Hacker-Angriffe - E-Mail-Versand über Datei template.php

[Eduard Zielinski]

Hallo an das Team!
Aus aktuellem Anlass (der Shop wurde gehackt, Version 1.06. SP2) poste ich hier die Liste der in den Shop eingeschleusten Dateien, welche einen E-Mail-Versand über den Webshop ermöglichten:

*press*.php*
*option*.php*
*object*.php*
*menu*.php*
*global*.php*
*code*.php*
*cache*.php*
*article*.php*
*help*.php*
*proxy*.php*
*random*.php*
*.login*.php*
*.dirs*.php*
*xml*.php*
*template*.php*

Dabei stehen die "*" für beliebige Zeichen, denn mal sind noch Ziffern zwischen den Dateiendungen angegeben, mal nicht. Was ich leider bisher nicht klären konnte ist, wie die Angreifer in das System "eingebrochen" sind?!

Meine Vermutung(en):
1. Uber den FCKEditor (viele Zugriffe erfolgten auf admin/includes/modules/fckeditor/editor/lang)
2. Über Callback (callback/sofort/library/)
3. Über die display_vvcodes.php (im Sekundentakt wurde die Datei aufgerufen)

Ich habe mal die Schaddateien "isoliert" und ein Abbild der Ordnerstruktur angefertigt, in denen ich einzelne Schaddateien gefunden habe. Den Template-Namen habe ich dabei geschwärzt.

Hat jemand eine Idee, wie diesen Angriffen dauerhaft entgegen getreten werden kann?

Auf alle Fälle könnt Ihr Eure Shops mal nach den "auffälligen Dateien durchsuchen und diese im Zweifelsfall löschen!

LG
Eddi

Linkback: https://www.modified-shop.org/forum/index.php?topic=35575.0

[Alfred]

Hallo,

Vermutungen helfen wenig.
Wie lautet der Link zum Shop?

Gruß

[Eduard Zielinski]

Der Shop ist noch offline, weil der Provider (Strato) den Zugriff noch gesperrt hat.

Mir war es zu diesem Zeitpunkt erst einmal auch wichtig, andere User zu informieren und auf die "Schaddateien" aufmerksam zu machen. Die Schaddateien habe ich schon beseitigt - kann nur noch durch Beobachtung versuchen, das Einfallstor zu finden.

Wenn jemand ein gleiches Problem hat/ hatte, wären "Ideen" hilfreich!

Danke
Eddi

[Alfred]

Der Shop ist noch offline, weil der Provider (Strato) den Zugriff noch gesperrt hat.

Das ist doch egal.
Er war online und eine befallene Webseite bereinigt man nicht indem man nach Dateien sucht und die löscht.
Dadurch findet man nicht die Ursache.

Es kann der simple PW-Klau sein über FileZilla oder die veraltete Blogsoftware bei der Shopsoftware.
Dann wurde der Shop nicht gehackt sondern der Webspace bzw. irgendwer der Zugriff hatte bzw. der per ftp drauf kam.

Gruß

[hbauer]

hier https://www.modified-shop.org/wiki/FAQ:_Hilfe,_ich_glaube_mein_Shop_wurde_gehackt wurde eine Vorgehensweise vom Team empfohlen

[Eduard Zielinski]

Selbstverständlich habe ich die empfohlene Vorgehensweise befolgt und den Shop auch ständig aktuell gehalten!

Der ftp-Zugriff ist nur dem Admin möglich, PW-Klau ist auch auszuschließen, da die Passworte nur dem Shop-Inhaber und dem Admin bekannt sind. Somit blieb für mich nur der Weg über die LogFiles in Verbindung mit den Schaddateien.

Hier mal ein Auszug aus einer Schaddatei (press.php):

Code: PHP  [Auswählen]

