By GHoST61 - TurkSec Hacked..!

[Timo]

hallo ich hab seit kurzer zeit folgendes phänomen: immer wenn ich mich aus dem backend abmelde kommt folgender text:
By GHoST61 - TurkSec
Hacked..!

woher kommt das und was kann ich dagegen tun?

[BugBuster]

Mit Systemcheck http://www.contao.org/den-live-serve...tem-check-tool prüfen welche Dateien geändert wurden, und mit Backup oder aus frischem Download überschreiben. Alle ftp Passwörter ändern sofern möglich.
Interessant wäre natürlich zu wissen wie es dazu kam.
(Logfiles sichern etc.)

[Timo]

wie es dazu kam kann ich mir nicht erklären, es war plötzlich da...

[BugBuster]

Hast du gleichzeitig noch Wordpress am laufen? Laut Suchmaschine gabs mal ne Menge davon die auch davon betroffen waren.

[BugBuster]

Läuft bei die Plesk als Verwaltung?

Wir bedauern Ihnen mitteilen zu müssen, dass in der vergangenen Nacht auf Server 10 (andere Systeme sind nicht betroffen) eine Sicherheitslücke bei Plesk (Verwaltungspanel) für einen Angriff missbraucht wurde. Der Angreifer konnte mittels eines Exploit bei allen Domains auf dem System Dateien überschreiben/ersetzen. Betroffen sind/waren die index Dateien.

Auf alle Fälle den Hoster informieren.

[Timo]

habe gerade ein update von contao 2.9.1 auf 2.9.2 gemacht und es ist wieder weg mehr habe ich nicht gemacht

[Psi]

Damit hast du zwar dein Problem behoben aber die Ursache nicht gefunden.
In vielen Fällen die mir persönlich bekannt sind, ist das Lack direkt der Benutzer. WindowsPC, Infiziert, FTP-Passwörter gespeichert.

Natürlich könnten auch Webanwendungen kompromittiert sein! Hattest du außer Contao etwas auf dem Webspace laufen? Was sagt der Hoster dazu?

Mir würde es schon genügen, Contao als Schwachstelle auszuschließen

[Timo]

> mit wordpress hat meine website nichts zu tun. die auffallend vielen einträge in zusammenhang mit wordpress, wenn man in google nach By GHoST61 - TurkSec Hacked..! sucht sind mir auch aufgefallen. ich habe gelesen, dass joomla seiten teilweise auch betroffen sind...
> mit plesk habe ich ebenfalls keinen kontakt
> außer contao habe ich auf dem webspace nichts laufen
> den hoster habe ich nicht kontaktiert, weil ich denke, dass er keinen einfluss auf dieses problem hat...

[BugBuster]

So lange nicht klar ist worüber die Infektion stattfand, und es kein Root Server ist den man komplett selbst verwaltet, könnte er durchaus einfluss nehmen.
Vor einigen Jahren war ein Linux Kernel Bug die Ursache für die GHoST61 Aktivitäten wenn ich das richtig gelesen habe.