Hackerangriff i.d.Zeit 4.3.-10.3.08

**howa** · 14.03.2008 16:38

Hallo Leute,
In der oben angezeigten Zeit ist die Website www.sc-forst.de angegriffen worden. In der configuration.php wurde ein "iframe" Tag gesetzt. Zur Zeit des Angriffs war die Vers. 1.0.12 im Einsatz. Nach Entfernung des "iframe " Tags aus der config.php und eines Updates auf V.1.0.15 lief die Website wieder sauber (soweit man das sehen konnte). Was man nicht sehen konnte war das, dass jede Menge Spam Mails verschickt wurden angeblci lt Hoster (HE) 14.000 Stck. Das habe ich heute in meinem Email Client gesehen. Erneut hat HE die Website gesperrt

gesperrtes Verzeichnis: /is/htdocs/wp1020837_VGM4RYRKNW/
Begründung: Spamversand
Kommentar: X-PHP-Script: www.sc-forst.de//index.php

und mir eine Liste mit Filenamen geschickt

Eingeschleuste Dateien in Ihrem Webspace:

./www/images/bmail.php
./www/language/errors.php
./www/language/m3ch.zip
./www/language/m3ch
./www/language/m3ch/cron.d
./www/language/m3ch/entity-gen
./www/language/m3ch/entity-gen.c
./www/language/m3ch/host
./www/language/m3ch/httpd
./www/language/m3ch/install
./www/language/m3ch/kswapd
./www/language/m3ch/mech.help
./www/language/m3ch/mech.levels
./www/language/m3ch/mech.pid
./www/language/m3ch/mech.session
./www/language/m3ch/mech.set
./www/language/m3ch/mech.set.save
./www/language/m3ch/pickbnc.dir
./www/language/m3ch/randlogins
./www/language/m3ch/start
./www/language/m3ch/y2kupdate
./www/language/m3ch/errors.php
./www/language/m3ch/2.txt

Auf meine Anfrage, ob es vielleicht ratsam wäre, den SMTP Server vorübergehen zu sperren, bekam ich als Antwort:

der Spamversand erfolgt über unsichere Sckripte z.b. www.sc-forst.de//index.php

Da ich ja nun auf V.1.0.15 gupdatet habe und zwar gestern, bin ich davon ausgegangen, dass in der neuen index.php (1.0.15) keine Unsicherheit mehr drinstecken kann. Diverse Passwörter wie Adminzugang fürs BE und auch für KIS bei HE habe ich geändert.

Die Website ist seit einer halben Stunde wieder online.

Vielleich kann mir jemand sagen was ich noch machen kann, damit dieser blöde Spamversandt aufhört.
Grüsse und herzlcihen Dank im Voraus.
Horst

**Taka** · 14.03.2008 16:48

Lies mal diesen Thread und folge auch dem Link darin. Sofern das auf dich zutrifft, findest Du auf der gelinkten Seite Hilfe...

http://www.joomlaportal.de/programmi...php-macht.html

**howa** · 14.03.2008 17:03

Hi Taka, danke für Deine rasche Reaktion, nur leider kann ich mit dem link nichts anfangen. Ich bin kein php Könner! Du müsstest mir schon den Weg zeigen wo ich nachlesen sollte, bzw. sagen was ich ändern muss. So wie ich es sehe dreht es sich doch um die index.php. Frage sollte ich diese evtl. aus der zip-Datei nochmals hochladen. Oder sage mir bitte wonach ich suchen muss.
Gruss Horst

**Taka** · 14.03.2008 17:12

Naja, Du solltest das hier lesen:

http://www.whyron.com/httpd.htm

...und allenfalls den Ratschlägen unter "Was ist zu tun?" Beachtung schenken.

Wenn das nix hilft, dann übe etwas Geduld bis sich "flotte" meldet, er ist hier der Security-Spezi

**howa** · 14.03.2008 17:23

Mmm, ist ja gut und schön. Ich verstehe nur die Zuasammenhänge nicht. Die Ursachen für den angriff sind doch gelöscht. Die neueste Version 1.0.15 upgedatet. Warum dann noch den Aufwand mit allen php Scripts?

Aber villeicht weiß "flotte" noch eine weitere Antwort auf meine Fragen

Danke Taka fürs erste.

Gruss Horst

**Taka** · 14.03.2008 17:26

Weil ein Update ein Backdoor nicht wegmacht...

**howa** · 14.03.2008 17:46

Und was macht es weg? Was muss ich machen?
Gruss Horst

**keraM** · 14.03.2008 18:40

Mach eine komplette Datensicherung (Files und Datenbank), lösche anschließend alles auf dem Webspace, ebenso die Datenbank. Bitte laß Dir damit nicht allzuviel Zeit. Jede Spammail, die von Deinem System ausgeht, kann eine Klage, strafbewehrte Unterlassenserklärung oder Schadenersatzforderung nach sich ziehen.

Dann nimmst Du ein garantiert sauberes Backup daher (scheiss auf die paar eingebüßten Daten), installierst es lokal (bspw. unter xampp) und vergleichst alle installierten Mambots, Module und Komponenten mit dieser Liste. Was als unsicher eingestuft ist, wird gefixt. Wenn kein Fix möglich ist, wird es deinstalliert.
Anschließend alle verbleibenden Bots, Module, Komponenten und Joomla auf den neuesten Stand bringen und die fehlenden Inhalte nachtragen.
Dann kannst Du diese Seite wieder auf den Webspace bringen.

Wenn Du kein Backup hast, haste einfach Pech gehabt und (hoffentlich) Deine Lektion für die Zukunft gelernt.

Dann bleibt Dir nicht weiter übrig, als nach Schritt 1 (Datensicherung und Löschen) die Seite wieder ganz neu aufzubauen.

**howa** · 14.03.2008 19:02

Hi keraM,
danke für Deine Tips. Ein Backup habe ich vom 12.03.08 nach dem Update auf 1.0.15 . Da war der Webspace aber schon verseucht. Das hilft dann wohl nicht weiter, oder? Wie Taka ja feststellte macht ein Backup ein Bakcdoor nicht wegmacht. Sehe ich das richtig, dass mir nichts anderes übrig bleibt, den gesamten Webspace zu löschen?
Gruss Horst

**Taka** · 14.03.2008 19:26

Zitat von howa

Hi keraM,
danke für Deine Tips. Ein Backup habe ich vom 12.03.08 nach dem Update auf 1.0.15 . Da war der Webspace aber schon verseucht. Das hilft dann wohl nicht weiter, oder? Wie Taka ja feststellte macht ein Backup ein Bakcdoor nicht wegmacht. Sehe ich das richtig, dass mir nichts anderes übrig bleibt, den gesamten Webspace zu löschen?
Gruss Horst

Dann würde ich deinen Hoster zuerst anfragen, ob er noch ein "sauberes Backup" aus einer früheren Zeit hat. Gute Hoster sollten das haben. Allenfalls die htaccess anpassen (gemäss meinem Link) um das Ausführen von Scripten zu unterbinden und dich dann durch jede einzelne Datei wühlen bis Du das Problem gefunden hast. Und wenn das alles nix nützt:

Dann bleibt Dir nicht weiter übrig, als nach Schritt 1 (Datensicherung und Löschen) die Seite wieder ganz neu aufzubauen.

Thema: Hackerangriff i.d.Zeit 4.3.-10.3.08

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Hackerangriff i.d.Zeit 4.3.-10.3.08

Lesezeichen

Lesezeichen

Berechtigungen