[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
Seite gehackt über das ResizeAddon - REDAXO Forum
Hallo,

Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.

Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

Seite gehackt über das ResizeAddon

5. Jun 2006, 01:25

Unglaublich! :?

Irgend jemand hat sich wahrscheinlich über das Resize addon auf meinen server gehackt und dort die berechtigungen verändert und ein sehr bescheuerten index eingestellt.

http://pixelworks.info/index.php

http://pixelworks.info/redaxo/index.php ... age_resize

Hab keine Ahnung wie das ging und was ich dagegen tun kan!
Hab meinen Provider informiert und eine index.htm eingestellt die vor der index.php angesteuert wird. Bis der Provider etwas unternimmt ist pixelworks also nicht erreichbar.

warum resize addon? weil wenn ich in der redaxo administration auf resize addon klicke statt resize addon folgende seite erscheint:
IbnuSina Hacked Your WeB!!!

Thanks To :

#hitamputih #solpotcrew
Greet To Meteoroid [PEROMPAK] solpot aryveron and all my friends

For admin:

Patch Your Web From aNy Bugs
Also wer auch immer das war vielen dank für den unnötigen stress.
Ans Redaxo Team - da muss man mal schauen welche lücke das sein könnte.

lg
Joachim

Benutzeravatar
alex2911
Beiträge: 567
Registriert: 20. Jul 2005, 04:13
Wohnort: Österreich
Kontaktdaten: Website

5. Jun 2006, 04:16

Hallo

Es tut mir leid für Dich und Deinen Server.
Ich vermute, Du hast eine CVS-Version benutzt.
Falls Du allein am Server bist, wird eine Neuinstallation wohl am einfachsten sein. Es ist manchmal kostspielig aber oft hinterlassen solche Einbrüche Spuren in Form von Backdoors. Diese sind schwer aufzuspüren und könnten später noch für böse Überraschungen sorgen.


Wurde zwar schon gesagt, ich wiederhole es aber nochmal.

Bitte schaut dass im Verzeichnis /redaxo/include/ eine .htaccess-Datei mit folgendem Inhalt existiert:

Code: Alles auswählen

AuthUserFile ./user.psw
AuthGroupFile /dev/null
AuthName Zugriff auf IncludeDateien
AuthType Basic

<limit GET>
require valid-user
</limit>
Sollte euer Redaxo aus welchen Gründen auch immer mit dieser Datei nicht mehr funktionieren, ist es wichtig, den Bereich /redaxo mittels einer "htaccess"-Datei zu sichern (oft gibt es bestimmte Beschränkungen für .htaccess-Dateien). Näheres darüber hier: http://de.wikipedia.org/wiki/htaccess oder fragt eueren Provider.

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

5. Jun 2006, 09:07

Danke für deinen tipp. Ich hatt meinen provider umgehend infomiert aber da ist derzeit natürlich keiner. Es heißt also warten.

Es wäre sicher sinnvoll redaxo generell mit einer htaccess auszurüsten und etwas sicherer zu machen.

Ich hätte das ja serber tun müssen - aber auf die verrückte idee, dass irgendwer meine webseite hacken würde kam ich im traume nicht.

Ich würde so ein typ gerne mal in die finger bekommen :twisted:

lg
Joachim

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

5. Jun 2006, 09:09

Ich hab mal nachgeschaut eine solche htaccess datei existiert auf meinem Server im include verzeichnis von redaxo.

lg
Joachim

Benutzeravatar
alex2911
Beiträge: 567
Registriert: 20. Jul 2005, 04:13
Wohnort: Österreich
Kontaktdaten: Website

5. Jun 2006, 13:36

Bist Du sicher dass die htaccess-datei da war und nicht umbenannt ?

Die genaue Schreibweise lautet: .htaccess - ohne Endung

Benutzeravatar
Markus.Staab
Entwickler
Beiträge: 9634
Registriert: 29. Jan 2005, 15:50
Wohnort: Aschaffenburg/Germany
Kontaktdaten: ICQ Website

5. Jun 2006, 14:00

Hi Joachim,

du hast einen Apache Webserver? PHP Version? REDAXO Version?

Gruß,
Markus

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

5. Jun 2006, 22:18

Webserver sollte confix sein.
php Version 4.2.1
Redaxo aktuellste CVS Version

lg
Joachim

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

5. Jun 2006, 22:19

alex2911 hat geschrieben:Bist Du sicher dass die htaccess-datei da war und nicht umbenannt ?

Die genaue Schreibweise lautet: .htaccess - ohne Endung
Ich kenn mich soweit recht gut mit .htaccess aus, die datei war und ist korrekt.

lg
Joachim

Benutzeravatar
alex2911
Beiträge: 567
Registriert: 20. Jul 2005, 04:13
Wohnort: Österreich
Kontaktdaten: Website

5. Jun 2006, 23:04

nun gut - bei php4.2.1 musste die kiste eh mal neu installiert werden.
register_globals auf On nehme ich an - safe_mode off, url_fopen On und alle Sicherheitsfunktionen abgeschaltet ?

