Problem mit Hackerangriffen

[jumpM]

Hi,

liegt Dein Problem vielleicht lokal auf Deinem Rechner??

Gruss
Robert

[ChristianRothe]

Schätze, dass der Angreifer auf dem Server ein Tool wie PHPJackal installiert hat:
https://www.google.com/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=PHPJackal

PHPJackal ist eine PHP-Shell, mit der man allerhand anstellen kann:
- Vorhandene Dateien verändern, löschen
- Neue Dateien hochladen
- Datenbankinhalte auslesen, verändern, sichern etc.

Ein solches Tool macht den Angreifer quasi zum Serveradministrator. Was man mit PHPJackal so anstellen kann, bekommt man in diesem Video ansatzweise demonstriert: https://youtu.be/Am6bokgN148?t=142

Würde sagen, dass sich dieses Tool in den Dateien css.php, themes.php, diff.php, dir.php, xml.php versteckt. Mit dem ersten Angriff über die Sicherheitslücke wird quasi nur das PHPJackal hochgeladen, dann macht der Angreifer mit seinem eigenen Tool weiter. Das Tool wird überlicherweise in PHP-Dateien versteckt, deren Namen für den arglosen Shopbetreiber harmlos klingen. Dateinamen wir "css.php" oder "xml.php" sind durchaus typisch dafür und sollen dem Shopbetreiber suggerieren, dass es sich hierbei um Dateien handelt, die standardmäßig zum Shopsystem gehören.

Frage an onlineorange: Existieren auf Deinem Server die aufgerufenen Dateien aus dem access-Log? Existieren also tatsächlich eine css.php oder eine themes.php im Dateisystem Deines Servers? Was steht da drin?

Es ist nämlich durchaus üblich, dass Hacker den PHP-Code von PHPJackal "maskieren", so dass er nicht sofort als Schadsoftware erkennbar wird. Dabei wird der PHP-Code in BASE64-Format gewandelt und dann mittels base64_decode-Befehl decodiert und mit eval-Befehl zur Ausführung gebracht. Also in etwa so:

Code: PHP  [Auswählen]

$content = 'hvICRpbnRybzt9fWVsc2UgZWNoby ... AkaW50cm87DQplY2hvICRmb290ZXI7Pz48L2JvZHk+PC9odG1sPg==';
eval(base64_decode($content));

[onlineorange]

Hallo Hagen,

ich werde in der Access Log schauen, da das die einzige ist die ich habe.

Kann mich noch an das erste auftreten genau erinnern leider.

Wenn ich da nix finde, wäre es möglich Dir den Auszug zu senden und das Dir da
eventuell etwas auffällt?

Nicht phpmyadmin sondern mysqldumper, lag in einem anderen Verzeichnis und auch dort war im
languages-Ordner eine Datei vom "Freund".

Danke.

Gruß

Andreas

[p3e]

Schwierig ist, dass Du nicht eindeutige Angaben machst. Wo Du zunächst nur vom Image Verzeichnis gesprochen hast, tritt die Problematik nach aktuellen Angaben tatsächlich auf Deinem kompletten Webspace verteilt auf und das bereits seit über einen Monat.
Normalerweise sind die Zugriffe in der Logdatei zu finden. hbauer hat Dir dazu eigentlich bereits grob gesagt, wie man da vorgehen sollte. Du musst schauen, wann die Datei das erste mal bei Dir in den Log-Dateien auftaucht. Der nächste Schritt wäre zu schauen, unter welcher IP dies geschah und was von der IP aus sonst noch getrieben wurde. Wenn Du Glück hast, findest Du über den Weg schon den Zugang zu Deinem Dateisystem.
Interessant ist zusätzlich, was der Angreifer ansonsten auf Deinem Webspace gemacht hat. Dazu suchst Du Dir jeweils auch wieder die IP-Nummern die auf die besagten Dateien zu späteren Zeitpunkten zugegriffen haben und schaust, was von dieser IP-Nummer aus sonst noch "angestellt" wurde.

