Problem mit Hackerangriffen

[onlineorange]

Hallo liebes modified-Team,

ich habe ein echtes Problem.

Laut meinem Provider (Alfahosting) habe ich ein Sicherheitsproblem im Shop.

Ich benutze den modified-shop 1.06 4642 SP2 mit Sicherheitspatches vom 01.12.2015 und 06.10.2015

Folgendes Problem tritt auf.

Es werden Dateien in das Verzeichnis images gelegt, welche dann Spam-Mails versenden.

Wie kann ich dieses Problem beheben? Könnt Ihr mir Tipps, Anhaltspunkte oder gar Lösungen
nennen.

Ich gehe folgendermaßen vor:

1. Sicherung der befallenen Daten
2. Löschen des kompletten Webspace
3. FTP-Passwort ändern
4. Aufspielen eines frischen Systems
5. Einspielen Template
6. Erneutes Ändern des FTP-Passwortes

Ich danke Euch für Eure Hilfe und Tipps.

Sollte das Thema an der falschen Stelle stehen danke ich schon fürs umbewegen.

Vielen Dank.

Andreas
5

Linkback: https://www.modified-shop.org/forum/index.php?topic=34042.0

[ChristianRothe]

Dein Ablauf zur Wiederherstellung des Shops ist völlig richtig.

Der FCK-Editor (bzw. sein Filemanager) ist vermutlich das Problem, über das die Uploads in den images-Ordner ausgeführt werden. Wenn Du den Adminbereich (also alles im Dateipfad /admin ) mit einem Passwortschutz über eine .htaccess-Datei sicherst, ist zuverlässig Ruhe im Karton.

[Bonsai]

7.) Das /admin Verzeichnis mit .htaccess sichern
8.) Passwörter nicht im FTP Client speichern, sondern in z.B. KeePass
9.) Sicherstellen, dass sich der FTP Client AUSSCHLIESSLICH mit verschlüsselter Authentifizierung am Server anmeldet.

Zu 9: Bei FTPS sicherstellen, dass erst verschlüsselt wird, und danach das Passwort übertragen.

Explizites und implizites FTPS

Aus historischen Gründen unterstützt FTPS zwei Varianten des Protokolls: explizites SSL/TLS und implizites SSL/TLS. In der ersten Variante muss der Client explizit vor der Übermittlung von Log-in-Daten eine Verschlüsselung verlangen. Dies ist der Standard bei der im Haupttext gezeigten Konfiguration von vsftp. Impliziertes SSL/TLS läuft üblicherweise auf Port 990 und geht davon aus, dass der Client SSL/TLS ohne weitere Absprache verlangt. Die implizierte Variante gilt als überholt und hat kaum noch Bedeutung.

Wenn möglich gleich auf SFTP gehen, da ist sowieso immer alles dicht.

[Bonsai]

10) Admin Passwort im Shop ändern!

Wer Zugriff aufs Dateisystem hatte, der konnte möglicherweise eine Datei so verändern, dass er Zugriff auf das verschlüsselte Passwort hat. Wenn man ein relativ unsicheres Passwort hat, ist mit der entsprechenden Rechenleistung das in wenigen Minuten bis Tagen geknackt. Es kursieren Listen im Internet mit den md5 oder sha1 hashes der meist-verwendeteten Passwörter. Wenn das Passwort da dabei ist, dauert es nur Sekunden!

[hbauer]

Hier ist auch eine Liste erstellt worden: FAQ: Hilfe, ich glaube mein Shop wurde gehackt

[hbauer]

Der FCK-Editor (bzw. sein Filemanager) ist vermutlich das Problem, über das die Uploads in den images-Ordner ausgeführt werden. Wenn Du den Adminbereich (also alles im Dateipfad /admin ) mit einem Passwortschutz über eine .htaccess-Datei sicherst, ist zuverlässig Ruhe im Karton.

