REDAXO Forum

Hallo zusammen,

mal wieder eine Frage: ich habe einen Kunden mit Redaxo 3.2 am Start (Bugfix eingespielt). Bei ihm wird laufend eingebrochen und mein Rat an ihn ist endlich ein Upgrade durchzuführen.

Jetzt die Frage: um auf Redaxo 5 Upzugraden, ist es sinnvoll zuerst auf 4.x und dann auf 5 zu gehen oder ist es möglich direkt auf die 5 zu wechseln?

Und wenn es möglich ist: wie würdet ihr vorgehen?

Liebe Grüße,

Tobi

Hi Tobi,

direkt auf 5 brauchst/kannst du nicht gehen, da es die r5 ja noch nicht gibt.. .

wg. einbruch... haste mal deine Addons/Templates geprüft? Uns sind keine Probleme bekannt irgendwelche Einbruchversuche ermöglichen (Aus REDAXO Core Sicht).

Falls du deine Addons/Templates bereits geprüft hast, würde ich dir ein Update auf die neuste 4.x emfpehlen.

Gruß,
Markus

Hi Markus,

du bist mal wieder hammerschnell

Markus.Staab hat geschrieben:direkt auf 5 brauchst/kannst du nicht gehen, da es die r5 ja noch nicht gibt.. .

Da hast du natürlich recht. Nur von einer 5beta auf eine 5zu aktualisieren wird ja nicht so schwierig sein...

Markus.Staab hat geschrieben:wg. einbruch... haste mal deine Addons/Templates geprüft? Uns sind keine Probleme bekannt irgendwelche Einbruchversuche ermöglichen (Aus REDAXO Core Sicht).

Das gleiche Template verwende ich in einer 4.x. Dort wird nicht eingebrochen.

Die Addons hatte ich auch schon im Verdacht. Es sind nur noch image_resize und tinymce installiert.

Ich hab jetzt nochmals das Sicherheitupdate drauf gespielt. Vielleicht ging ja das letzte mal was schief. Auf jeden Fall gut zu wissen, dass euch keine Lücken bekannt sind.

Markus.Staab hat geschrieben:Falls du deine Addons/Templates bereits geprüft hast, würde ich dir ein Update auf die neuste 4.x emfpehlen.

Danke, ich such mal die Upgradeinfos aus den Foren raus.

Liebe Grüße,

Tobias

Hallo Tobias Krais,

hat zwar nur am rande was damit zu tun aber "wird laufend eingebrochen" hört sich ja an wie immer von brücke springen an :O).
Redaxo scheint ja recht sicher zu sein also würde ich mal wo anders schauen (nicht anderes CMS :O) ) wo eine lücke ist.
Vielleicht das alseitz beliebt filezilla->PW Speichern, benutzt das einer, der die Zugangsdaten hat?
Das ist eigentlich sehr beliebt beim haken.

Cheffchen

Cheffchen hat geschrieben:hat zwar nur am rande was damit zu tun aber "wird laufend eingebrochen" hört sich ja an wie immer von brücke springen an :O).

Auf der Installation haben wir ca. alle 3 Wochen einen Einbruch...

Cheffchen hat geschrieben:Redaxo scheint ja recht sicher zu sein, also würde ich mal wo anders schauen (nicht anderes CMS :O) ) wo eine lücke ist.

Ein wahres Wort. Der Kunde hat noch Joomla und Wordpress am laufen. Und Redaxo ist mit Abstand das am wenigsten eingebrochene CMS! Nur diese eine 3.2...

Cheffchen hat geschrieben:Vielleicht das allseitz beliebt filezilla->PW Speichern, benutzt das einer, der die Zugangsdaten hat?

Ich hatte die Zugangsdaten nach dem vorletzten Einbruch mal wieder geändert. Eigentlich sollte nur noch ich Zugang haben (Kunde zwar auch, aber er nutzt meines Wissens kein FTP). Aber wenn ich in Filezilla speichere, was hat das mit den Einbrüchen zu tun? Da müsste ja jemand an meinem Rechner dran sein, oder bin ich zu wenig informiert?

Danke für die Hinweise!