$vYLKU3U = Array('1'=>'l', '0'=>'L', '3'=>'3', '2'=>'n', '5'=>'K', '4'=>'p', '7'=>'c', '6'=>'5', '9'=>'Q', '8'=>'f', 'A'=>'8', 'C'=>'T', 'B'=>'Y', 'E'=>'4', 'D'=>'H', 'G'=>'G', 'F'=>'b', 'I'=>'I', 'H'=>'X', 'K'=>'7', 'J'=>'V', 'M'=>'m', 'L'=>'O', 'O'=>'u', 'N'=>'a', 'Q'=>'s', 'P'=>'g', 'S'=>'r', 'R'=>'w', 'U'=>'9', 'T'=>'y', 'W'=>'x', 'V'=>'e', 'Y'=>'E', 'X'=>'J', 'Z'=>'1', 'a'=>'t', 'c'=>'N', 'b'=>'6', 'e'=>'v', 'd'=>'W', 'g'=>'C', 'f'=>'R', 'i'=>'A', 'h'=>'o', 'k'=>'h', 'j'=>'D', 'm'=>'k', 'l'=>'0', 'o'=>'2', 'n'=>'z', 'q'=>'q', 'p'=>'F', 's'=>'M', 'r'=>'P', 'u'=>'U', 't'=>'j', 'w'=>'B', 'v'=>'S', 'y'=>'i', 'x'=>'d', 'z'=>'Z');
function vK8F9XA($vROIMMZ, $vPHTZ6U){$vQRAV6E = ''; for($i=0; $i < strlen($vROIMMZ); $i++){$vQRAV6E .= isset($vPHTZ6U[$vROIMMZ[$i]]) ? $vPHTZ6U[$vROIMMZ[$i]] : $vROIMMZ[$i];}
return base64_decode($vQRAV6E);}

Nach Rücksprache mit Strato wird der "Einbruch" über das Kontaktformular vermutet. Diese Vermutung würde meine Vermutung "3. Über die display_vvcodes.php (im Sekundentakt wurde die Datei aufgerufen)" stützen. Hat also jemand eine Idee in Bezug auf das Kontaktformular oder die display_vvcodes.php?

Danke vorab

LG
Eddi

[hbauer]

Hallo

geben die Logfiles in Bezug auf die  display_vvcodes.php irgendetwas besonders heraus?
Gruß Hagen

[Eduard Zielinski]

Hallo Hagen,
aufgerufen werden diese z.B. per "GET /display_vvcodes.php?MODsid=7b9ukbcmsc2nvc5v9ur4u103m3 HTTP/1.1", weitere Details zum Aufruf sind nicht bekannt. Lediglich die Infos zu Browser etc. (Mozilla/5.0 (Windows NT 6.0; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.91 Safari/534.30) sowie eine IP á lá "82.80.249.87.bezeqint.net" sind noch vorhanden.

Ich werde jetzt wohl dahingehen und ein Script in die application_top.php einbauen, welches jeden Seitenaufruf tracked und im Falle einer identifizierten Schadseite umleitet. Darüber hinaus werde ich über dieses Script alle unerwünschten Länder und Sprachen aussperren, um das Risiko eines erneuten Hacks zu minimieren. Oder wie würdest Du vorgehen?

Danke und LG
Eddi

[hbauer]

Wenn Ihr nur solche normalen Get Aufrufe auf diese PHP Datei habt warum geht Ihr davon aus das ein Einbruch darüber erfolgt ist? Das erschließt sich mir auf den ersten Blick nicht.

Was die weitere Vorgehensweise angibt würde ich mich an den verlinkten Wiki Beitrag halten.

Das System aus einem sauberen Backup wieder einspielen und in den Logdateien nach dem erfolgreichen Einbruch suchen.

[p3e]

Der Aufruf immer wieder der selben Datei im Sekundentakt ist nicht typisch für einen HackVorgang sondern tritt eher nach erfolgreichem Hack auf. Entweder weil die Verfügbarkeit aktuell überprüft wird (tritt auf wenn der Server z.B. als illegaler Downloadserver missbraucht wird und der Betreiber sicher gehen will, dass er noch zuverlässig läuft) oder um Steuerungsbefehle zu übertragen (zB. um den Server als Spam-Schleuder zu missbrauchte).
Die Infektion hat also eher vor dieser Zeit statt gefunden.

[Eduard Zielinski]

Hallo an alle, die es interessiert!
Ich habe jetzt ein kleines Script erstellt, welches folgende Dinge prüft:

• Aufgerufene Seite
• User Agent
• User Language
• Query String

Im Falle von nicht legitimierten Zugriffen erfolgt eine Weiterleitung zur Startseite des Shops. Das Script kann angepasst und erweitert werden. Eingebunden ist das Script in die application_top.php unterhalb von

Code: PHP  [Auswählen]

define('PAGE_PARSE_START_TIME', microtime(true));

wie folgt:

Code: PHP  [Auswählen]

// Security-Check by Eddi to prevent hackerattacks
include ('inc/basic_anti_hacks.inc.php');

Das Script selbst liegt im Ordner "inc/". Das folgende Script sollte dann als "basic_anti_hacks.inc.php" im Ordner gespeichert werden. Ich habe mit verschiedenen Shops Tests durchgeführt bisher ohne Probleme.