Ich glaube für diese Aussage ist es noch zu früh.

Gruß

Hagen

[Alfred]

Hallo,

gehackte Internetseiten haben im letzten Jahr um 300% zugelegt.
Damit sich Angriffsversuche lohnen muss das versucht werden bei weit verbreiteter Software.

25% aller Internetseiten weltweit nutzen Wordpress.
Oft genug werden Lücken gesucht, dann ausgenutzt und anschließend vom Angreifer behoben.

Gruß

[ChristianRothe]

Der FCK-Editor (bzw. sein Filemanager) ist vermutlich das Problem, über das die Uploads in den images-Ordner ausgeführt werden. Wenn Du den Adminbereich (also alles im Dateipfad /admin ) mit einem Passwortschutz über eine .htaccess-Datei sicherst, ist zuverlässig Ruhe im Karton.

Ich glaube für diese Aussage ist es noch zu früh.

Wieso zu früh? Ich habe doch ausdrücklich "vermutlich" geschrieben. Ab wann darf denn vermutet werden? Ich finde die Beschreibung "Es werden Dateien in das Verzeichnis images gelegt" durchaus typisch für ein FCK-Filemanager-bezogenes Sicherheitsproblem.

Ich würde bei dem Shop das Modifikations-Datum der hochgeladenen Dateien anschauen und dann im Webserver-Logfile nachsehen, welche Zugriffe am angegebenen Tag zur angebenen Uhrzeit stattgefunden haben. Dies kann einen zuverlässig auf die Spur bringen, wie der Angriff stattgefunden hat.

Unabhängig davon ist ein .htaccess-Passwort-Schutz für den Admin-Bereich meines Erachtens immer eine gute Idee.

[p3e]

Wer Zugriff aufs Dateisystem hatte, der konnte möglicherweise eine Datei so verändern, dass er Zugriff auf das verschlüsselte Passwort hat. Wenn man ein relativ unsicheres Passwort hat, ist mit der entsprechenden Rechenleistung das in wenigen Minuten bis Tagen geknackt. Es kursieren Listen im Internet mit den md5 oder sha1 hashes der meist-verwendeteten Passwörter. Wenn das Passwort da dabei ist, dauert es nur Sekunden!

Nein, wenn jemand Zugriff auf das Dateisystem hat, hat er auch Zugriff auf die Datenbank. Es ist also viel einfacher und auch unauffälliger für den Angreifer ein normales Kundenkonto anzulegen und diesen Konto Adminrechte in der Datenbank einzuräumen.

Den Adminbereich über einen .htaccess-Passwort-Schutz zu sichern sehe ich auch als sehr empfehlenswert an.

[p3e]

Irgendwie lässt mir das keine Ruhe.
Du solltest in den Logdateien nachschauen, wie die Dateien auf den Server gekommen sind.

Wenn der Schadcode immer im Image-Verzeichnis abgelegt wurde, solltest du diesen besonders schützen.
Ein Vorteil vom Image-Verzeichnis  ist, dass hier eigentlich keine ausführbaren Dateien liegen. Wieso gehen wir also nicht hin,  sperren alle Dateien und legen eine Ausnahme  ausschließlich für Grafikdateien an?
Dazu muss nur eine .htaccess mit folgendem Eintrag in das Image-Verzeichnis geschrieben werden:

Code: PHP  [Auswählen]

<Files "*.*">
Deny from all
</Files>

<FilesMatch "\.(png|jpg|jpeg|gif|swf)$">
Allow from all
</FilesMatch>
 

Ich denke das sind alle relevanten Grafikformate, die Dateiendungen können aber nach selben Muster erweitert werden. (Bin ein paar Tage unterwegs und habe nicht wirklich nachgeschaut, was alles im Images-Verzeichnis liegt,  vielleicht kann da jemand mal eben nachsehen und ggf. ergänzen).

