CMSms gehackt : HTML/Crypted.Gen

[soundZ]

Hallo und Hilfe!

Mein fast fertigkonfiguriertes CMSms wurde "gehackt" Ich vermute, dass es in der Zeit passiert ist, in der das install-Verzeichnis noch existierte.

Im erzeugen HTML-Quellcode steht jetzt 2x

Code: Select all

<__script__ src=http: ###link unbrauchbar machen### //cgi35.plala.or.jp/BTO/data/entry/css.js></__script>

Näheres dazu hier: http://google.com/safebrowsing/diagnost ... /&hl=en-us
AVIRA diagnostiziert: http://www.avira.com/de/threats/section ... d.gen.html

Dieser JS-Include wird über den Navigation-Tag {menu template='ahhmenu.tpl' number_of_levels='2'} und den Suchfeld-Tag {search searchtext="Suchbegriff" submit="Suchen" resultpage="home"} eingeschleust (nimmt man die Tags aus dem Template raus, ist der JS-Include nicht vorhanden).

Hat jemand eine Idee, wo in den Tiefen von CMSms sich der Code für die Einbettung dieses Scripts versteckt?

Ich habe bereits die DB nach der URL des Scripts sowie nach "css.js" durchsucht. Gleiches habe ich auch mit sämmtlichen Daten gemacht die auf dem Server liegen: Nix gefunden.
Insbesondere das Navigationstemplate habe ich mir angeschaut: es ist sauber.

Für Tipps wo ich suchen muss wäre ich sehr dankbar!
Vielen Dank und einen guten Wochenstart...

[cyberman]

Hast du alle Templates kontrolliert? Auch das Such-Template (Such-Modul) und aahmenu.tpl (MenuManager)?

Hast du auch mal in die log-Dateien deines Hosts reingeschaut?

PS: Die css.js zu suchen bringt dir gar nix, da sie von extern geladen wird ...

[soundZ]

Ja, die Templates habe ich alle durchsucht. Nix verdächtiges gefunden:-(
Das Script scheint beim verabeiten der Templates eingefügt zu werden: Aber wo passiert das?

Nach der css.js habe ich nicht gesucht; ich habe nach der Zeichenfolge "css.js" in allen Dateien gesucht - und nix gefunden. Da hab' ich mich wohl unglücklich ausgedrückt:-)

Irgendwie muss es doch einen anderen Weg geben als das ganze System neu zu installieren und neu aufzuziehen?!

[mike-r]

Ich vermute, dass das irgendwo verschlüsselt/codiert drinsteht. Bei der Suche nach dem Problem wäre es da hilfreicher nicht nach Schlagworten zu suchen, sondern besser nach bestimmten Techniken.
"Base64" oder "decode"/"encode" wäre da evtl. zielführend.

Edit: mal testweise durchprobiert; gibt auf "meine" Schlagworte leider ordentlich (75) Ergebnisse. Tip: bei den Ergebnissen schauen, ob "unleserlicher" Code in der Nähe steht.

[NaN]

Es könnte sein, dass in einem der Datenbank-Templates dieser Code drinsteht.
Es ist allerdings auch möglich, dass der Angreifer Zugang zum Backend und zum Filemanager hatte.
Daher könnte der Code auch in einer der php-Dateien stehen.

Du hast also immernoch Zugang zum Backend.
Dann ist es unwahrscheinlich, dass der Angriff über das Installverzeichnis kam. (VORSICHT: GEFÄHRLICHES HALBWISSEN!)
Denn damit könnte der Angreifer lediglich Deine Webseite auf eine andere Datenbank verweisen.
Den Zugang zur Datenbank oder FTP selbst hat man nicht automatisch durch die Install-Scripte.
Dort muss man ja Passwort und DB-Name etc. angeben.
Du hättest also keinen Zugang mehr zum Backend, da der Angreifer Deine Zugangsdaten nicht kennt.

Im schlimmsten (oder weniger schlimmsten) Fall ist es garnicht mehr Deine Seite. Die Scripte sind zwar von Deinem Server, aber die DB ist eine völlig andere. Man hat lediglich die Inhalte und Templates kopiert.
D.h. Du kannst Dich in Deiner DB dumm und dämlich suchen.
Daher würde ich auch in der config.php prüfen, ob alle Pfadangaben/Verbindungen korrekt sind.

Womit wir beim nächsten Thema wären: die config.php.
Welche Zugriffsrechte sind für diese Datei gesetzt?
Wenn sie öffentlich zugänglich ist, dann hat der Angreifer höchstwarscheinlich doch Deine Zugangsdaten...

Nächster Schritt wäre dann die log-Einträge des Servers nach verdächtigen Querries durchsuchen (Um eine generelle Schwachstelle im System ausschließen zu können).

Und zu guter Letzt: Welche CMS-Version? (<-GANZ WICHTIG!)

[cyberman]

nimmt man die Tags aus dem Template raus, ist der JS-Include nicht vorhanden

Natürlich könnte da auch in den Source der Module etwas eingeschleust worden sein (die entsprechenden Berechtigungen vorausgesetzt) - für diesen Fall solltest du die jeweiligen Modul-Verzeichnisse komplett löschen und die Module neu hochladen (Backup deines Templates nicht vergessen ).

Außerdem solltest du dringend mal in unseren Security-Thread schauen

http://forum.cmsmadesimple.org/index.ph ... 541.0.html

[LeisureLarry]

Würde mich den Ratschlägen von cyberman und NaN anschließen. Prüf als erstes die config.php (vor allem ob noch Deine Datenbank benutzt wird). Danach würde ich die config.php und den uploads-Ordner lokal irgendwo sichern, das komplette CMSms mittels FTP löschen, neu hochladen (aus einer frischen Quelle) und dann auch wieder die gesicherten Daten hochladen. Wenn das Problem dann immer noch existiert, hängt die Code in der Datenbank und Du hast ein echtes Problem.

Grüße aus Nürnberg
LeisureLarry (interiete.net)

[NaN]

Wenn das Problem dann immer noch existiert, hängt die Code in der Datenbank und Du hast ein echtes Problem.

Wieso?
Dann würde ich die DB auch löschen und neu anlegen.

[Tbone]

Look here:

Smarty 2.6.22 Released from Wed Dec 17, 2008 8:05 pm 
http://www.phpinsider.com/smarty-forum/ ... hp?t=14642

1..5.3 from 2009-03-02  is using a very old version 2.6.18.

is someone a bad boy he can hack every site with smarty.

[cyberman]

Ein einfaches Smarty-Update kann jedoch nicht empfohlen werden!

Smarty wird über eine separate CMS_Compiler.class.php modifiziert und die scheint mit dem Update nicht zurecht zu kommen. Zumindest werden danach die CMSms-eigenen Tags nicht mehr gefunden.

Es wird eine Version 1.6 geben, ich gehe davon aus, dass eine entsprechende Anpassung enthalten sein wird.

[Tbone]

Yea that is right, you must change something and that is nothing for beginners.