Hi @ll,
hatte vor längerer Zeit schon mal das Problem, dass meine Contenido-Seite gehackt wurde (siehe http://contenido.org/forum/viewtopic.ph ... highlight=). Habe dieses Problem damals durch ein Update von 4.4.4 auf 4.6.15 gelöst und hatte gehofft, zunächst keine Probleme mehr mit sowas zu haben.
Inzwischen haben sich aber schon mehrmals irgendwelche Phishing-Sites in Unterverzeichnissen angelegt (z.B. www.bank-of-america.com etc.), woraufhin mir mein Provider jedesmal den Webspace abschaltet. Ich lösche dann jedesmal brav diese Ordner, aber wenig später hab ich wieder was auf dem Webspace.
Gibts eine noch aktuellere Version als meine, die solche Aktionen ausschließt?
Danke für eure Hilfe
Mana
Phishing-Seite installiert sich in Contenido
Phishing-Seite installiert sich in Contenido
Danke fürs Kommen! | TV Erkheim
neben dem löschen der verzeichnisse solltest du auch überprüfen, ob die hacker ein weiteres verstecktes script abgelegt haben, mit dem sie contenido nicht mehr hacken müssen, um weitere ihrer phishing-seiten zu platzieren.
ein weiterer exploit für contenido ist nämlich nicht bekannt.
du solltest deinen provider um hilfe bitten und nach einem einfallstor fragen (hast du zugriff auf die logs?).
hast du weitere scripte ausser contenido am laufen?
sollte sich ein neues sicherheitsloch offenbaren bitte unbedingt bescheid geben....
ein weiterer exploit für contenido ist nämlich nicht bekannt.
du solltest deinen provider um hilfe bitten und nach einem einfallstor fragen (hast du zugriff auf die logs?).
hast du weitere scripte ausser contenido am laufen?
sollte sich ein neues sicherheitsloch offenbaren bitte unbedingt bescheid geben....
-
wosch
Re: Phishing-Seite installiert sich in Contenido
Der Islam-Hack wurde von 2 Gruppen, die wenig miteinander zu tun und grundverschiedene Motive haben, gemacht.Mana hat geschrieben:Gibts eine noch aktuellere Version als meine, die solche Aktionen ausschließt?
Das dann eine Seite wie www.bank-of-america.com bei dir auftaucht spricht 100% für die (auch zeitlich gesehen) 2. Gruppe.
Seit etwa Anfang 2007 agiert diese Gruppe schwerpunktmässig in der EU,
es ist die gleiche Gruppe wie hier:
http://www.contenido.de/forum/viewtopic.php?t=15277
Was kannst / solltest du machen?
Zuerst den eigenen PC nach Gästen, Homephone-Progs und Loggern sehr gründliche prüfen.
(Trojanern, Keyloggern, besonders aus dem Bereich Share-Services, Voip, IRC, Esel, ...)
Danach würde ich die MySql-Datenbank sichern, den Server platt machen,
alle meine Passwöerter ändern, speziell die für alle Mail-Accounts,
den Provider bitten mir neue PW für FTP, Mail, Mysql zu erstellen,
und dann die Datenbank wieder einspielen und Contenido über Migration neu installieren.
Höt sich dramatisch an, ist es auch wenn ich von dir lese:
Es bleibt dir wahrscheinlich nur die harte Tour um aus dem Teufeleskreis rauszukommen.Inzwischen haben sich aber schon mehrmals irgendwelche Phishing-Sites in Unterverzeichnissen angelegt (z.B. www.bank-of-america.com etc.), woraufhin mir mein Provider jedesmal den Webspace abschaltet.
Hi wosch,
nachdem sich das seit Januar von selbst gelegt hatte, komm ich erst jetzt wieder darauf zurück, da das Problem weiterhin besteht.
Danke schonmal für die Hilfe
Mana
nachdem sich das seit Januar von selbst gelegt hatte, komm ich erst jetzt wieder darauf zurück, da das Problem weiterhin besteht.
MySQL sichern ist mir klar (über phpmyadmin), meinst du mit "Server platt machen" dann nur die Datenbank löschen oder auch das komplette Web-Verzeichnis mit allen Uploads etc. löschen? Sorry, dass ich so blöd frage, aber bevor ich was lösche, was ich hinterher nicht wiederherstellen kann...Danach würde ich die MySql-Datenbank sichern, den Server platt machen
Datenbank einspielen wäre dann wohl wieder phpmyadmin, und Migration wäre das Setup neu zu starten, richtig?Datenbank wieder einspielen und Contenido über Migration neu installieren
Danke schonmal für die Hilfe
Mana
Danke fürs Kommen! | TV Erkheim
-
wosch
Mana,
ich dachte das du den Server selber betreibst.