Liebe Grüße,

Tobi

autsch

Aber wenn ich in Filezilla speichere, was hat das mit den Einbrüchen zu tun? Da müsste ja jemand an meinem Rechner dran sein, oder bin ich zu wenig informiert?

ich fürchte ja.
Da brauchst bloss eine Falsche Seite besuchen die selber gehakt wurde und schon ist FTP Zuagng ausgelesen von Filezilla.
Das Problem ist das Filezilla die Daten in klartext speichert in einem festen Ordner, also brauch der Haker bzw das Programm nur mal schauen ob den Ordner hast und schon hat der die Daten.

Filezilla kannst ja nutzen, nur niemals PW Speichern.

Cheffchen

Hi Cheffchen,

danke für den Hinweis. Ich nehme vorwiegend FireFTP, auch wenn er schneckenlangsam ist. Filezilla habe ich allerdings auch im Einsatz. Da sollte ich was ändern.

Liebe Grüße,

Tobi

Probiert mal den Portable-Filezilla von portableapps.com

Da wird zwar auch gespeichert aber nicht in dem Standardverzeichnis ...

Gruß
Andreas

… hmmm
Also ich würde zunächst mal prüfen ob PHP, der DB-Server, die Verwaltungsoberfläche (z.B. Plesk) auf dem aktuellen Stand sind. Vor allem aber auch eine evtl. PHPMyAdmin-Installation. Bei Redaxo immer prüfen ob die .htaccess-Dateien und Dateirechte stimmen.

Wie macht sich der Einbruch bemerkbar?
Was macht der Einbrecher?

Hi netmanix,

netmanix hat geschrieben:Also ich würde zunächst mal prüfen ob PHP, der DB-Server, die Verwaltungsoberfläche (z.B. Plesk) auf dem aktuellen Stand sind. Vor allem aber auch eine evtl. PHPMyAdmin-Installation. Bei Redaxo immer prüfen ob die .htaccess-Dateien und Dateirechte stimmen.

ohne zu prüfen: das macht alles der Provider. Er hatte uns auch auf einen Einbruch angesprochen. Die .htaccess ist korrekt, das hatte ich gleich geprüft als ich die Betreuung der Seite übernommen habe.

netmanix hat geschrieben:Wie macht sich der Einbruch bemerkbar?
Was macht der Einbrecher?

Unterschiedlich:
1. Alle index.php und .html oder .htm Dateien sind mit einem Javascript versehen worden. Die Änderungen der index.php konnte ich nach dem ersten Einbruch verhindern indem ich die Schreibrechte der index.php für alle entzogen habe.
2. Es wurde ein *** Shop installiert (extra Verzeichnis im Webroot).
3. Es wurde eine massive Spamschleuder installiert (extra Verzeichnis im Webroot). Das war sehr ärgerlich, da unsere Reputation noch bis jetzt dürftig ist.
4. Beim letzten Einbruch wurden nur zwei Dateien auf dem Server abgelegt, die per JavaScript eine Menge Code von einer anderen Domain nachgezogen haben.

Fazit: die Redaxo Installation wurde seit dem Entzug der Schreibrechte für die index.php nicht verändert.

Als letzte Maßnahme habe ich nun dem Webroot Verzeichnis alle Schreibrechte entfernt. Ich bin mal gespannt, ob das Wirkung zeigt.

Liebe Grüße,

Tobias

Tobias Krais hat geschrieben:Als letzte Maßnahme habe ich nun dem Webroot Verzeichnis alle Schreibrechte entfernt. Ich bin mal gespannt, ob das Wirkung zeigt.

Ich denk Wirkung wirds zeigen, wenn du Filezilla entsorgst, und alle, wirklich alle potentiell inkriminierten credentials änderst.. vergiß nicht, daß via dem FTP Zugang u.a. auch deine DB offen steht.

Tobias Krais hat geschrieben: Ein wahres Wort. Der Kunde hat noch Joomla und Wordpress am laufen. Und Redaxo ist mit Abstand das am wenigsten eingebrochene CMS! Nur diese eine 3.2...

Liegen die im selben Account? Und wurde nach dem Hack wirklich ein komplettes Cleanup durchgeführt oder nur Ursachenbekämpfung betrieben? REDAXO ist auf jeden Fall als Ursache auszuschließen, soviel ist Fakt. Die Probleme von Filezilla wurden ja schon genannt (bei uns mittlerweile die Ursache von mehr als der Hälfte aller erfolgreichen Angriffe), wenn beim Putzen die Backdoor übersehen wurde, wird das natürlich zur never ending Story.

