Sicherheitslücke in Contao

[mw1972]

Unsere Website ist letzte Nacht von einem Hacker via FTP attaktiert worden. Zuvor hat der Hacker das Gästebuch nächtelang (erfolglos) bombardiert.

Evtl. ist er auch über die RSS-Feeds reingekommen, denn diese XML-Dateien sind beim nächtlichen Angriff zumindest geöffnet worden.

Evtl. mal überprüfen, wie das gehen kann.

[ees]

Was möchstest du nun wissen? Feed update?

Grüße

ees

[schman]

Unsere Website ist letzte Nacht von einem Hacker via FTP attaktiert worden. Zuvor hat der Hacker das Gästebuch nächtelang (erfolglos) bombardiert.

Evtl. ist er auch über die RSS-Feeds reingekommen, denn diese XML-Dateien sind beim nächtlichen Angriff zumindest geöffnet worden.

Evtl. mal überprüfen, wie das gehen kann.

Du sagst es doch gerade, über FTP. Da kann Contao nichts dafür.
Wenn sie über FTP gekommen sind können sie natürlich die XML Dateien öffnen diese werden ja im Root gespeichert.

Jetzt könnt ihr wie immer die üblichen Dinge machen

• neue Passwörter vergeben
• auch bei Datenbank da diese ja Zugriff auf die localconf.php hatten
• contao-check durchführen um zu sehen ob sich Dateien geändert haben
• DB überprüfen auf merkwürdigkeiten
• Backend/Frontend user neue PW vergeben.
• immer aktuellen Client verwenden
• ...

[mw1972]

Da alle Komponenten aktuell waren ziehe ich den Schluss, dass Contao eine Lücke in System haben könnte.
Nähreres heute abend, dann weiß ich mehr über den Angriff.

[lindesbs]

Contao weiss nur etwas von FTP wenn du den SMH nutzt. Aber an die Daten kommt man ohne weiteres ncht, es sei denn, du hast irgendwelche Erweiterungen von "unbekannten Quellen" installaiert.

Wie kommst Du auf die Idee, das es unbedingt ueber COntao gekommen ist ?

Man kann auch Passworte ausprobieren. Kontrolliere mal deine FTP Logs, dort wirst Du wohl shene, das er auch dort lange probiert hat.
Ein normaler Server sollte solche Scans aber erkennen und die IPs entsprechend sperren.

[BugBuster]

Sehr waage Vermutung. Du nutzt nicht zufällig ne ältere Filezilla Version ?
Das Teil war mal ein "Login Lieferant"

Über ein Feed die ftp Daten zu bekommen..., wüste grad nicht die das gehen sollte.
Nutzt du den SafeModeHack?, nur dann stehen ja die Daten in der config.

[mw1972]

ich nutze den safemodehack nicht. ftp mache ich über dreamweaver cs4.

bin inzwischen mit meiner recherche schon etwas weiter.

kennt jemand zufällig dieses teil und was man damit macht? Kann es damit was zu tun haben?
http://jsunpack.jeek.org/dec/go

[BugBuster]

Gut, dann kann schon mal keiner die FTP Daten von Contao bekommen haben.
Heißt "attakiert" eigendlich das er es geschafft hat oder nur penetrant probiert?

Der Link ist, wie die Seite sagt, ein Javascript Unpacker. Contao verwendet gepackte/komprimierte Javascript Dateien.

[mw1972]

unter anderm die index.php und die flash.php

hier wurde ganz am ende ein iframe mit link auf eine russische phishing-seite eingefügt.

[lindesbs]

klar, damit sich das System weiterverbreiten kann. Da bleibt Dir nur ein Backup wiederherstellen oder Neuinstallation. Auf alle Faelle kein "rumdocktern"

Die User koennen alles moegliche auf deinem System anerichtet haben.

Waren denn deine Zugangsdaten (Passwort) Sicher ?
also nicht nur "Passwort" oder "1234" ?

[mw1972]

es kann also auch am passwort gelegen haben.