Wenn der Server über einen Provider läuft ist "Plattmachen" nicht notwendig.
Es gibt bei den Phischinggruppen 3 Arten um einen Server/Domain zu übernehmen.
1. (meistens)
Irgendwer hat dein Name und Passwort zum Zugang des Servers und zum Mailserver.
Das kann über eine Phishing-Mail, über Trojaner oder Keylogger erfolgt sein.
Abhilfe:
PC sehr gründlich prüfen mit allen was machbar und möglich ist, und auch vor format c:\ nicht zurückschrecken
und wenn der PC sauber ist, ALLE Passwörter ändern - ALLE !!!
Da du nicht weißt was noch an Programmen auf deiner Domain ist mußt du konsequenterweise alle Daten löschen.
(Daten der MySQL nicht unbedingt)
Über Migration Contenido neu aufspielen.
(Achte auf Mail-Server: Der Mißbrauch der mit einem Mailserver betrieben werden kann wird immer unterschätzt)
2. (gelegentlich)
Jemand kann auf das Backend von Contenido zugreifen
z. B. über den 2. default-User admin.
und bin ich im Backend kann ich über die Dateiverwaltung alles mögliche in (und unterhalb) upload an php-Scripten runterladen.
Es gibt da sehr schöne Scripte, wenn jemand ich es schafft die auf den Server zu installieren - gehört der Server "mir"
Abhilfe:
Wie bei 1 , mit sicherheitshalber den PC checken.
3. (manchmal bis selten)
Wenn der Server deines Providers sehr schlecht konfiguriert ist,
kann man über andere Domaine auf dem Server auf deine Domain zugreifen.
Wenn nun jemand auf die andere Domain Zugriff hat ist es in den Kreisen üblich diese Domain als Schläfer zu nutzen und für solche Attacken andere Domainen des gleichen Servers zu nutzen.
Abhilfe:
Kann nur der Provider. Und in solch einem Fall ist ein Providerwechsel der beste Weg.
Mein Favorit ist Fall 1.
Wenig Aufwand für die Phisher mit maximalem Erfolgt.
ich dachte das du den Server selber betreibst.
Wenn der Server über einen Provider läuft ist "Plattmachen" nicht notwendig.
Es gibt bei den Phischinggruppen 3 Arten um einen Server/Domain zu übernehmen.
1. (meistens)
Irgendwer hat dein Name und Passwort zum Zugang des Servers und zum Mailserver.
Das kann über eine Phishing-Mail, über Trojaner oder Keylogger erfolgt sein.
Abhilfe:
PC sehr gründlich prüfen mit allen was machbar und möglich ist, und auch vor format c:\ nicht zurückschrecken
und wenn der PC sauber ist, ALLE Passwörter ändern - ALLE !!!
Da du nicht weißt was noch an Programmen auf deiner Domain ist mußt du konsequenterweise alle Daten löschen.
(Daten der MySQL nicht unbedingt)
Über Migration Contenido neu aufspielen.
(Achte auf Mail-Server: Der Mißbrauch der mit einem Mailserver betrieben werden kann wird immer unterschätzt)
2. (gelegentlich)
Jemand kann auf das Backend von Contenido zugreifen
z. B. über den 2. default-User admin.
und bin ich im Backend kann ich über die Dateiverwaltung alles mögliche in (und unterhalb) upload an php-Scripten runterladen.
Es gibt da sehr schöne Scripte, wenn jemand ich es schafft die auf den Server zu installieren - gehört der Server "mir"
Abhilfe:
Wie bei 1 , mit sicherheitshalber den PC checken.
3. (manchmal bis selten)
Wenn der Server deines Providers sehr schlecht konfiguriert ist,
kann man über andere Domaine auf dem Server auf deine Domain zugreifen.
Wenn nun jemand auf die andere Domain Zugriff hat ist es in den Kreisen üblich diese Domain als Schläfer zu nutzen und für solche Attacken andere Domainen des gleichen Servers zu nutzen.
Abhilfe:
Kann nur der Provider. Und in solch einem Fall ist ein Providerwechsel der beste Weg.
Mein Favorit ist Fall 1.
Wenig Aufwand für die Phisher mit maximalem Erfolgt.
Hallo wosch,
Kann ich mir mein Contenido-Upload-Verzeichnis auf meinen Rechner runterladen und auch auf Viren prüfen, damit ich das nach der Neuinstallation wieder hochladen kann und nicht mit leeren Seiten (ohne Fotos etc) dastehe? Oder würdest du mir davon abraten?
