Ich könnte mich errinern mal gelesen zu haben das man über solche Formulare recht "einfach" Schadcode einschleussen kann.

Hier bei uns? Evtl. dies?

http://forum.cmsmadesimple.de/viewtopic.php?id=3140

Du kannst z.B. 10 verschiedene CMS Systeme installieren. Wenn nun ein einziges System komprimitiert wurde, lassen sich auch alle anderen Systeme komprimitieren.

Ja stimmt natürlich. Ich würde mal als beispiel nur den Strato Space weiterverfolgen, dort war nur eine veraltete CMS version am laufen. Die hatte ich ja komplett zurückgestellt und nur als "Backup" eingespielt. Die neuen Systeme hat es dann binnen 24 Stunden wieder infiziert.

Der Support hat mich drauf aufmerksam gemacht, ich solle die FTP Logs durchgucken, und siehe da, sowohl bei All-inkl, wie auch bei Strato werden die veränderungen alle in den FTP Logs ersichtlich. Daraus sollte man jetzt schließen können das scheinbar die FTP Zugänge kompromittiert wurden?

ich würde meinen das ich aus den Logs folgendes herauslesen kann,
nahezu jeden Tag wurden erst eine oder zwei Fremddateien hochgeladen / dann kommt die Änderung der ganzen kompromittierten Dateien. Danach wurde die Fremddatei wieder entfernt. Und so zieht sich das seit zwei Wochen hin.

Mir ist aufgefallen das ich vor der Neuinstallation doch nicht die FTP Passwörter geändert habe, alle anderen schon, nur die nicht. Das hab ich jetzt mal getan.

Jetzt wieder liegt es nah das mein Rechner infiziert sein muss, wie sonst würde man ausgerechnet zwei völlig verschiedene FTP Zugänge ergaunern können. hab die Zugänge mittels Total Commander bei mir lokal gespeichert.

Aber mein AV sagt mir nichts von einer infektion, wundert mich eigentlich nicht :-)

ich habe gerade auf mein all-inkl.com Space gesehen das auch nahezu alle anderen Scripte infiziert wurden, völlig unabängig vom CMSMS.... u.a. eine testinstall von Owncloud weist auch den Schadcode auf....!

Wenn du neben CMSMS noch weitere Scripte auf dem Server hast, kann natürlich auch ein solches für die Sicherheitslücke verantwortlich sein. Schlussendlich reicht 1 Script in deinem Webspace um den gesamten Webspace zu infizieren.

Du kannst z.B. 10 verschiedene CMS Systeme installieren. Wenn nun ein einziges System komprimitiert wurde, lassen sich auch alle anderen Systeme komprimitieren.

Die Installation mit dem veralteten CMS, hab ja versucht mit ein FTP Backup wiederherzustellen. Dabei konnte ich zwar alle kompromittierten Dateien beseitigen, aber hab mir auch die Installation abgeschossen.

War nicht weiter schlimm, ich hab für meine Seiten die aktuelle Version ordnunggemäß installiert und war seit letzter Nacht schon mit einen Teil der Migration fertig.

Nun sind schon wieder ALLE Systeme kompromittiert.

(Server bei Strato)
Installation 1 (Grundinstallation mit Formbuilder und Captcha, ein Formular war noch nicht aufrufbar)

Installation 2 (Grundinstallation mit Sprachpaket deutsch)

Installation 3 (Grundinstallation mit Sprachpaket deutsch)

Installation 4 (Grundinstallation mit Sprachpaket deutsch)

(Server bei all-inkl)

Installation 5 (Grundinstallation mit Modulen Formbuilder und Captcha.)

Mein Rechner ist laut AV sauber, die Passwörter von FTP, Datenbank, CMS User und E-Mailfächer sind alle geändert wurden, sind keine Halligalli Kennwörter, sind generierte mit bis zu 60 Zeichen. Der installordner wurde sofort nach Install enfernt, alle Dateiberechtigungen korrekt gesetzt.

Was mach ich den jetzt? 5 Liter Benzin drüber ....

Tatsache konnte ich den Frame mittlerweile nachvollziehen, folgt man diesen gehts zu malekal.com...

