Guten Morgen,
unsere Agentur ist ebenfalls vom selben Angreifer vom 31.07 betroffen. Wir hatten bereits Ende Juni den selben Schadcode, damals in einer Mail.php Datei.
Deswegen haben wir ein neues APP_SECRET (sogar 64 Zeichen lang + Sonderzeichen) generiert. Das APP_SECRET liegt bei uns in der .env.local Datei, was ja angeblich der sicherste Ort dafür sein soll.
Dennoch wurden wir am 31.07 wieder Opfer desselben Angriffs. Bei uns wurde der Schadcode dieses mal in die autoloader.php Datei injiziert.
Nach dem letzten Angriff hatten wir alle Benutzer-Passwörter resettet, 2FA hinzugefügt, FTP-Zugänge resettet usw. Dennoch ist es dem Angreifer wieder gelungen, seinen Code zu platzieren. Scheinbar sind einige Contao-Installationen davon betroffen, welche ich hier allerdings aus Sicherheitsgründen nicht nennen möchte.
Wir vermuten eine unbekannte Sicherheitslücke im Contao CMS, welche ausgenutzt werden kann, um Schade-PHP-Code zu injizieren.
Der Schadecode beginnt immer mit den folgenden Kommentaren:
PHP-Code:
//Don't delete me, thank you! I love you!
Wir haben jetzt nochmal die letzten Updates für Contao 4.13 eingespielt und unsere PHP Version aktualisiert. Hat sonst noch jemand Ideen was man machen könnte?
Vielleicht auch interessant: unser Stage-Environment wurde nicht betroffen, da es via Robots.txt nicht für Suchmaschinen sichtbar ist. Scheinbar hat der Angreifer also unsere Website nur anhand SEO Indizierungen ausgewählt. Eventuell ein so genannter Pharmacy Hack?