Forum

[Joachim.Dörr]

Unglaublich!

Irgend jemand hat sich wahrscheinlich über das Resize addon auf meinen server gehackt und dort die berechtigungen verändert und ein sehr bescheuerten index eingestellt.

http://pixelworks.info/index.php

http://pixelworks.info/redaxo/index.php?page=image_resize

Hab keine Ahnung wie das ging und was ich dagegen tun kan!
Hab meinen Provider informiert und eine index.htm eingestellt die vor der index.php angesteuert wird. Bis der Provider etwas unternimmt ist pixelworks also nicht erreichbar.

warum resize addon? weil wenn ich in der redaxo administration auf resize addon klicke statt resize addon folgende seite erscheint:

IbnuSina Hacked Your WeB!!!

Thanks To :

#hitamputih #solpotcrew

Greet To Meteoroid [PEROMPAK] solpot aryveron and all my friends

For admin:

Patch Your Web From aNy Bugs

Also wer auch immer das war vielen dank für den unnötigen stress.
Ans Redaxo Team - da muss man mal schauen welche lücke das sein könnte.

lg
Joachim

[alex2911]

Hallo

Es tut mir leid für Dich und Deinen Server.
Ich vermute, Du hast eine CVS-Version benutzt.
Falls Du allein am Server bist, wird eine Neuinstallation wohl am einfachsten sein. Es ist manchmal kostspielig aber oft hinterlassen solche Einbrüche Spuren in Form von Backdoors. Diese sind schwer aufzuspüren und könnten später noch für böse Überraschungen sorgen.


Wurde zwar schon gesagt, ich wiederhole es aber nochmal.

Bitte schaut dass im Verzeichnis /redaxo/include/ eine .htaccess-Datei mit folgendem Inhalt existiert:

Code: Alles auswählen

AuthUserFile ./user.psw
AuthGroupFile /dev/null
AuthName Zugriff auf IncludeDateien
AuthType Basic

<limit GET>
require valid-user
</limit>


Sollte euer Redaxo aus welchen Gründen auch immer mit dieser Datei nicht mehr funktionieren, ist es wichtig, den Bereich /redaxo mittels einer "htaccess"-Datei zu sichern (oft gibt es bestimmte Beschränkungen für .htaccess-Dateien). Näheres darüber hier: http://de.wikipedia.org/wiki/htaccess oder fragt eueren Provider.

[Joachim.Dörr]

Danke für deinen tipp. Ich hatt meinen provider umgehend infomiert aber da ist derzeit natürlich keiner. Es heißt also warten.

Es wäre sicher sinnvoll redaxo generell mit einer htaccess auszurüsten und etwas sicherer zu machen.

Ich hätte das ja serber tun müssen - aber auf die verrückte idee, dass irgendwer meine webseite hacken würde kam ich im traume nicht.

Ich würde so ein typ gerne mal in die finger bekommen

lg
Joachim

[Joachim.Dörr]

Ich hab mal nachgeschaut eine solche htaccess datei existiert auf meinem Server im include verzeichnis von redaxo.

lg
Joachim

[alex2911]

Bist Du sicher dass die htaccess-datei da war und nicht umbenannt ?

Die genaue Schreibweise lautet: .htaccess - ohne Endung

[Markus.Staab]

Hi Joachim,

du hast einen Apache Webserver? PHP Version? REDAXO Version?

Gruß,
Markus

[Joachim.Dörr]

Webserver sollte confix sein.
php Version 4.2.1
Redaxo aktuellste CVS Version

lg
Joachim

[Joachim.Dörr]

Bist Du sicher dass die htaccess-datei da war und nicht umbenannt ?

Die genaue Schreibweise lautet: .htaccess - ohne Endung

Ich kenn mich soweit recht gut mit .htaccess aus, die datei war und ist korrekt.

lg
Joachim

[alex2911]

nun gut - bei php4.2.1 musste die kiste eh mal neu installiert werden.
register_globals auf On nehme ich an - safe_mode off, url_fopen On und alle Sicherheitsfunktionen abgeschaltet ?

