index.php gehackt - welche Rechte kann ich evtl. besser einstellen?

[horki]

Hi,

vorgestern wurde bei einer meiner CMSMS-Websites die index.php-Datei verändert, die Seite war nicht mehr aufrufbar.
Habe dann die index.php neu rüberkopiert und alle CMS-Passwörter geändert.

Trotzdem ist die index.php heute wieder überschrieben worden. Jetzt habe ich mein FTP-Passwort auch neu angelegt (wobei ich mich frage, woher jemand das kennen soll, das PW war ein richtig "Kryptisches", kein Name oder so).

Ich würde gerne die Schreib-/Leserechte aller wichtigen Dateien richtig einstellen (die config.php hab ich schon auf 444). Gibt es da eine Übersicht, was minimal möglich ist, z.B. bei der index.php?

Danke!
horki

[NaN]

Hast Du hier schonmal nachgeschaut: http://forum.cmsmadesimple.org/index.ph ... 737.0.html

Die index.php sollte auf jeden Fall nicht beschreibbar sein.
Also höchstens 755.
Meistens reicht auch 644.
Ich habe sie aber sogar schon auf 440 oder 400 setzen können.
Dann kann sie zwar meistens nicht mehr direkt ausgeführt werden, aber wenn man mit pretty URLs arbeitet, wird man ja serverintern auf die index.php umgeleitet. Dazu reicht bei einigen Server 440.
(führt außerdem dazu, dass man keinen google duplicate content error hat )
Aber das ist abhängig von der Konfiguration des Servers.
Musst also mal ein bissel ausprobieren.

Die config.php kann unter Umständen auch mit 440 oder 400 gesichert werden.
(444 erlaubt immer noch, dass man sie zumindest lesen kann, sofern man nicht via .htaccess den direkten Zugriff verbietet)
Aber auch hier gilt, es ist abhängig vom Server.

Edit: Habe gerade festgestellt, dass manchmal auch 554 für Verzeichnisse und Dateien reicht.
Da kann ich Dir echt nur raten probiere es aus.
Die Berechtigungen Stück für Stück einfach runtersetzen und immer Seite neuladen (STRG + F5).

Edit 2: Habe gerade alle Verzeichnisse (außer tmp und uploads) auf 511 und Dateien auf 551 gesetzt - klappt auch.
(511 scheint bis jetzt bei mir das mindeste zu sein um Dateien und Verzeichnisse zu schützen. Bei einigen Dateien brauche ich 551 - meist javascripts oder bilder, also dateien, die irgendwie gelesen und an die Öffentlichkeit gesendet werden müssen.
Merkwürdigerweise klappt bei mir im Root für alle Dateien auch 400 und für das komplette Plugin-Verzeichnis 510)

Es kann unter Umständen auch sein, dass irgendwo ein böses Script auf Deinem Webspace eingeschleust wurde, welches den Upload einer modifizierten index.php und das Überschreiben der original index.php ermöglicht.
Also prüfe ganz genau Deinen Webspace, ob es nicht irgendwo noch weitere Änderungen gegeben hat.

Wenn man einmal gehackt wurde kann man nur sehr schwer nachvollziehen, was genau alles geändert wurde.
Daher ist meist eine Neuinstallation die sicherste Methode.
Also Datenbank sichern. Eigene Dateien (uploads ordner) sichern.
Alles löschen und neu installieren.

[nichess]

Würde auch mal eine Datensicherung machen, downloaden und mit dem Virenscanner untersuchen.

So habe ich z.B. den Trojaner "JS/Gamburl.E" auf meinem Webspace entdeckt.

Grüsse

[replytomk3]

I can help in English if you understand it.

[horki]

Vielen Dank für eure Antworten, dann werde ich mich mal ans Rechte ändern bzw runterladen machen!

replytomk3, thanks for your offer to help, I have no problems with English!

horki

[replytomk3]

If you have a backup, then http://mkrd.info/software-discussions/cms-made-simple/backin-up-and-restoring-cmsms.html. Install into subfolder, connect to database, verify that everything works, then move the subfolder content to root server.

If you want to play around with infected files, backup your site by FTP, and scan files with Avast! antivirus program.

[horki]

@replytomk3, I read your advices at your site, thanks! Scan didn´t show any virus.

The line inserted by the hacker linked to a page named  "cvlt.org/youth.php?prn292". Funny, if I google for this as a keyword, I find a lot of pages, which seem to be infected by the same code line, but these pages show up nevertheless.

So, nichts weiter gefunden an Bösem, aber dieser kleine Schock hat mich dazu gebracht, endlich mal meine ganzen CMS-Dateien und Datenbanken zu sichern. Zum Glück regnet es heute den ganzen Tag!

Nun würde ich aber schon gerne von meinem Hoster (Goneo) wissen, wie jemand an mein FTP-Passwort gekommen ist. Bisher habe ich leider noch keine Rückmeldung. Werde wohl nochmal mailen...

Gruß
horki

[horki]

Hi brötchen,

ja, inzwischen (nach 5 bzw 3 Tagen habe ich Antworten von goneo bekommen: Das FTP-Passwort könnte durch eine Keylogger oder eine Trojaner an den Hacker gelangt sein  Ich habe aber lt. Virenprogramm, Spybot etc. nichts Schlimmes auf dem PC. Ich gehe seit dem Erstellen der Seiten auch nur noch selten per FTP auf die Webseiten, und surfen tu ich  fast nur mit dem Firefox.

Übrigens: Seit dem Ändern des FTP-Passworts ist Ruhe in der Index.Datei (wie lange?)


Dann kam heute die Ankündigung der "Sicherheitsoffensive"!
Es scheint also mehr Kunden betroffen zu haben. Man soll sein FTP-Passwort ändern! Nachdem ich solch eine Mail von noch keinem meiner anderen Hoster bekommen habe, scheint es wohl ein spezielles Problem von goneo zu sein.

Sie  "werden  ab dem 01.02.2010 den Wert "register_globals" standardmäßig für alle Kunden deaktivieren (register_globals=OFF)".

Kann mir jemand möglichst simpel beschreiben, was das für mein CMS bedeutet?

Gruß
horki

[nockenfell]

Auf deine CMSms Installation hat dies keinen Einfluss. Infos zu register_globals findest du zu hauf im Internet:
http://www.goldmann.de/variablen-in-php-sauber-%FCbergeben-mit-register_globals=off_tipp_138.html

[horki]

Hi Nockenfell,

danke für den Link, das ist dort echt gut erklärt!

horki

[NaN]

Noch ein kleiner Hinweis: Das komplette Absichern seiner CMSms Installation durch Zugriffsrechte kann dazu führen, dass Updates nicht auf den Server gespielt werden können (weil man evtl. sämtliche Schreibrechte entfernt hat).
Man muss also jedesmal vor einem Update die Zugriffsrechte wieder ändern, sodass zumindest für FTP User Schreibrechte vorliegen.