Hier also mein Script:

Code: PHP  [Auswählen]

/* -----------------------------------------------------------------------------------------
   Abwehr von unerwuenschten Spidern, Bots und Hackern - integration in application_top.php
   Copyright (c) 2016-08-21 by Eduard Zielinski - www.eduard-zielinski.de
   
   Dieses Script prueft einzelne Variablen und speichert/ protokolliert optional die
   Zugriffe in einer Textdatei auf dem Server im Verzeichnis /logs
   
   Achtung: Die Speicherung der IP ist bedenklich aufgrund des Datenschutzgesetzes
   Hier muss jeder selbst das eigene Risiko gegen die Sicherheit seines Shops abwaegen.
   ---------------------------------------------------------------------------------------*/
       
        /* Auslesen aller Server-Variablen */
        $trenner = '|'; // Trennzeichen fuer Import in eine Datenbank festlegen, Standard ist | weil das Semikolon in den Strings enthalten sein kann bzw. ist
        $var_server = array('PHP_SELF','argv','argc','GATEWAY_INTERFACE','SERVER_ADDR','SERVER_NAME','SERVER_SOFTWARE','SERVER_PROTOCOL','REQUEST_METHOD','REQUEST_TIME','REQUEST_TIME_FLOAT','QUERY_STRING','DOCUMENT_ROOT','HTTP_ACCEPT','HTTP_ACCEPT_CHARSET','HTTP_ACCEPT_ENCODING','HTTP_ACCEPT_LANGUAGE','HTTP_CONNECTION','HTTP_HOST','HTTP_REFERER','HTTP_USER_AGENT','HTTPS','REMOTE_ADDR','REMOTE_HOST','REMOTE_PORT','REMOTE_USER','REDIRECT_REMOTE_USER','SCRIPT_FILENAME','SERVER_ADMIN','SERVER_PORT','SERVER_SIGNATURE','PATH_TRANSLATED','SCRIPT_NAME','REQUEST_URI','PHP_AUTH_DIGEST','PHP_AUTH_USER','PHP_AUTH_PW','AUTH_TYPE','PATH_INFO','ORIG_PATH_INFO','HTTP_X_FORWARDED_FOR');
        $content = '';
        foreach ($var_server as $arg) {$content .= $_SERVER[$arg] . $trenner;}
        $content .= "\n" ;

        /* Schadbodts aussperren */
        $sperre_bots = 'JA'; // Standardwert = JA, zum Deaktivieren der Pruefung auf NEIN setzen
        $sperre_hacker = 'JA'; // Standardwert = JA, zum Deaktivieren der Pruefung auf NEIN setzen
        $sperre_sprache = 'JA'; // Standardwert = JA, zum Deaktivieren der Pruefung auf NEIN setzen
        $sperre_leere_agents = 'JA'; // Standardwert = JA, zum Deaktivieren der Pruefung auf NEIN setzen
        $sperre_protokoll = 'JA'; // Standardwert = JA, zum Deaktivieren des Protokolls auf NEIN setzen
        $weiterleitungsziel = 'http://' . $_SERVER['SERVER_NAME']; // Auf welche Seite soll umgeleitet werden? Standard ist die Startseite der Domain

        if (!isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {$vip = trim($_SERVER['REMOTE_ADDR']);}
        else {$vip = trim($_SERVER['HTTP_X_FORWARDED_FOR']);}

        $user_agent = trim($_SERVER['HTTP_USER_AGENT']);
        $user_agent_language = $_SERVER['HTTP_ACCEPT_LANGUAGE'];
        if(empty($user_agent_language)) {$user_agent_language='unknown';}
        else{$ual = explode(';',$_SERVER['HTTP_ACCEPT_LANGUAGE']);
        $user_agent_language = trim($ual[0]);}

        $akt_page = trim($_SERVER['REQUEST_URI']);
        if(empty($akt_page) || $akt_page ==''){$akt_page = trim($_SERVER['PHP_SELF']);}
        $akt_page = urldecode(utf8_decode($akt_page));
        $akt_page = strtolower($akt_page);
       
