Forum für CMS/made simple

antibart

Server-Pate

Registriert: 14. Dezember 2010

Beiträge: 880

Wurde ich gehackt?

Hallo,

zunächst - auch wenn es erstmal widersprüchlich klingt: An Backend und Frontend sind keinerlei Auffälligkeiten oder Hinweise auf einen Hack festzustellen.

Die Website befindet noch in der Entwicklung in einem Unterordner der Domain. Gehackt wurde angeblich ein Banner in der noch aktiven "alten Seite" mit einem JS. Die alte Seite basiert nicht auf irgendeinem einem CMS, sondern auf einzelnen PHP-Dateien. Ich habe mit ihr weiter nichts zu tun.

Nun empfiehlt der alte Web-Admin, man möge doch das neue CMS auf Sicherheitslücken untersuchen, da es durchaus sein könnte, dass die alte, noch aktive Seite über das neue CMS gehackt wurde.

Kann das sein? Wo die CMSMS-Installation doch unterhalb der gehackten Seite liegt?

Ich würde die Seite gern auf Fremdzugriffe überprüfen. Aber wie?

Aufgefallen sind mir nur folgende Einträge im Systemprotokoll, die meines Wissens aber über Pseudo-Crons von CMSMS erzeugt werden.

Name des Eintrags    
Automated Task Succeeded    

Aktion
PruneAdminlogTask

Beitrag geändert von antibart (26. Mai 2014 11:57)

NaN

Moderator

Ort: Halle (Saale)

Registriert: 09. November 2010

Beiträge: 4.437

Re: Wurde ich gehackt?

Im Admin-Log wirst Du da weniger einen Hinweis finden. Zielführender wären die Access-Logs/Error-Logs der Domain bzw. die FTP-logs.

Kann das sein? Wo die CMSMS-Installation doch unterhalb der gehackten Seite liegt?

Was genau heißt "unterhalb"?
Ist das CMS über die alte Domain erreichbar?
Wenn ja, dann hat das CMS auch Zugriff auf die Verzeichnisse/Dateien der alten Domain.
Es mag sein, dass CMSms aus Prinzip nicht über den "root_path" hinaus geht, aber rein technisch wäre das per PHP-Script möglich.

Besser wäre, eine Subdomain oder eine neue Domain anzulegen, und ihr ein eigenes Verzeichnis zuzuweisen. In diesem Verzeichnis kannst Du den direkten Zugriff über die alte Hauptdomain dann per .htaccess sperren (oder umleiten). Dann sollten CMS-Scripte auch nicht auf die Dateien des übergeordneten Verzeichnisses zugreifen können.

Tritt der Fehler häufiger auf? (also immer wieder nach dem Entfernen der bösartigen Scripte)
Welche CMSms-Version?
Welche Module?
Hattest Du die Tipps zum Absichern der CMSms-Installation umgesetzt?

Es kann nämlich durchaus ebenso möglich sein, dass der Fehler in den alten PHP-Scripts liegt. Aber ohne Log-Daten wird es sehr schwierig, das einzugrenzen.

---

Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

nockenfell

Moderator

Ort: Gontenschwil, Schweiz

Registriert: 09. November 2010

Beiträge: 2.935

Webseite

Re: Wurde ich gehackt?

Solange ein PHP Script auf dem gleichen Webspace liegt, hat es Zugriff auf jegliche Verzeichnisse in diesem Webspace. Nun ist einzig die Frage, ob das Script auch die nötige Berechtigung hat, um andere Dateien zu verändern.
Wenn du alle Dateien und Verzeichnisse mit chmod777 freigeben musst, damit diese durch PHP beschrieben werden können, musst du nur in den entsprechenden Verzeichnissen suchen. Eine solche Änderung kann allerdings sehr klein sein, so dass du sie schwierig erkennen kannst.

---

[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

antibart

Server-Pate

Registriert: 14. Dezember 2010

Beiträge: 880

Re: Wurde ich gehackt?

Ich habe mir mal die Log-Files mal angeschaut. Zumindest in den letzten 5 Tage kaum ZUgriffe auf das CMS-Verzeichnis. Die meisten sind von mir, andere vermutlich vom Kunden: Nur Seiten, Bild, und CSS-ZUgriffe. Keine auf Scripte.

Tritt der Fehler häufiger auf? (also immer wieder nach dem Entfernen der bösartigen Scripte)
Welche CMSms-Version?
Welche Module?
Hattest Du die Tipps zum Absichern der CMSms-Installation umgesetzt?

1. Ich habe den "Fehler" ja gar nicht mehr zu Gesicht bekommen. Ein Kunde des Kunden hat ein Banner von seiner eigenen Seite entfernt, weil in jenem angeblich ein Virus versteckt war. Überprüfen kann ich das nicht, da das Banner wieder hergestellt wurde und die alte Seite auch nichht von mir betreut wird.

2. 1.11.10

3. CGExtensions
CMSMaile
CMSPrinting       
FileManager   
FormBuilder   
FrontEndUsers
MenuManager
ModuleManager
News
Search
ThemeManager
TinyMCE
ToolBox

4. Äh - noch nicht. Wie man an den Modulen erkennen kann, räume ich meist erst am Ende eines Projektes auf und richte dann auch erst die Serheitsmaßnahmen ein. Vermutlich ein Fehler.

Ein paar Standards mache ich natürlich schon vor/bei/direkt nach der Installation: admin-ordner umbenennen, install löschen, prefix ändern.

Beitrag geändert von antibart (26. Mai 2014 13:36)

antibart

Server-Pate

Registriert: 14. Dezember 2010

Beiträge: 880

Re: Wurde ich gehackt?

Die Errorlogs geben auch nicht viel her. DAs sind alles ZUgriffe von mir.

Komischerweise bekommen ich angeblich seit zwei Stunden Fehlermeldungen dieser Art:

PHP Fatal Error: Uncaught  --> Smarty: Call of unknown method '_compile_source'.

.. von denen ich im Backend gar nichts mitbekomme. Hat was mit der Listit2-Instanz zu tun.

Beitrag geändert von antibart (26. Mai 2014 14:52)