Es gibt auch Angriffe mit wechselnden IP-Nummern um die Analyse zu erschweren. In dem Fall musst Du nach anderen Anhaltspunkten suchen, die hier zu beschreiben aber den Rahmen sprengen würden.
Wie Du siehst, musst Du Dich in das Thema einarbeiten oder jemanden beauftragen.

Ich denke hier hast Du schon geschaut? : https://www.modified-shop.org/wiki/FAQ:_Hilfe,_ich_glaube_mein_Shop_wurde_gehackt

[onlineorange]

Hallo zusammen,

nochmal zu der Sache wann und wie ist es mir aufgefallen.

Aufgefallen ist es mir, dass Alfahosting mir auf Grund von Spam den Speicher gesperrt hat mit dem Hinweis:

/var/www/web162/html/plugins/system/jscsscontrol/jscsscontrol.php
/var/www/web1162/html/atD7w/general.php

Diese Dateien hätten Spam verschickt.

Jetzt ist die Frage, ich habe dann sofort reagiert und habe sämtlichen Inhalt des Speichers
heruntergeladen und alles gelöscht.

Vorher habe ich jedoch erst gemekrt, dass 2 Verzeichnisse und 3000 Dateien auf meinem Webspace
waren, die dort nix verloren hatten.

Ich habe jetzt durch die access-Log gesehen, dass der "Freund" viele PHP-Dateien immer wider in das images-Verzeichnis gelegt hat.

Jetzt meine Frage besteht dann die Möglichkeit wenn er im images-Ordner Dateien ablegt, dass er diese
über den gesamten Speicher verteilt?

Da laut access-log immer erst etwas im /images hochgeladen wurde und anschließend wurde eine
viva.php in andere Verzeichnisse gelegt.

Dies wurde jedoch alles 5 Tage vor der Sperrung durch Alfahosting gemacht.

Vor den Einträgen viva.php, user6.php oder general20.php
sind nur Zugriffe auf Bilddateien.

Auch auf die Gefahr hin das ich nerve, danke für Eure HIlfen und Infos.

Ich bin anch dem FAQ vorgegangen, wobei das Ruhe bewahren schwierig war.

DAnke und lieben Gruß

Andreas

[Alfred]

Hallo,

du nervst nicht aber es bringt keinem was ein.

Nur sind Dateinamen austauschbar. Die braucht keiner um dir Ratschläge zu geben.
Wir sehen hier nichts ohne das die Domain bekannt ist.

Es stellen sich doch vorab die Fragen ob der Shop fertig war und verkauft hat.
Wenn ja dann gibt es Sicherungen. Wenn nein dann kann der Provider löschen und neue PW vergeben.

Du sorgst für einen sauberen und sichern PC.
Hoffentlich war das Admin-PW nicht ein Standard-PW für alle Zugänge bei diversen Diensten bis zur Bank.

Gruß

[hbauer]

Hast Du alle Schritte der FAQ eingehalten? Oder vielleicht welche übersprungen?

Mir scheint es Du versuchst die bestehende Installation irgendwie retten zu wollen.

Ich sag es mal vereinfacht. Vergiss es. Plattmachen und neu aufsetzen.

Oder du holst Dir einen Spezialisten den Du vermutlich nicht bezahlen willst.

Gruß

Hagen

[christianwagner]

Du hast ihn ja jetzt über das Access Log identifiziert. Welche IP hat er? Stark schwankend oder grob die gleiche?  Ich würde bei mir jetzt seine ersten Ziffern in der htaccess blocken denn da wo er vermutlich herkommt ich bestimmt nicht hinliefere...

[ChristianRothe]

/var/www/web162/html/plugins/system/jscsscontrol/jscsscontrol.php
/var/www/web1162/html/atD7w/general.php

Dies sind keine Dateipfade vom Modified Shop. Setzt Du auf Deiner Website auch Joomla ein? Sieht fast danach aus, oder? Dann könnte der Einbruch in Deinem Webspace auch über eine Sicherheitslücke in Joomla erfolgt sein.