        $sperre = 0;
        /* Schadbodts aussperren */
        if($sperre_bots == "JA") {
                $array_bots = array ( '200PleaseBot','360Spider','Abonti','aboutWebSearch','admantx','adressendeutschland','AhrefsBot','AiHitBot','AnyOther','ApacheBench','BacklinkCrawler','Baidu','Baiduspider','betabot','bitlybot','BLEXBot','BUbiNG','CareerBot','CatchBot','Cliqzbot','CMS Crawler','coccoc','compatible ;','CompSpyBot','Crawler','curl','DCPbot','dlcbot','DotBot','ernst','Exabot','Ezooms','goo.ne.jp','Grapeshot','GT::WWW','heritrix','http client','HTTP::Lite','HttpRequest','HTTP_Request','HubSpot','ichiro','Indy Library','Infohelfer','Indonesian','ISC Systems iRc Search 2.1','Jakarta','Java','JCE','larbin','libwww','linkdexbot','LoadTimeBot','lwp-trivial','magpie-crawler','mail.ru','mailto','Majestic','meanpathbot','memorybot','MFC_Tear_Sample','Microsoft URL Control','Missigua Locator','MJ12bot','moget','Moreover','mozarella','Mozilla/3','mShots','NaverBot','netcomber','NetSeer','niki-bot','Nutch','Oberförster','OpenindexSpider','OpenLinkProfiler','PagesInventory','panscient.com','PECL::HTTP','PHP/','PHPCrawl','Pixray','ProCogSEOBot','proximic','publiclibrary','Python','QuerySeekerSpider','Qwantify','Riddler','rogerbot','SearchmetricsBot','SemrushBot','SEOkicks-Robot','Seznam','ShowyouBot','SISTRIX','SiteExplorer','Snoopy','Sogou','Sosospider','spbot','Spiderlytics','Spinn3r','SPUTNIK','Squider','ssearch_bot','SurveyBot','TurnitinBot','Tweetmeme','UnisterBot','updown_tester','URI::Fetch','urllib','Vagabondo','WBSearchBot','Webauskunft','Wells Search','WEP Search','WeSEE','WeViKa','Wget','WhatWeb','Wotbox','XoviBot','yacybot','Yandex','Yeti','youdao.com','Zend_Http_Client','ZmEu' );
                for ( $x = 0; $x < count($array_bots) ; $x++ ) {
                        if(stristr($user_agent, $array_bots[$x])) { $sperre++; break; }
                }
        }
       
        /* Wenn ein Hacker einen Zugriff versucht */
        if($sperre_hacker == "JA") {
                $array_keywords = array ('.dirs','/.login','/.global','/.object','/.option','/article','/cache','/code','/help','/menu','/option','/press','/proxy','/random','/template.php','/xml.php','/xmlrpc','/?','.php/','union','select','strato-hosting','description','bm_','character','fb_locale','echo;','echo Content');
                for ( $z = 0; $z < count($array_keywords); $z++ ) {
                        if(stristr($akt_page, $array_keywords[$z])) { $sperre++; break; }
                }
        }
       
        /* Besucher aufgrund der Sprache aussperren */
        if($sperre_sprache == "JA") {
                /* Teil I - Sprache aus Language */
                $array_language = array ( 'zh','cn','tw','vi','in','id','th','ms','ko','ja','gu','gq','hi','ar','ru' );
                for ( $x = 0; $x < count($array_language) ; $x++ ) {
                        if(stristr($user_agent_language, $array_language[$x])) { $sperre++; break; }
                }
                /* Teil II - Sprache aus User Agent */
                $array_agent_language = array ( '+ru','+rv' );
                for ( $x = 0; $x < count($array_agent_language) ; $x++ ) {
                        if(stristr($user_agent, $array_agent_language[$x])) { $sperre++; break; }
                }
        }

        /* leere User Agent auch aussperren */
        if($sperre_leere_agents == "JA") {
                if(empty($user_agent) || $user_agent =="") { $sperre++; break; }
        }
       
        if($sperre > 0) {
                /* Protokolldatei erstellen und speichern */
                if($sperre_protokoll == "JA") {
                        $speichername = date("Y-m-d H-i-s",$_SERVER['REQUEST_TIME']) . '.txt';
                        $datei = fopen('log/' . $speichername,"w");
                        fwrite($datei, $content);
                        fclose($datei);        
                }
               
                header("Location: " . $weiterleitungsziel . "");
                exit;  
        }
 

Wenn es jemandem hilft, freut mich das. Anregungen und Verbesserungen sind herzlich willkommen.

Gruß

Eddi

[noRiddle (revilonetz)]

...
Der ftp-Zugriff ist nur dem Admin möglich, PW-Klau ist auch auszuschließen, da die Passworte nur dem Shop-Inhaber und dem Admin bekannt sind.
...

Wieso bist du so sicher, daß es kein PW-Klau war ?
Deine von mir zitierten Arumente gehen an der Aussage Alfreds vorbei

...
Es kann der simple PW-Klau sein über FileZilla oder die veraltete Blogsoftware bei der Shopsoftware.
...