Wenn Du sagst, .htaccess war im include - Verzeichnis, müsste es zumindest nen error500 ausgespuckt haben.
Ich habe heute etwa 2 Stunden hin und her getestet und konnte keinen Weg finden, um die .htaccess herum zu kommen.

Benutzeravatar
Markus.Staab
Entwickler
Beiträge: 9634
Registriert: 29. Jan 2005, 15:50
Wohnort: Aschaffenburg/Germany
Kontaktdaten: ICQ Website

6. Jun 2006, 09:31

Hi Joachim,

wie Alex schon sagte, die PHPVersion ist schon recht alt auf deinem Server...

Weiterhin, ist confixx ein Webserver? Ich war der Meinung, dass das nur ein Konfigurationsscript ist?

HTACCESS Dateien sind nur in Kombination mit einem Apacha Webserver möglich,...

Aber nicht das hier irgendwelche Gerüchte oder Ähnliches entstehen, wir sind drann die genauen Ursachen zu analysieren und werden ggf. Patches herausgeben, bzw falls nötig ein neues REDAXO 3.3 oder ähnliches zu releasen.

Gruß,
Markus

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

6. Jun 2006, 10:11

Es ist nicht mein Server - ich hab meine Domain bei Variomedia gehostet - aber eigener Server ist in Arbeit - wird die nächsten Monate kommen.

Bis jetzt hatte ich noch niemanden bei Variomedia konkret erreichen können. Ich werd mich melden wenns was neues gibt und eventuell auch ne Diagnose.

Ich werd die Daten auf meinem Server Runterladen wenn möglich und dann als Zip zur Verfügung stellen.

lg
Joachim

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

6. Jun 2006, 16:15

So ich hab ein Fehlerprotokoll vom Server - und auch alle Daten in einer Zip-datei. Wer interesse daran hat dem schick ich gerne eine E-mail. Werde heute abend meine Webseite reuploaden. morgen wird wieder alles klappen - denk ich mal.

lg
Joachim

Benutzeravatar
jdlx
Beiträge: 2615
Registriert: 29. Sep 2005, 10:50
Wohnort: Hamburg
Kontaktdaten: Website

Re: Seite gehackt über das ResizeAddon

6. Jun 2006, 17:37

Yoo hat geschrieben:Unglaublich! :?

Irgend jemand hat sich wahrscheinlich über das Resize addon auf meinen server gehackt ..
Du bist wohl nicht der Einzige der Besuch von dem Spaßvogel hatte, auch wenn es sich bei den Sites nicht um Redaxo handelt:

http://66.102.9.104/search?q=cache:G8Zu ... =firefox-a
http://www.mani-su.ch/
http://216.109.124.98/search/cache?p=Ib ... 1&.intl=de
http://www.forum.paboforum.nl/dload.php

Kann jemand hier Indonesisch?:
http://malanghack.net/article_read.php?id=788

Viel Erfolg bei der Nachforschung des exploits.. betrifft uns ja alle. ;-/

greets,
Jan

Benutzeravatar
uwe
Beiträge: 264
Registriert: 21. Dez 2005, 18:39
Wohnort: Hamburg
Kontaktdaten: Website

6. Jun 2006, 18:40

Guten Abend Yoo!

Also, alex2911 hat Recht, auf einem Apache kommt man an einer (richtig gecodeten) .htaccess nicht vorbei. Da bleibt nur passwort-raten. Das klappt manchmal, weil sich viele
keine Mühe geben: (admin- admin, test-test, master-master o.ä.).

eine andere (wahrscheinlichere) Möglichkeit wäre noch sql-injection, siehe http://www.heise.de/security/artikel/43175/0
mit vielen weiterführenden Literaturhinweisen (Seite 3) und Beispielen. OhaOha 8)
Aber auch das kann man erfolgreich abblocken.

Hast du die Logs schon ausgewertet?

Mfg Uwe

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

6. Jun 2006, 21:34

So nach prüfung der protokolle und daten und nach dem ich das system durchforstet habe hat sich heraus gestellt, dass redaxo durch das virus "PHP.C99Shell.b" befallen wurde. die datei shell.php im ordner redaxo/css/ wurde dazu mißbraucht die ftp-zugriffsrechte abzuändern und verschiedene dateien zu überschreiben z. B. die index.php im dokumentroot.

Dazu kommt noch im ordner addons/image_resize/pages/ChuChu/ eine Datei Namens xh die einen Linux-Virus "LINUX/Procfake" enthält.

lg
Joachim

Benutzeravatar
Ruediger.Nitzsche
Beiträge: 2117
Registriert: 13. Dez 2005, 09:29
Wohnort: Coburg
Kontaktdaten: Website

6. Jun 2006, 22:32

Wichtig und interessant wäre zu wissen, wie die entsprechenden Dateien auf den Server gelangt sind.