[onlineorange]

Hallo alle zusammen,

danke für alle Infos.

Ich setze kein Joomla ein, ich hatte vor dem Einbruch ein CMS-System mit online, welches es jetzt nicht mehr gibt.

Ich habe nach dem Einbruch alles gelöscht und lediglich das online gealssen, was wirklich noch gebraucht wrid.

Ich werde wie angeraten die IP-Adresse via htaccess sperren und werde in den nächsten Wochen wohl desöfteren auch FTP-Passwort und MySQL-Passwort öfter ändern lassen.

Werde wohl auch noch einmal die Verzeichnisstruktur überdenken.

Eventuell kann ich so wieder Ruhe reinbringen.

Aber kann sich dieser "Freund" auch in die Datenbank geschrieben haben?

Danke schön für alle Infos und ich bin offen für alles.

Lieben Gruß

Andreas

[Bonsai]

Schreibzugriff auf Filesystem = Angreifer hat Vollzugriff auf ALLES.

Er muss ja nur die includes/application_top.php in sein eigenes Script includieren und darf dann in der DB alles.

[hbauer]

Ich habe nach dem Einbruch alles gelöscht und lediglich das online gealssen, was wirklich noch gebraucht wrid.

Nur der Vollständigkeit halber. Du hast wie in der FAQ beschrieben
- Deinen kompletten Webspace gelöscht
- alles neu mit sauberen Dateien installiert
- und bist dann wieder online gegangen?

Oder sind da noch "Dinge" drauf die kompromitiert sein könnten?

Gruß

Hagen

[webald]

Aber kann sich dieser "Freund" auch in die Datenbank geschrieben haben?

Klar. Legt sich ein Konto an und wird Admin... Da kannst Du dann FTP und DB-Passwörter ändern wie du willst, weil der geht einfach über die Weboberfläche des Shops.

[ChristianRothe]

Klar. Legt sich ein Konto an und wird Admin... Da kannst Du dann FTP und DB-Passwörter ändern wie du willst, weil der geht einfach über die Weboberfläche des Shops.

Wie soll eine Änderung von FTP-Zugängen und Datenbank-Passworten über den Admin-Bereich des Shops funktionieren? *kopfkratz*

Die große Gefahr ist meines Erachtens der Upload von Dateien, die eine Webshell enthalten. Damit kann man dann die ganzen Änderungen durchführen und ist quasi Admin.

Aus meiner Sicht sollte man, um jede Wiederholungsgefahr auszuschließen, wie folgt vorgehen:

a) alle alten Dateien löschen
b) die Shop-Software komplett "out of the box" frisch installieren (selbstverständlich im letzten veröffentlichten Versionsstand und mit frischen Passworten)
c) das letzte Datenbank-Backup wieder einspielen
d) in den Tabellen "customers" und "admin_access" sicherstellen, dass nur tatsächlich berechtigte User als Admin markiert und mit Admin-Rechten versehen sind
e) die Bilddateien im Pfad /images wieder hochladen
f) die Template-Dateien im Pfad /images wieder hochladen

Bei den letzten beiden Schritten e) und f) würde ich besondere Vorsicht walten lassen.

Im Schritt e) würde ich keine PHP-Dateien hochladen.

Im Schritt f) sollte man jede einzelne PHP-Datei im Editor anschauen und kontrollieren, dass kein Schadcode (z.B. PHP-Shell) enthalten ist.

Zum Schluss sichert man dann am besten das Admin-Verzeichnis noch mit einer .htaccess Datei.

[Fakrae]

Wie soll eine Änderung von FTP-Zugängen und Datenbank-Passworten über den Admin-Bereich des Shops funktionieren? *kopfkratz*

Muss es ja nicht, aber in der configure.php stehen die Passwörter ja und wer die application_top.php includiert muss sie nichteinmal kennen um in de Datenbank zu schreiben