[EDIT2]
ich habe gerade auf mein all-inkl.com Space gesehen das auch nahezu alle anderen Scripte infiziert wurden, völlig unabängig vom CMSMS.... u.a. eine testinstall von Owncloud weist auch den Schadcode auf....!

Das kann jetzt bedeuten, dass diese Seite schon entlarvt und vom Netz genommen wurde. Es kann aber auch bedeuten, dass der Server aufgrund fehlender Cookies (hatte Javascript und Cookies deaktiviert) mir diesen Fehler nur vortäuschen wollte.

Das Ganze ist im Internet unter dem Namen #CookieBomb bekannt und soll den Webseitenbesucher mit Malware infizieren. Wie genau das abläuft und womit man da infiziert wird, kann ich leider nicht sagen. Vielleicht teste ich das mal getarnt als ahnungloser Internet Explorer Benutzer unter einer virtuellen Maschine.

Elvis2012HB schrieb:

NaN schrieb:

Im TMP Verzeichnis kann man den Zugriff von außen auf PHP Dateien via .htaccess unterbinden.

Ahh gut zu wissen. Weißt Du zufällig ob ich irgendwo eine Art Workshop oder Anleitung finden kann wie man das macht?

In NaN's Signatur ist ein Beispiel für die Absicherung mit .htaccess verlinkt:

http://forum.cmsmadesimple.de/img/membe … access.zip

Klasse Danke

Ahh gut zu wissen. Weißt Du zufällig ob ich irgendwo eine Art Workshop oder Anleitung finden kann wie man das macht?

Es gibt hier bereits zwei Themen, die sich mit der Absicherung von CMSms beschäftigen.
http://forum.cmsmadesimple.de/viewtopic.php?id=18
http://forum.cmsmadesimple.de/viewtopic.php?id=765
Das Thema Sicherheit ist allerdings sehr "dynamisch".
Soll heißen, es gibt da keine universal Lösung.
Und die Lösungen, die es gibt, müssen mitunter regelmäßig auf ihre Gütligkeit überprüft werden.
Ich hab in meiner Signatur eine zip-Datei mit Beispiel .htaccess Dateien für jedes CMSms Verzeichnis. Die sind aber sehr restriktiv. D.h. Du musst testen, ob Deine Webseite/Dein Backend auch noch problemlos funktioniert. Sollten Probleme auftreten, am besten den Debug-Modus einschalten (um Fehlermeldungen zu sehen) oder ggfs. mit einem Browser-Tool wie z.B. Firebug die Netzwerkkommunikation überprüfen, um festzustellen welche Datei evtl. nicht geladen werden konnte. Dann muss vielleicht nur die ein oder andere .htaccess-Datei angepasst werden. (hängt davon ab, welche Module man verwendet und worauf die alles zugreifen)

NaN schrieb:

Im TMP Verzeichnis kann man den Zugriff von außen auf PHP Dateien via .htaccess unterbinden.

Ahh gut zu wissen. Weißt Du zufällig ob ich irgendwo eine Art Workshop oder Anleitung finden kann wie man das macht?

In NaN's Signatur ist ein Beispiel für die Absicherung mit .htaccess verlinkt:

http://forum.cmsmadesimple.de/img/membe … access.zip

Gestern hatte ich das "Vergnügen", dass ein Paket bei Hosteurope wegen "FTP-Attacken" gesperrt wurde. In den von Hosteurope zur Verfügung gestellten Logs tauchte seit einigen Tagen eine "ftpchk3.txt" auf, die mehrmals hintereinander auf den Server kopiert und dann wieder gelöscht wurde.
In den Dateien von CMSmadesimple konnte ich keine Veränderung feststellen, obwohl dort noch eine Installation mit 1.10.3 lief. Ich habe dennoch direkt alle Files und die Datenbanken gelöscht und eine Sicherung eingespielt, die vor dem Angriff erstellt wurde. Jetzt läuft wieder alles normal.

Anscheinend hat der Sicherheitscheck von HE noch eingegriffen, bevor Schlimmeres passiert.

