schon wieder Hack?

[bunzi]

moin,
bin heute beim Validitätstest auf folgende Zeile (50) im Quelltext gestoßen:

En los ruleta gratis hay mesas privadas y publicas.En los ruleta gratis hay mesas privadas y publicas.G�n�ralement, les tables de Baccarat � Las Vegas et les online casino sont cord�e AC d�collage affaires, avec partitions et velours belles femmes ornant la foule et assister � la r�union de haut roulement des participants.Chaque joueur au craps en ligne sur Jeu re�oit cinq cartes, dans le but de faire la meilleure combinaison.

was mir sehr spanisch vorkommt.   (oder auch französisch)

Habt ihr ne Idee, wie das dareinkommt?

[cyberman]

Hast du den Security-Thread umgesetzt?
Hast du TinyMCE als Frontend-WYSIWYG festgelegt?

[bunzi]

Hast du den Security-Thread umgesetzt?

Vielleicht nicht kosequent genug.. ich gehe es nochmal durch.


Hast du TinyMCE als Frontend-WYSIWYG festgelegt?

ja.

Ich habe inzwischen gefunden, wo es steht, nämlich im Template. Habe es rausgelöscht, mal sehen, was passiert.

[cyberman]

Hast du TinyMCE als Frontend-WYSIWYG festgelegt?

ja.

Würde ich mal deaktiveren, wenn du es nicht unbedingt benötigst ...

[NaN]

Heißt das, man kann über den TinyMCE Änderungen am Template vornehmen?
Sind da etwa immer noch SQL-Injektionen möglich?

[cyberman]

Im SVN steht eine neue Version von Tiny bereit ... die in Kürze mit der 1.3.1 ausgeliefert werden soll.

[bunzi]

habe mal im log-file geschnubbelt, so z.B. sehen die Attacken aus:

77.70.106.72 - - [24/Jun/2008:03:24:20 +0200] "POST /cmsms/lib/smarty/internals/func__core.assemble_plugin_filepath.php HTTP/1.0" 404 1381797 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.8.0. Gecko/20061025 Firefox/1.5.0.8"
77.70.106.72 - - [24/Jun/2008:03:24:35 +0200] "POST /cmsms/lib/adodb_lite/lang/func__adodb-ar.inc.php HTTP/1.0" 404 1381779 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.8.0. Gecko/20061025 Firefox/1.5.0.8"
77.70.106.72 - - [24/Jun/2008:03:24:49 +0200] "POST /phpmyadmin/lang/func__english-iso-8859-1.inc.php HTTP/1.0" 200 1381272 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.8.0. Gecko/20061025 Firefox/1.5.0.8"

Offensichtlich versucht jemand (IP-Adresse aus Bulgarien) seine Scripte in möglich existierenden Ordnern unterzubringen.

[cyberman]

Und ? Hattest du diese Tür zugemacht?

Auch hier sind noch ein paar interessante Sachen zu finden.

http://wiki.cmsmadesimple.org/index.php ... mall_Guide

[bunzi]

Und ? Hattest du diese Tür zugemacht?

Jau, ich hoffe, jetzt ist Ruhe ....

[NaN]

Schau mal auf Deinem Webspace, ob diese Dateien "func__core.assemble_plugin_filepath.php" zufällig auf Deinem Server sind. Wenn ja, dann möchte ich wetten, dass dort nur ein Haufen Leerzeilen und zwei kleine Funktionen drin stehen.
Und, dass es noch einen Haufen weitere Dateien mit dem Präfix "func__..." gibt, die im ganzen CMS verteilt sind.

[bunzi]

Jau, die kenne ich inzwischen und habe alle gelöscht

Die Bulgaren habe ich per htaccess ausgesperrt, von da ist erstmal nichts zu machen.

[NaN]

Jau, die kenne ich inzwischen und habe alle gelöscht

Hoffen wir, dass darüber noch keine Änderungen am CMS vorgenommen wurden.
Wenn Du den Security Thread vorher schon umgesetzt hattest (entsprechende .htaccess-Dateien, Schreibrechte etc.) ist das zwar eher unwarscheinlich, aber eigentlich sollte man jetzt den Webspace komplett neu einrichten...
Wenn die einmal an die Datenbank gekommen sind, weiß man nie, was da drin noch geändert wurde.
Ich würde es auf jeden Fall nicht dabei belassen sondern mal noch einen Bilck in die DB werfen und evtl. Passwörter und Nutzernamen ändern.

[symmetrix_01]

Hallo zusammen!
Vor meinem Update habe ich alle Sicherheitsempfehlungen, derer ich hier habhaft werden konnte, umgesetzt. An dieser Stelle meinen Dank dafür!
Nach meinem Update auf "Havanna" fand ich dann hunderte Files mit na_dateiname.php sowie in den lang-Ordnern entsprechendes.
Falls es für jemanden, der sich damit auskennt, interessant ist, poste ich nachfolgend den immer gleichen Inhalt der na_dateien.php.
100 Leerzeilen und dann dieser Code:

Code: Select all

... *zensiert* ...

Und wieder 100 Leerzeilen.

Es ist echt übel - darum stell ich hier die unverschämte Bitte ein, für Dummies wie mich den "security-thread" (im Wiki?) "dropje for dropje" noch einmal aufzudröseln. Ich weiß, dass ist sehr viel Arbeit, aber vielleicht können die, die jetzt noch keine Ahnung haben, ja eines Tages mal was zurückgeben...

[NaN]

Jeder der weiß, wie man sich seinen Webspace inkl. CMSms einrichtet, sollte eigentlich auch mit den Sicherheitshinweisen klarkommen.
Wenn man Dinge wie .htaccess-Dateien oder deinstallieren diverser Module nicht versteht, dann sollte man es besser jemandem überlassen, der sich damit auskennt oder sich das Wissen aneignen.

Was genau verstehst Du am Security Thread nicht bzw. wo lagen denn die Probleme?
Es fällt einem Fachmann häufig schwer, sich in den Kopf eines Laien hineinzudenken.
Verbesserungsvorschläge sind immer willkommen.

[symmetrix_01]

..., dann sollte man es besser jemandem überlassen, der sich damit auskennt oder sich das Wissen aneignen.

Hast schon recht mit Deinem "Rüffel". Jedoch ziehe ich mir diesen Schuh solange nicht an, bis ich weiß, ob es tatsächlich an meiner Unfähigkeit liegt. Mit den Zugangsdaten zu meiner Installation würdest Du feststellen, dass ich die Tips befolgt habe. Dann würdest auch Du Dich fragen, was da wohl schiefgelaufen sein könnte...

Was ich nicht am Security Thread verstehe, fragst Du. Nun, darin liegt ja das Problem. Es gibt eben nichts, was ich da nicht verstehe. Wie ich bereits schrieb, tauchten die Dateien, die nach allgemeiner Überzeugung nicht zur Installation gehören, nach dem Update auf. Bei mir gibt es keinen Modul Manager, keinen TinyMCE, keinen FileManager und ebenfalls kein nuSOAP.

Nun könnte man ja meinen, ich hätte bei einem bereits gehackten System ein Update vorgenommen. Das kann ich hier und jetzt zwar nicht ausschließen - aber die Wahrscheinlichkeit ist eher gering - hatte ich doch erst die Version 1.2.5 neu installiert!
Ich werde heute die Logfiles auswerten, vielleicht findet sich dort ein Hinweis.


BTW: Weiß denn jemand, was sich hinter dem Code verbirgt?