Wenn Du sagst, .htaccess war im include - Verzeichnis, müsste es zumindest nen error500 ausgespuckt haben.
Ich habe heute etwa 2 Stunden hin und her getestet und konnte keinen Weg finden, um die .htaccess herum zu kommen.

[Markus.Staab]

Hi Joachim,

wie Alex schon sagte, die PHPVersion ist schon recht alt auf deinem Server...

Weiterhin, ist confixx ein Webserver? Ich war der Meinung, dass das nur ein Konfigurationsscript ist?

HTACCESS Dateien sind nur in Kombination mit einem Apacha Webserver möglich,...

Aber nicht das hier irgendwelche Gerüchte oder Ähnliches entstehen, wir sind drann die genauen Ursachen zu analysieren und werden ggf. Patches herausgeben, bzw falls nötig ein neues REDAXO 3.3 oder ähnliches zu releasen.

Gruß,
Markus

[Joachim.Dörr]

Es ist nicht mein Server - ich hab meine Domain bei Variomedia gehostet - aber eigener Server ist in Arbeit - wird die nächsten Monate kommen.

Bis jetzt hatte ich noch niemanden bei Variomedia konkret erreichen können. Ich werd mich melden wenns was neues gibt und eventuell auch ne Diagnose.

Ich werd die Daten auf meinem Server Runterladen wenn möglich und dann als Zip zur Verfügung stellen.

lg
Joachim

[Joachim.Dörr]

So ich hab ein Fehlerprotokoll vom Server - und auch alle Daten in einer Zip-datei. Wer interesse daran hat dem schick ich gerne eine E-mail. Werde heute abend meine Webseite reuploaden. morgen wird wieder alles klappen - denk ich mal.

lg
Joachim

[jeandeluxe]

Unglaublich! :?

Irgend jemand hat sich wahrscheinlich über das Resize addon auf meinen server gehackt ..

Du bist wohl nicht der Einzige der Besuch von dem Spaßvogel hatte, auch wenn es sich bei den Sites nicht um Redaxo handelt:

http://66.102.9.104/search?q=cache:G8Zuzj_QTMgJ:www.softwarenord.de/sites/menu/default.asp%3FID%3D1+IbnuSina&hl=de&gl=de&ct=clnk&cd=1&lr=lang_de&client=firefox-a
http://www.mani-su.ch/
http://216.109.124.98/search/cache?p=IbnuSina&ei=UTF-8&rls=org.mozilla%3Ade%3Aofficial&ybs=0&fr=moz2&u=www.catalystworkflow.com/index.php%3Foption%3Dcom_content%26task%3Dblogcategory%26id%3D31%26Itemid%3D68&w=ibnusina&d=VeWF6jmtM4Yd&icp=1&.intl=de
http://www.forum.paboforum.nl/dload.php

Kann jemand hier Indonesisch?:
http://malanghack.net/article_read.php?id=788

Viel Erfolg bei der Nachforschung des exploits.. betrifft uns ja alle. ;-/

greets,
Jan

[uwe]

Guten Abend Yoo!

Also, alex2911 hat Recht, auf einem Apache kommt man an einer (richtig gecodeten) .htaccess nicht vorbei. Da bleibt nur passwort-raten. Das klappt manchmal, weil sich viele
keine Mühe geben: (admin- admin, test-test, master-master o.ä.).

eine andere (wahrscheinlichere) Möglichkeit wäre noch sql-injection, siehe http://www.heise.de/security/artikel/43175/0
mit vielen weiterführenden Literaturhinweisen (Seite 3) und Beispielen. OhaOha
Aber auch das kann man erfolgreich abblocken.

Hast du die Logs schon ausgewertet?

Mfg Uwe

[Joachim.Dörr]

So nach prüfung der protokolle und daten und nach dem ich das system durchforstet habe hat sich heraus gestellt, dass redaxo durch das virus "PHP.C99Shell.b" befallen wurde. die datei shell.php im ordner redaxo/css/ wurde dazu mißbraucht die ftp-zugriffsrechte abzuändern und verschiedene dateien zu überschreiben z. B. die index.php im dokumentroot.

Dazu kommt noch im ordner addons/image_resize/pages/ChuChu/ eine Datei Namens xh die einen Linux-Virus "LINUX/Procfake" enthält.

lg
Joachim