Die PC's, auf denen ein FTP-Zugriff zum besagten Paket eingerichtet war, waren übrigens laut "Microsoft Securtiy Essentials", "Combofix" und "Spybot search and destroy" frei von Viren und Trojanern. Ein ungutes Gefühl bleibt dennoch.

Im TMP Verzeichnis kann man den Zugriff von außen auf PHP Dateien via .htaccess unterbinden.

Ahh gut zu wissen. Weißt Du zufällig ob ich irgendwo eine Art Workshop oder Anleitung finden kann wie man das macht?

Ich Fummel mich grad erst in CMSMS ein.......
Danke

Phase 1: Informationen sammeln (Webseiten, FTP-Passwörter, Sicherheitslücken).

Phase 2: ein kleines unauffälliges PHP-Script über FTP oder Sicherheitslücke auf den Server laden. Das Ding braucht z.B. im Prinzip nichts weiter zu machen als eingehende POST-Daten ungeprüft mit eval() auszuführen.
(gab da mal vor einer Weile eine ominöse s.php, die genau das machte)
Selbst wenn Deine Webseite bis jetzt keine einzige Sicherheitslücke hatte, hat sie spätestens jetzt einen ganzen GrandCanyon.

Phase 3: das Script von außen aufrufen. Dabei eventuell noch mehr Schadcode hochladen. Und was der macht, da seien der Phantasie mal keine Grenzen gesetzt.

I.d.R. wird der Angriff erst jetzt bemerkt.

Zwischen den Phasen können aber mitunter Monate vergehen.

Man kann doch nicht so ohne weiteres dutzende Dateien auf dem Server so weitreichend verändern?

Ach, Du würdest Dich wundern, was per Script so alles möglich ist
Da sind dann mal eben tausende Dateien binnen Sekunden infiziert.

Kommt drauf, an.
Wenn die alle vom selben Rechner aus verwaltet werden, ist das überhaupt nicht verwunderlich.
FileZilla ist zwar toll, hat aber eine gravierende Sicherheitslücke, die die Mozilla-Jungs auch nicht schließen wollen: Es legt die Zugangsdaten im Klartext in einer XML-Datei ab (Mozilla ist der Meinung, es sei Aufgabe des Betriebssystems, derartige Dateien entsprechend zu sichern). Ein kleiner Virus und *schwups* sind alle FTP-Passwörter "gehackt".

Wenn die alle dieselbe CMS Version haben, dann kann es natürlich auch an der Version liegen. Aber dann musst Du Deine Serverlogs auswerten, wann da ein verdächtiger Zugriff gewesen sein könnte. Problem wird sein: Der verdächtige Zugriff wird via POST gesendet worden sein. POST Daten werden leider nicht mitgeloggt, weil das verdammt viel Daten sein können. (z.B. Upload von Bildern etc.)
Also wirst Du z.B. lediglich feststellen können, dass von irgendeiner IP aus via POST auf die index.php (oder irgendeine andere Datei) zugegriffen wurde. Was da aber alles an Daten mitgesendet wurde und welche davon dann dazu geführt haben, dass die gesendeten Daten anschließend Schaden anrichten konnten, wirst Du so leider nie erfahren. Da müsste man jetzt ganz genau den PHP Code überprüfen, was mit eingehenden Daten gemacht wird, welche Module sie wie weiterverarbeiten, sämtliche Fälle durchspielen etc. ... Sisyphos.

Das Modul sagt mir leider nichts.
Möglich ist daher nahezu alles.
Sogar, dass es nichts mit dem CMSms Core sondern einzig und allein nur mit einem einzigen Modul/Plugin/UDT zu tun hat.

Es müssen auch nichtmal Deine Webseite oder Dein FTP Account gewesen sein, die gehackt wurden. Es kann auch eine völlig andere Webseite gewesen sein, die nur auf dem selben Server liegt. Worpress ist z.B. von solchen Fällen wie bei Dir ebenfalls betroffen. Je nach Schwere der Sicherheitslücke kann der gesamte Server in Mitleidenschaft gezogen werden. Also auch Webseiten, die eigentlich sicher sind. Darüber müsste Dir aber Dein Provider evtl. mehr Auskunft geben können.