Gruss
Rüdiger

Benutzeravatar
serioussimon
Beiträge: 350
Registriert: 11. Okt 2005, 22:32
Wohnort: Bayern

6. Jun 2006, 22:44

diese "shell.php" is die von dir?

gruß simon
FYI: Eine HOMEPAGE ist nur die Startseite einer WEBSITE!

Benutzeravatar
Ruediger.Nitzsche
Beiträge: 2117
Registriert: 13. Dez 2005, 09:29
Wohnort: Coburg
Kontaktdaten: Website

6. Jun 2006, 22:56

serioussimon hat geschrieben:diese "shell.php" is die von dir?

gruß simon
Garantiert nicht, die ist Bestandteil des Hacks. Ich tippe aus der Ferne auf die veraltete PHP-Version in Verbindung mit schlecht gesetzten chmods, kann mich natürlich aber auch irren, ohne genauere Infos ist es schwierig.

Benutzeravatar
serioussimon
Beiträge: 350
Registriert: 11. Okt 2005, 22:32
Wohnort: Bayern

6. Jun 2006, 23:03

Yoo hat geschrieben:... die datei shell.php im ordner redaxo/css/ wurde dazu mißbraucht ...
wer weiß wo manche leute ihre php-shell verstecken, "damit sie keiner findet" - ich dachte halt man kann nur etwas mißbrauchen, dass für einen anderen zweck gedacht war ...

gruß simon
FYI: Eine HOMEPAGE ist nur die Startseite einer WEBSITE!

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

6. Jun 2006, 23:26

serioussimon hat geschrieben:
Yoo hat geschrieben:... die datei shell.php im ordner redaxo/css/ wurde dazu mißbraucht ...
wer weiß wo manche leute ihre php-shell verstecken, "damit sie keiner findet" - ich dachte halt man kann nur etwas mißbrauchen, dass für einen anderen zweck gedacht war ...
Ja da hab ich mich etwas ungünstig ausgedrückt.

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

6. Jun 2006, 23:28

headcrash hat geschrieben:
serioussimon hat geschrieben:diese "shell.php" is die von dir?

gruß simon
Garantiert nicht, die ist Bestandteil des Hacks. Ich tippe aus der Ferne auf die veraltete PHP-Version in Verbindung mit schlecht gesetzten chmods, kann mich natürlich aber auch irren, ohne genauere Infos ist es schwierig.
Hab da eben mal reingeschaut ist doch php version 5 auf dem server aktuellstes update sql ebenso.

chmods waren korrekt gesetzt! so wirklich blöde bin ich ja nicht.

lg

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

6. Jun 2006, 23:29

headcrash hat geschrieben:Wichtig und interessant wäre zu wissen, wie die entsprechenden Dateien auf den Server gelangt sind.

Gruss
Rüdiger
Das ist mir noch schleierhaft. bin aber dran.

lg

Benutzeravatar
Koala
Beiträge: 1612
Registriert: 3. Okt 2005, 13:20

6. Jun 2006, 23:30

headcrash hat geschrieben:
serioussimon hat geschrieben:diese "shell.php" is die von dir?
Garantiert nicht, die ist Bestandteil des Hacks. Ich tippe aus der Ferne auf die veraltete PHP-Version in Verbindung mit schlecht gesetzten chmods, kann mich natürlich aber auch irren, ohne genauere Infos ist es schwierig.
Da liegst du leider völlig daneben. Das hat mit chmods nichts zu tun. Durch den Include-Fehler war es möglich Dateien auf den Server zu übertragen.
Das Prinzip dabei ist simpel.
Die shell.php wurde als GET-Wert übergeben und direkt eingebunden. Der sich darin befindliche PHP-Code wurde nun mit Serverrechten ausgeführt. Und peng, schon hat man Zugriff. Wie weit man damit kommt, hängt nun entscheident von den Servereinstellungen ab. Wer open_basedir entsprechend eingerichtet hat, verhindert damit z.B. das auslesen (und evtl. ändern) von Dateien mit PHP-Hilfsmitteln ausserhalb seines Document-Root.
Das ganze hat übrigens auch nichts mit der PHP-Version zu tun. Zumindest nicht bei 4.2.1.
<?php print $Footer; ?>

Sven

Ich würde ja die Welt verändern,
doch der Quellcode ist mir zu absurd!


REX 5 :: Tricks und Tipps
REX 5 :: Modulesammlung

Wiki zu Redaxo 3 und 4 (!nur noch im Webarchiv!)

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

6. Jun 2006, 23:51

Koala hat geschrieben: Das hat mit chmods nichts zu tun. Durch den Include-Fehler war es möglich Dateien auf den Server zu übertragen.
Genau das Denke ich auch.

lg
Joachim

Joachim.Dörr
Beiträge: 1403
Registriert: 7. Apr 2006, 01:49
Kontaktdaten: ICQ Website

8. Jun 2006, 11:30

Pixelworks ist wieder online.

lg
Joachim

Zurück zu „Allgemeines [R3]“