Danke
Mana
Meinen PC hab ich mittlerweile geprüft, der ist sauber. MySQL-Datenbank lass ich dann erstmal in Ruhe.Da du nicht weißt was noch an Programmen auf deiner Domain ist mußt du konsequenterweise alle Daten löschen.
(Daten der MySQL nicht unbedingt)
Kann ich mir mein Contenido-Upload-Verzeichnis auf meinen Rechner runterladen und auch auf Viren prüfen, damit ich das nach der Neuinstallation wieder hochladen kann und nicht mit leeren Seiten (ohne Fotos etc) dastehe? Oder würdest du mir davon abraten?
Danke
Mana
Danke fürs Kommen! | TV Erkheim
-
wosch
Kannst du sicher machen.
Sicherheitshalber trotzdem die neueste Virendefinition laden.
Ich denke nicht das in deinen Dateien auf dem Server das ist was man
langläufig als Virus bezeichnet.
Eher wird dir jemand ein oder mehrere Scripte, vorzugsweise als php-Script, dort untergejubelt haben.
Wenn du die Dateien auf deinem PC hast mußt du _jede__ einzelne Datei vergleichen ob sie zu Contenido gehört.
Und zwar nicht nur nach dem Namen, sondern sicherheitshalber auch die Dateigröße.
Sicherer und schneller ist sicherlich die Dateien nur auf dem PC holen,
auf dem Server alles löschen,
Contenido mit den Originaldateien auf dem Server neu installieren
und nur die geprüften Dateien zurückladen auf dem Server die du selber dort zusätzlich zu Contenido übertragen hast
Und frage dich wie jemand auf den Server kam, wie jemand in dein Contenido kam.
Sonst passiert das immer wieder (mal) das du "ungebetene Gäste" auf dem Server hast.
(Alle Passwärter schon geändet???)
Sicherheitshalber trotzdem die neueste Virendefinition laden.
Ich denke nicht das in deinen Dateien auf dem Server das ist was man
langläufig als Virus bezeichnet.
Eher wird dir jemand ein oder mehrere Scripte, vorzugsweise als php-Script, dort untergejubelt haben.
Wenn du die Dateien auf deinem PC hast mußt du _jede__ einzelne Datei vergleichen ob sie zu Contenido gehört.
Und zwar nicht nur nach dem Namen, sondern sicherheitshalber auch die Dateigröße.
Sicherer und schneller ist sicherlich die Dateien nur auf dem PC holen,
auf dem Server alles löschen,
Contenido mit den Originaldateien auf dem Server neu installieren
und nur die geprüften Dateien zurückladen auf dem Server die du selber dort zusätzlich zu Contenido übertragen hast
Und frage dich wie jemand auf den Server kam, wie jemand in dein Contenido kam.
Sonst passiert das immer wieder (mal) das du "ungebetene Gäste" auf dem Server hast.
(Alle Passwärter schon geändet???)
Sysadmin & PHP-Installation
Hallo,
vielleicht eine dumme Anmerkung, aber ich frage trotzdem. Hast du bei deiner Contenido-Version an den sysadmin gedacht? Ich habe selbst feststellen müssen, dass einige Contenido-Anwender, diesen Benutzer einfach vergessen, und dann ist es wirklich leicht auf den Webserver zu gelangen. Außerdem wäre interessant, wie deine PHP-Version installiert ist. Ist z.B. register_globals auf off oder nicht? Wenn nicht, kann es hier schon Probleme geben.
Gruß
Leo
vielleicht eine dumme Anmerkung, aber ich frage trotzdem. Hast du bei deiner Contenido-Version an den sysadmin gedacht? Ich habe selbst feststellen müssen, dass einige Contenido-Anwender, diesen Benutzer einfach vergessen, und dann ist es wirklich leicht auf den Webserver zu gelangen. Außerdem wäre interessant, wie deine PHP-Version installiert ist. Ist z.B. register_globals auf off oder nicht? Wenn nicht, kann es hier schon Probleme geben.
Gruß
Leo
-
wosch
Leo,
prinzipiell hast du Recht mit deiner Anmerkung zum sysadmin,
ich persönlich halte den admin für allerdings sehr viel gefährlicher mit dem was du meinst.
Der Angriff auf den Server / die Website von Mana erfolgte von weltweit agierenden Cyberkriminellen,
und die gehen andere Wege als über den sysadmin/admin.
Deine Frage nach register_globals ist zwar richtig, aber IMHO der falsche Ansatz.
Mit dieser Variablen zieht der Provider "quasi" die Notbremse für den Fall der Fälle.
Nur sollte es eigentlich, bei einer sauberen Programmierung eines php-Scriptes/ eines Systemes, gar nicht so weit kommen.