Hi Rüdiger,

Ruediger.Nitzsche hat geschrieben:Liegen die im selben Account?

Nein. Dann wüsste ich schnell, wo es her kommt...

Ruediger.Nitzsche hat geschrieben:Und wurde nach dem Hack wirklich ein komplettes Cleanup durchgeführt oder nur Ursachenbekämpfung betrieben?

Ich habe ein angeblich sauberes Backup aus vor meiner Zeit eingespielt. Nach dem zweiten Angriff habe ich mal Meld als Diffbetrachter drüber laufen lassen. Sah soweit OK. Aus.

Ruediger.Nitzsche hat geschrieben:wenn beim Putzen die Backdoor übersehen wurde, wird das natürlich zur never ending Story.

Das will ich lieber nicht hoffen. Wäre ne echt häßliche Sache. Ich warte jetzt mit den Maßnahmen mal auf den nächsten Angriff. Dann mal schauen.

Danke mal an alle für die nützlichen Tipps! Wegen Filezilla eine OT Frage: ich nutze Ubuntu Lucid. Habt ihr einen sicheren und schnellen FTP Client für Ubuntu?

Grüßle,

Tobi

Die Filezilla-Problematik betrifft nur Windowsnutzer. Andere Frage, die .htaccess im include-Ordner ist vorhanden und allow_url_fopen hostingseitig unterbunden?

Rüdiger

Hi Rüdiger,

Ruediger.Nitzsche hat geschrieben:Die Filezilla-Problematik betrifft nur Windowsnutzer.

Danke für die Info.

Ruediger.Nitzsche hat geschrieben:Andere Frage, die .htaccess im include-Ordner ist vorhanden

Ja. Hab ich gleich gecheckt als ich die Pflege übernommen habe. Den Fehler hatte ich bei einer Übernahme nur einmal gemacht...

Ruediger.Nitzsche hat geschrieben:allow_url_fopen hostingseitig unterbunden?

Nee. Leider nicht. Ist in dem Hostingpaket auf ON.

Danke für die Hinweise! Liebe Grüße,

Tobi

Kannst du ausschließen, dass der Einbruch von innen kam?
Also, dass beim Hoster dein Account mit Gruppenrechten offen war und der Angreifer einen anderen Account beim Hoster gehackt hat?

Hi echi,

echi hat geschrieben:Also, dass beim Hoster dein Account mit Gruppenrechten offen war und der Angreifer einen anderen Account beim Hoster gehackt hat?

keine Ahnung. Wir haben noch einen Account beim Hoster, da ist nichts passiert. Von dem her vermute ich, dass es nicht von innen kommt. Aber definitiv kann ich das nicht sagen.

Liebe Grüße,

Tobi

habt ihr denn einen Shellzugang beim Hoster?
Bzw. bietet der Hoster Shellzugänge an?

Hi echi,

nein.

Liebe Grüße,

Tobi

Hallo,

such doch jetzt nicht rum, nimm doch das naheliegendste wie Sherlock holmes immer sagte, denn das ist es meistens auch :O).

Steh auf und Sage "ja ich habe filezilla genutzt und habe die PW gespeichert"
Dann ist gut und alle verzeihen dir :O)

Wenn das in der Zukunft nicht mehr machst und wirst wieder gehakt musst weiter suchen aber ist halt sehr unwahrscheinlich.

Cheffchen

Da als OS Ubuntu genutzt wurde, muß jemand anderes die Ursache sein.

Rüdiger

Ruediger.Nitzsche hat geschrieben:Da als OS Ubuntu genutzt wurde, muß jemand anderes die Ursache sein.

Rüdiger

Die Linuxversion vom Filezilla legt die Passwörter doch auch im Klartext in der XML

Warum kann man dann also diese Ursache bei Ubuntu ausschließen? Kannst du mir auf die Sprünge helfen?

weil es keinen entsprechenden Trojaner gibt

Rüdiger

Ruediger.Nitzsche hat geschrieben:weil es keinen entsprechenden Trojaner gibt

Rüdiger

Oh okay
...da haste natürlich recht
Danke