[MacKP]

Hallo mw1972,
bei solchen Dingen bitte auch den Hoster informieren.
Solche Veränderungen an der HP wurden auch schon sehr häufig gemacht bei Servern, wo ein Webspace gehackt wurde und man dann an alle anderen gekommen ist.
Daher sollte der Hoster auch mal bei allen anderne Kunden nach dem Code grepen und diese Informieren, das die mal genauer hinschauen sollten bei ihrer install (allte CMS Versionen etc.).
Gleichzeitig sollte der Hoster selber auch mal schauen ob Software von Ihm verantwortlich sein könnte...

Sowas sollte man auf jeden Fall nicht zu leicht nehmen ;-)

Viele Grüße

[lindesbs]

Immerhin ! Contao an sich ist sehr sicher.

Ich empfehle Dir mal als Anfang diese Lektuere : http://de.wikipedia.org/wiki/W%C3%B6rterbuchangriff

und z.B. dies hier : http://www.helena-morzuch.de/blog-it...icherheit.html

Lesen, verstehen, anwenden.

[do_while]

Sind denn auch andere Domains bei dem Hoster betroffen?
Ich hatte mal den Fall, dass sogar beim Hoster selbst die entsprechenden Dateien infiziert waren.

Sind denn in Deiner Installation alle .htaccess-Dateien in den diversen Unterverzeichnissen mit auf den Server kopiert worden?

[nasa30]

Hallo,
wir haben das gleich Problem!
Auch bei uns wurde eine Kunden-Webseite, die Typolight/Contao verwendet gehackt.
Das hat sich darin geäussert, dass alle index-Dateien (.php, .html) mit einer Javascript-Weiterleitung versehen wurden.
Wir haben dann alle Dateien bereinigt, und heute dann das gleich noch einmal. Heute wurde auch die komplette htaccess Datei mit einer Rewrite-Rule überschrieben.

Der Hoster sagt ganz klar, dass der Hack nicht per FTP auf den Server gekommen ist. Da bleibt dann nur noch Typolight/Contao.

Hat jemand eine Idee, wie man nun die Seite vor solchen Angriffen schützen kann?

[MacKP]

Hallo nasa30,
1. Frage: welche Version von Contao?
2. Frage: war denn ein normaler Login per ftp da?
3. Frage: eigentlich kann man nie sicher sein ob ein gehackter Server wirklich clean ist.. und nicht auch logdateien etc. bereinigt wurden.. wie sehr kannst du dem Hoster vertrauen in der Hinsicht?

Viele Grüße

[nasa30]

Hallo MacKP,

Version ist Typolight 2.7.6
Es gab zum vermeintlichen Zeitpunkt keinen FTP Login auf dem Server (daher würde es auch nichts bringen, das FTP Passwort zu ändern )
Der Hoster hat ein "frisches" Backup wieder eingespielt, d.h. die Dateien sind sauber. Da kann ich ihm vertrauen.

[MacKP]

Hallo nasa30,
dann änder mal alle Passwörter und spiel nen update ein.
Wenn du dir die changelog anschaust und die Ankündigungen von Contao, dann wirst du sehen das es Lücken gegeben hat, die sehr schnell geschlossen wurden.

Die Antwort auf deine Frage ist also:
Immer updates machen!

Viele Grüße

[xtra]

Es gab zum vermeintlichen Zeitpunkt keinen FTP Login auf dem Server (daher würde es auch nichts bringen, das FTP Passwort zu ändern )

Sei paranoid, aendere alle Passwoerter.

Der Hoster hat ein "frisches" Backup wieder eingespielt, d.h. die Dateien sind sauber. Da kann ich ihm vertrauen.

Wenn "das System an sich" kompromittiert wurde, kann man backups einspielen so lange man will.
MacKP wollte darauf hinaus, ob du dem Hoster vertrauen kannst dass der Server selbst nicht kompromittiert wurde.

Wenn Contao schuld sein soll, steht etwas im system log? oder in den log Dateien?
Weiterhin, welche Erweiterungen sind installiert?
Weiterhin, ist das install tool geloescht/geschytzt?
Das sind alles Rahmenbedingungen welche da rein spielen koennen.