Edit: Theoretisch kann man so einen Schutz für alle Verzeichnisse erstellen, indem man nur die Dateien erlaubt, die direkt als URL aufgerufen werden.

[onlineorange]

Hallo alle zusammen,

ich danke erst einmal für die vielen Tipps.

Es werden leider nicht nur Dateien ins Verzeichnis:
/images

gelegt sondern auch in:

/import
/callback
/payone
/mdia/content

Auch bewegt sich der Angreifer auf dem Speiher auch in Pfade oberhalb
des Shops. Ich hatte mysqldumper drauf, auch dort hat er sich im /languages
Verzeichnis verewigen wollen. Trotz Sicherung mit Verzeichnisschutz.

Der Angreifer hat sich keinen eigenen Kundenaccount angelegt, dass ist schon mal sicher.

Ich werde auf jeden Fall das Adminpasswort mal ändern.

Und FCK-Editor auf jeden Fall nach Eurer Anleitung sichern.

Was die Sache angeht wie die Dateien auf den Speicher gekommen sind,
habe ich lediglich die Antwort von Alfahosting bekommen, dass es nicht über
FTP passiert ist.

Ich bin Euch für weitere Hinweise dankbar ohne Ende.

Eine gute Nacht, schau mal ob ich wieder ein paar Dateien finde.

Andreas

[hbauer]

Hast Du den schon den Hinweis auf die Logfiles verfolgt?

Gruß

Hagen

[onlineorange]

Guten Morgen Hagen,

ich habe lediglich die access-Logs die ich anschauen kann.

Dort ist zu sehen, dass immer wieder Anfragen kommen nach ein und den selben Dateien:

css.php
themes.php
diff.php
dir.php
xml.php
usw.

Und über den ganzen Tag verteilt wird immer wieder versucht auf die verschiedensten
Pfade versucht mit diesen Dateien zuzugreifen.

Was ich auch noch hatte, das ist aber jetzt schon ewig her, war das 2 Verzeichnisse angelegt
waren in der Root des Speichers und 3000 Dateien mit verschiedensten MArkennamen in den HTML-
Dateien. Diese habe ich sofort entfernt und seitdem, dürfte jetzt gut 1,5 Monate her sein, ist
das nicht mehr passiert. Aber jeztt eben das PRoblem mit den PHP-Dateien in den verschiedensten
Verzeichnissen.

Danke schön das Ihr Euch meinem Problem annehmt.

Gruß

Andreas

[hbauer]

Du hast also vor 1,5 Monaten schon mal den Fall gehabt das Dir jemand Dateien auf Deinen Server geschoben hat und hast damals nicht rausgefunden wie die dahin kamen?

Es reicht leider nicht aus einfach nur die ungewünschten Daten zu löschen. Man muss rausfinden auf welchem Weg die dahingekommen sind sonst passiert genau das was Du jetzt beobachtest. Die offene Stelle wird wieder ausgenutzt.

Um mal anzufangen wäre es ein Start einen der unerwünschten Dateinamen zu nehmen und in den logs zu suchen wann der als erstes aufgetaucht ist. Das könnte der Moment gewesen sein an dem diese Datei im Filesystem plaziert worden ist. (Wenn man mal dem Hoster glaubt das es nicht über FTP gekommen ist)

Und dann könnte es sein das man in den Zeilen vor dem ersten Auftauchen "Dinge" findet die nicht normal Aufrufe sind.

Das ist zwar jetzt keine vollständige Beschreibung aber vielleicht findet man damit ja was.

Hast Du ach mal geprüft welche anderen Anwendunge du noch hast und ob es vielleicht dort ein Leck geben könnte?

Gruß

Hagen

[Alfred]

Hallo,

du solltest deinen PC prüfen. Da fängt es an.
Dein phpmyadmin liegt im Ordner mit einem anderen Namen und ist extra PW-geschützt?

Der Shop ist keine Uralt-Version?

Gruß