Nabend,
hatte am Wochenende Besuch, mit der Folge, dass der komplette Inhalt meiner Website gelöscht worden ist.
Der Angreifer hatte Adminzugriff im Backend.
Nach Sichtung des Serverlogs gab es ein Zugriff aus dem Zion-Network mit Proxy-IP.
Ich scheue mich noch davor ein Backup einzuspielen, da ich nicht genau weiss was passiert ist.
Ich könnte da ein wenig Hilfe gebrauchen um der Sache auf den Grund zu gehen.
Wenn man ein wenig nach "phpwcms+XSRF" oder exploit sucht, findet man ein Script welches scheinbar für die aktuelle Version 1.4.7 ist.
Ist dieses Script aktuell und potentiell gefährlich?
Danke erstmal.
Website gehijacked
Re: Website gehijacked
Hi,
ich kann das nur nachvollziehen (r420) wenn ich das Script in der selben Session starte, also auf dem selben Account.
Du bist sicher, dass du als einziger Kontrolle über den FTP-Zugang hast?
Knut
ich kann das nur nachvollziehen (r420) wenn ich das Script in der selben Session starte, also auf dem selben Account.
Du bist sicher, dass du als einziger Kontrolle über den FTP-Zugang hast?
Knut
>> HowTo | DOCU | FAQ | TEMPLATES/DOCS << ( SITE )
Re: Website gehijacked
Version r412 ist es.
Also wenn der FTP Account bekannt gewesen wäre, dann wär wohl nix mehr da.
Der Zugriff beschränkte sich nur auf das BE.
Geht denn von diesen Expoit für die 1.4.7er Version eine Gefahr aus, wenn ja unter welchen Voraussetzungen?
Also wenn der FTP Account bekannt gewesen wäre, dann wär wohl nix mehr da.
Der Zugriff beschränkte sich nur auf das BE.
Geht denn von diesen Expoit für die 1.4.7er Version eine Gefahr aus, wenn ja unter welchen Voraussetzungen?
Re: Website gehijacked
Teste es doch einfach selbst mit diesem/n Script/en auf deinem Account.
Steht ja drin wie das angeblich angewendet werden soll.
Bei mir (lokal und extern) funktioniert das nur wenn ich aus dem selben Browser mit dem ich mich eingeloggt habe auch das Script starte, wenn das Script auf diesem Account liegt.
Das ist allerdings kein Teufelswerk sondern ein ganz normales Verhalten.
Starte einfach das Script in einem anderen Browser und es sollte nicht mehr funktionieren.
Ein "Cross-Site"-Angriff von einer anderen Domain bekomme ich damit nicht hin.
Knut
Steht ja drin wie das angeblich angewendet werden soll.
Bei mir (lokal und extern) funktioniert das nur wenn ich aus dem selben Browser mit dem ich mich eingeloggt habe auch das Script starte, wenn das Script auf diesem Account liegt.
Das ist allerdings kein Teufelswerk sondern ein ganz normales Verhalten.
Starte einfach das Script in einem anderen Browser und es sollte nicht mehr funktionieren.
Ein "Cross-Site"-Angriff von einer anderen Domain bekomme ich damit nicht hin.
Knut
>> HowTo | DOCU | FAQ | TEMPLATES/DOCS << ( SITE )