen Code hochzuladen und auszuführen.

Aktuell habe ich 544 Aufrufe dieser Funktion in meiner CMSms Installation gefunden.
Leider hatte ich das Statistikmodul noch nicht installiert, sonst hätte ich evtl. sehen können, wer am 08.05.2008 um 4:24 Uhr auf diese Seite zugegriffen hat bzw. dessen IP blocken können.

Da noch keine Systemdateien oder Datenbank verändert wurden bzw. ich noch keine Fehlermeldungen hatte glaube ich, dass dieser "Hack" noch nicht aktiv geworden ist.
Außerdem haben alle diese Dateien als Eiegtnümer wwwrun , obwohl ich alle Module immer via FTP hochlade. (Diese Dateien lassen sich bei mir deshalb übrigens nicht via FTP löschen.) Daher denke ich, dass hier ganz gezielt eine Sicherheitslücke im FileManager ausgenutzt wurde, um diese "update__"-Dateien erstmal auf den Server zu bekommen.
Diese Dateien lassen sich dann mit irgendwelchen Parametern direkt im Browser ausführen. Somit kann ungehindert irgendwelcher Code eingeschleust werden, der dann den eigentlichen Schaden anrichtet.

[cyberman]

Daher denke ich, dass hier ganz gezielt eine Sicherheitslücke im FileManager ausgenutzt wurde, um diese "update__"-Dateien erstmal auf den Server zu bekommen.

Jain, die eingesetzte Fremdsoftware (das Java-Upload-Applet) öffnet eine Sicherheitslücke. Aufgrund bestimmter Servereinstellungen bei manchen Hostern sollten daher auch zusätzlich die folgenden Dateien aus dem Verzeichnis /modules/FileManager/postlet gelöscht werden

index.html.txt
javaUpload.php.txt
uploadTest.html

[LeisureLarry]

@NaN:

Mich würde mal interessieren welche CMSms Version in Deinem Fall betroffen war, welche Module aktiv waren und ob die Sachen aus dem Security-Thread schon umgesetzt waren. Zudem würde mich interessieren, ob der erweiterte Modus des Filemanagers (also Zugriff auf mehr als den Upload-Ordner) aktiv war.

Grüße aus Nürnberg
LeisureLarry (interiete.net)

[NaN]

Version: CMSms 1.2.4

Module:
Album 0.9.3
CGExtensions 1.8
CMSMailer 1.73.12
CustomContent 1.4.10
FileManager 0.2.2
FLVPlayer 1.0.2
FrontEndUserListing 0.4-beta-2
FrontEndUsers 1.4.2
MenuManager 1.5
ModuleManager 1.1.4
News 2.6.1
NFS 1.0
NMS 2.1.1
nuSOAP 1.0.1
Printing 0.2.1
Search 1.4.1
SelfRegistration 1.1.6
ThemeManager 1.0.8
TinyMCE 2.2.7
XStandard 1.2

+ 3 eigene Module (die noch ihre ganz eigenen Sicherheistlücken hatten)

Da waren absolut noch keinerlei Sicherheitsvorkehrungen getroffen.
War bisher sowieso nur ein Test um ein paar Module auszuprobieren.
Nur, demnächst soll die Seite online gehen.
Und da wollte ich bevor ich Update erstmal nachschauen ob ich auch betroffen bin.
Bin ich.
Sogar doppelt.
Eine andere Seite (eine Anwaltsseite) hat das gleiche Problem.
Allerdings sind dort schon die Fehler im Backend.
Aber da habe ich Dank eines Log-Moduls meines Providers die letzten 100 IP Adressen gespeichert.
Und da laut meinem Provider diese komischen Dateien (diesmal beginnen sie mit "lib__" aber der Inhalt ist identisch) erst seit gestern auf dem Server sind, wird sich der Betreffende - die Kanzlei selbst - mit diesen IP Adressen beschäftigen.

[cyberman]

mit diesen IP Adressen .

China, Russland?

Das Herausbekommen ist nicht das Problem

http://www.maxmind.com/app/locate_ip

Ist doch aber wie ein Kampf gegen Windmühlen ...

[LeisureLarry]

Ok, dann kann ich erstmal die Entwicklung abwarten, so lange ich von keinen Problemen mit V1.2.5 mit deinstalliertem Modul-Manager, FileManager im normalen Modus und umgesetzten Security-Thread erfahre.

[NaN]

...
Ist doch aber wie ein Kampf gegen Windmühlen
...

Ja, leider.