Gruss
Chris

[nasa30]

Hey MacKP,

ja ja ich weiss. Das mit dem Update schieben wir schon länger vor uns hin.
Hoffentlich ist es damit dann auch getan.
Wenn nicht, melde ich mich wieder...

Gruss, Angela

[xchs]

Der Hoster sagt ganz klar, dass der Hack nicht per FTP auf den Server gekommen ist. Da bleibt dann nur noch Typolight/Contao.

q.e.d. - Den Beweis dafür bleibt er Dir aber schuldig oder?

[jan.theofel]

Hi,

ja ja ich weiss. Das mit dem Update schieben wir schon länger vor uns hin.

Sorry, aber wenn du Updates nicht einspielst, solltest du dem System nicht vorwerfen das es unsicher ist.

Jan

[Wian]

Ich bin noch ziemlich unerfahren mit Contao und nutze es erst seit Anfang Oktober. Seit zwei Wochen kämpfe ich mit Fremdcode, der überall auftaucht. Einmal war sogar eine htaccess mit drin, so dass ich die Dateien nicht einfach löschen konnte.

Ich schaue jetzt schon jeden Tag, welche Ordner ein neues Datum haben.
Eigenartig ist, dass die RSS-Dateien immer dabei sind, wobei diese nicht geändert wurden. Das FTP-Passwort habe ich auch geändert, aber ohne Auswirkung. Die Infos, dass was nicht stimmt, kam am Anfang sogar vom Hoster.

Also ich bin ziemlich ratlos und verunsichert. Irgendwie hoffe ich, dass es aufhört - es tut es nur leider nicht.

Grüsse!

wian

[joerg-t]

Hallo Wian,

System sofort vom Netz nehmen!
Eine neue Contao Version installieren, ALLE Passwörter ändern und beobachten.
Sinnig ist es immer einen Versions Stand an zu geben.
Meist hat Contao oder TYPOlight keine Aktie an der Problematik.

Grüße Jörg

PS. Es ist doch nicht zu vertreten mit einer Installation zu arbeiten die offensichtlich "nicht in Ordnung" ist. Woran es auch liegen mag!

[Wian]

Hallo Jörg,

dank deiner klaren Worte habe ich gewagt alles neu zu installieren 2.9.2. Von den Erweiterungen geht zwar nur noch die Hälfte, aber egal, das wird schon wieder. Das alte ist komplett raus und mir ist nun wohler. So muss es sich anfühlen, wenn man Läuse hat. Man kämpft und kämpft und wenn alles nichts hilft, bleibt nur noch die Kahlrassur.

Da hoffe ich nun auf ruhigere Tage!

Grüsse und Danke!

wian

[Wian]

Nachdem alles neu installiert wurde (in einem neuen Host, mit neuen Passwörtern, einer anderen Datenbank), schaue ich natürlich regelmäßig nach den Datumsangaben in den Dateien und Ordnern. Alles ist noch so wie nach der Installation bis auf die xml-Dateien im Wurzelverzeichnis. Dort sind zwei Stück aufgrund von zwei Nachrichtenprojekten. Diese tragen ein Datum von heute nacht.

Jetzt frage ich mich natürlich, ist das normal? Hängt das mit der Funktion zusammen?
Ist das bei Euch auch so, oder kommt da schon wieder was von außen?

Danke für Eure Hilfe!

wian

Habe mir gerade noch die Logs angesehen. Da war eine IP ca. 15 min zu Besuch, die auch zeitlich zur Änderung der xml-Dateien passt.

Habe gerade nochmal gegoogelt. Die IP gehört zum Security-Team der Deutschen Telekom. Was immer das bedeutet ...

[FloB]

XML- und CSS-Dateien (die von Contao verwaltet werden) werden täglich aktualisiert. Solang kein realer Cronjob eingetragen wurde (und somit die täglichen Aufgaben über die cron.php ge-triggert werden), passiert das (meines Wissens) mit dem ersten Besucher, der nach Mitternacht kommt (bzw. frühestens 24h nach der letzten Regenerierung) – in dem Fall war das wohl die Telekom Security.