Allerdings es es fast unmöglich das ein Programmierer alle Einflüsse seines Scriptes auf xtausend Websystemen erkennen/simulieren kann und zudem fast nie die kreativen Ideen der Cyperkriminellen kennt.
Deswegen ist es ja so wichtig das schnell Patches bereitgestellt werden um in einer Version, egal welcher Version, solche Lücken fixen zu können.
Für einen Admin ist es nicht getan Contenido mal zu installieren und dann war es das.
(Um bei einem Beispiel zu bleiben: auch die Installation von Windows/Linux/ ... muß immer wieder aktualisiert werden.)
Mal ein (zugegeben: im Moment noch sehr phantastischer) Gedankenanstoß an die Entwickler:
Ist es so abwägig im Fenster MyContenido ein Link zu plazieren: "auf Sicherheitsupdates prüfen"
Der Link könnte zu einer Seite (f4b/sourceforge.net/ ... gehen auf der Sicherheitspatches für die verschiedenen Contenido-Versionen hinterlegt sind.
prinzipiell hast du Recht mit deiner Anmerkung zum sysadmin,
ich persönlich halte den admin für allerdings sehr viel gefährlicher mit dem was du meinst.
Der Angriff auf den Server / die Website von Mana erfolgte von weltweit agierenden Cyberkriminellen,
und die gehen andere Wege als über den sysadmin/admin.
Deine Frage nach register_globals ist zwar richtig, aber IMHO der falsche Ansatz.
Mit dieser Variablen zieht der Provider "quasi" die Notbremse für den Fall der Fälle.
Nur sollte es eigentlich, bei einer sauberen Programmierung eines php-Scriptes/ eines Systemes, gar nicht so weit kommen.
Allerdings es es fast unmöglich das ein Programmierer alle Einflüsse seines Scriptes auf xtausend Websystemen erkennen/simulieren kann und zudem fast nie die kreativen Ideen der Cyperkriminellen kennt.
Deswegen ist es ja so wichtig das schnell Patches bereitgestellt werden um in einer Version, egal welcher Version, solche Lücken fixen zu können.
Für einen Admin ist es nicht getan Contenido mal zu installieren und dann war es das.
(Um bei einem Beispiel zu bleiben: auch die Installation von Windows/Linux/ ... muß immer wieder aktualisiert werden.)
Mal ein (zugegeben: im Moment noch sehr phantastischer) Gedankenanstoß an die Entwickler:
Ist es so abwägig im Fenster MyContenido ein Link zu plazieren: "auf Sicherheitsupdates prüfen"
Der Link könnte zu einer Seite (f4b/sourceforge.net/ ... gehen auf der Sicherheitspatches für die verschiedenen Contenido-Versionen hinterlegt sind.
Grundsätzlich nein, wobei er zunächst nur auf die Download-Seite verweisen würde.Ist es so abwägig im Fenster MyContenido ein Link zu plazieren: "auf Sicherheitsupdates prüfen"
Gruß
HerrB
Bitte keine unaufgeforderten PMs oder E-Mails -> use da Forum!
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Hat noch jemand Interesse an dem Thema?
Im Moment darf ich ein Contenido 4.6.8 nach Scripten von Bank-of-America absuchen. Da plaziert sich ein ganze Menge.
Beim Download einer "ubuntu.php" schlug mein Virenscanner Purzelbäume.
Das Teil lag neben anderen Dateien in /contenido/external/frontend.
Die Phishing-Seiten waren unter /contenido/styles abgelegt.
Bin mit der Bereinigung noch nicht ganz fertig.
Hauptübeltäter ist wohl ein Virus in einer "de.php". Diese ist in mehreren Ordner zu finden.
In /contenido/external/frontend habe ich einen Ordner namens "linxs" gefunden. Der kann nicht gelöscht werden, beim Download schlug der Virenscanner mehrmals Alarm.
Im Moment darf ich ein Contenido 4.6.8 nach Scripten von Bank-of-America absuchen. Da plaziert sich ein ganze Menge.
Beim Download einer "ubuntu.php" schlug mein Virenscanner Purzelbäume.
Das Teil lag neben anderen Dateien in /contenido/external/frontend.
Die Phishing-Seiten waren unter /contenido/styles abgelegt.
Bin mit der Bereinigung noch nicht ganz fertig.
Hauptübeltäter ist wohl ein Virus in einer "de.php". Diese ist in mehreren Ordner zu finden.
In /contenido/external/frontend habe ich einen Ordner namens "linxs" gefunden. Der kann nicht gelöscht werden, beim Download schlug der Virenscanner mehrmals Alarm.