• Welcher FTP-Client wird von dem welcher den FTP-Zugriff hat benutzt ?
• Ist der Rechner desjenigen definitiv virenfrei ?

Das sollte unbedingt geklärt werden bevor man von einem Shop-Hack aufgrund von Sicherheitslücken im Shop-System ausgeht, allein auch schon um nicht andere Shop-Betreiber zu verunsichern.
An ein FTP-Passwort kommt man nicht so ohne weiteres, da ist eine Rechner-Infizierung desjenigen der FTP-Zugriff auf die Shopdateien hat/hatte ziemlich wahrscheinlich.

Die Server-Logs (z.B. FTP-Logfile) müssten außerdem doch aufklären auf welchem Wege und wann der Hacker die infizierten Dateien hochgeladen hat.
Wenn er einfach über normales FTP kam ist der von Alfred erwähnte PW-Klau sehr wahrscheinlich.
Theoretisch ist auch ein Abfangen von per FTP gesendeten Daten möglich gewesen weil nicht über SFTP oder FTPS verbunden wurde.
Auch ein Brute-Force Angriff auf ein Passwort welches schlicht zu einfach ist ist theoretisch möglich.
Allerdings dürften die meisten Server einen erstmal eine Zeit lang ausperren wenn man dreimal ein verkehrtes Passwort sendet.

Gruß,
noRiddle

[Eduard Zielinski]

Hallo noRiddle,
vorab sei versichert, dass ich auf modified "schwöre" und dieses als das einzig sinnvolle Shop-System meinen Kunden empfehle, da es in vielerlei Hinsicht anpassbar, intuitiv bedienbar ist und mit einer breiten Community lebt.

An dieser Stelle wollte ich auch niemanden "verunsichern" oder erschrecken, sondern vielmehr Tipps oder Infos erhalten, wie ich herusbekommen kann, auf welchem Weg der oder die Angreifer eingebrochen sind.

Nun zu Deinen Fragen:
Ich schließe den Einbruch via FTP oder PW-Klau deshalb aus, weil ich selbst zwar mit Filezilla arbeite, meine Rechner jedoch absolut clean sind (zwischengeschalteter Internetserver vor den Clients, verschiedene Antiviren-Programme und Adware-Cleaner sowie regelmäßige Prüfläufe).

Wenn tatsächlich via Filezilla ein Einbruch stattgefunden haben sollte, dann müssten auch die anderen von mir betreuten Shops und Webseiten betroffen sein - mit einer hohen Wahrscheinlichkeit! Dieses ist jedoch nicht der Fall.

Zwischenzeitlich habe ich aber herausgefunden, dass die "älteste Einbruchdatei", welche im Rootverzeichnis des Shops war, aus Dezember 2014 stammt. Somit besteht meiner Ansicht nach die Möglichkeit, dass erst nach einer geraumen Zeit diese Schaddatei reaktiviert wurde.

Das Vorhandensein dieser Schaddatei ist mir bis dahin auch nicht aufgefallen (ich schaue mir ja nicht jeden Tag alle Shop-Verzeichnisse meiner Kunden an). Also kann das tatsächliche Problem ja schon gelöst sein und bei anderen niemals auftauchen?! (Sag niemals nie?!)

Nur am Rande:
Ich habe mal eben das log-Vereichnis eines anderen Shops gesichtet, in denen ich die unerwünschten Zugriffe protokolliere. Es sind seit heute Früh 08:30 Uhr insgesamt 1326 Protokolldateien angelegt worden. Mit einer etwas großzügigen Rechnung sind das etwa 100 unerwünschte Zugriffe je Stunde. Ich finde das schon enorm für eine Webseite bzw. einen "unwichtigen Shop", der nur ca. 22.000 Besucher pro Monat hat.

Nochmals also sorry - doch ich respektiere Eure Arbeit sehr und schätze jeden, der sich dermaßen engagiert. Wäre toll einen Hinweis zu erhalten, wie der EInbruch hat stattfinden können. Tatsächlich geben die Logfiles nichts konkretes aus.

Liebe Grüße
Eddi

[p3e]

Du hast Log-Files aus 2014?
Dann schau doch mal, wann und wie die “Einbruchdatei“ dahin gekommen ist.

[Bonsai]

Liegt auf dem gleichen Webspace noch irgendwas anders? Wordpress oder so? Bei mir versuchen es immer irgendwelche scriptkiddies damit ....