Angriff

[webixi]

Hallo Zusammen,

da es leider zwei Richtungen gibt: WB 2.8.3 und Lepton -  arbeite ich noch mit WB 2.8.1

Nun hat es bei einem Kunden einen Angriff auf die Seite gegeben. Leider ist der Webhoster alles andere als kooperativ und schreibt dem Kunden, dass WB 2.8.1 völlig unbrauchbar sei, weil zu viele Sicherheitslücken vorlägen.

Ich könnte ja nun ein Upgrade vornehmen - evtl. WB 2.8.3... aber ich bin mir nicht sicher, ob das mit dem Uggrade so einfach ist.

Nun meine Frage:
wer hat mit der Installation WB 2.8.1 auch schon Angriffe erlebt?

Bei uns war es so, dass sämtliche index.php Dateien manipuliert waren. Man konnte die Website nicht mehr öffen, weil der Virenscanner die Bedrohung Blackhole gemeldet hatte. Im Hintergrund wurde versucht, ein Programm zu installieren. Also echt übel. Wir haben nun die Seite entseucht und alle Passwörter geändert. Ich habe aber das Gefühl, dass die PHP-Installtation des Providers nicht ok ist, aber der versucht sich nun, mit allen Mitteln herauszureden und behauptet nun, dass der Code mittels eines I-Frames implentiert worden sei...


Viele Grüße
Webixi

[kweitzel]

In 2.8.1 gab es eine Lücke, bei der die Upload Funktion von aussen aufgerufen werden konnte. Das wäre ein möglicher Angriffspunkt für eine solche Situation. Aber bis jetzt wurde uns noch kein Nachweis präsentiert, dass diese (oder eine andere) Lücke in WB als Einbruchstor für einen Server gedient hat.

Du (oder der Hoster) wirst nicht um eine Analyse des Systems herumkommen, um das wirkliche Einfallstor zu finden. Das der Hoster bereits so "abweisend" und unvollständig mit seinen Informationen ist, deutet eher auf ein anderes Einfallstor hin. Kannst Du denn ausschliessen, dass der Server/Webspace nicht zum Beispiel über ein kompromitiertes FTP Konto gehackt wurde?

Mach auf alle Fälle erst mal ein Backup und untersuche dann die Installation (Dateien, Änderungsdaten, "externe Dateien" ...) und die LOG Dateien. Damit sollte sich das Genaue Datum bestimmen lassen.

Gruß

Klaus

[DarkViper]

Nun hat es bei einem Kunden einen Angriff auf die Seite gegeben. Leider ist der Webhoster alles andere als kooperativ und schreibt dem Kunden, dass WB 2.8.1 völlig unbrauchbar sei, weil zu viele Sicherheitslücken vorlägen.

An der Stelle muss ich dem Provider zumindest teilweise leider Recht geben. 2.8.1 enthält tatsächlich einige gravierende Sicherheitslücken. Nicht umsonst empfehlen wir in der Ankündigung der 2.8.3 aus Sicherheitsgründen dringend ein Upgrade.

Ich könnte ja nun ein Upgrade vornehmen - evtl. WB 2.8.3... aber ich bin mir nicht sicher, ob das mit dem Uggrade so einfach ist.

Die WebsiteBaker-Homepage wurde mit der Veröffentlichung der 2.8.3 bereits auf diese upgegraded und läuft problemlos.

Nun meine Frage:
wer hat mit der Installation WB 2.8.1 auch schon Angriffe erlebt?

Bei uns war es so, dass sämtliche index.php Dateien manipuliert waren. Man konnte die Website nicht mehr öffen, weil der Virenscanner die Bedrohung Blackhole gemeldet hatte. Im Hintergrund wurde versucht, ein Programm zu installieren. Also echt übel. Wir haben nun die Seite entseucht und alle Passwörter geändert. Ich habe aber das Gefühl, dass die PHP-Installtation des Providers nicht ok ist, aber der versucht sich nun, mit allen Mitteln herauszureden und behauptet nun, dass der Code mittels eines I-Frames implentiert worden sei...

Es gab bis zu einschließlich der 2.8.2 Blackhole-Angriffe. Von der 2.8.3 ist noch nichts bekannt, was durch die Kürze der Zeit auch nicht verwunderlich ist.
Die Angriffe erfolgten nachweislich auf verschiedenen Wegen:

• Über Sicherheitslücken in WB
• Durch einen Trojaner auf dem heimischen PC, der die FTP-Zugangsdaten abgriff
• Bei nicht sauber konfigurierten Hostings über korrumpierte FTP-Zugänge quer über mehrere Webspaces hinweg

Seit der Version 2.8.1 wurden in WB gut ein Dutzend, teilweise schwere Sicherheitslöcher gestopft. Auch sind wir laufend dabei eigene und externe Tests auszuwerten um weitere Lücken zu finden, damit WB selbst so sicher wie möglich wird. Auf Konfigurationsmänge l der Hostings, geklaute Passwörter und auch benutzerseitige Änderung am WB-Code, die Sicherheitsmaßnahme n teilweise unbewusst aushebeln, haben wir selbstverständlich keinen Einfluß. Auch veraltete Zusatzmodule können neue Sicherheitslücken aufreißen.

[BlackBird]

Leider ist der Webhoster alles andere als kooperativ und schreibt dem Kunden, dass WB 2.8.1 völlig unbrauchbar sei, weil zu viele Sicherheitslücken vorlägen.

Es gab in 2.8.1 tatsächlich einige Sicherheitslücken, allerdings halte ich diese pauschale Aussage für vollkommen inkompetent. Ein kompetenter Provider begründet sowas und gibt Tipps zur Abhilfe (etwa "wir empfehlen ein Upgrade auf die neueste Version"). Wenn er das nicht getan hat, heißt das, er hat irgendwo im Flurfunk gehört, WB sei schlecht, und trägt das unreflektiert weiter. Einem solchen Provider würde ich für so einen dummen Spruch die rote Karte zeigen.

[fischstäbchenbrenner]

a) Ich habe in der letzten Zeit ziemlich oft Nachrichten von Providern bekommen, dass alle FTP-Passwörter geändert wurden, Backups zurückgespielt wurden usw.
Kurz: Dass großflächig gehackt wurde. Sowas hat nichts mit WB zu tun, es scheint sich um ein höheres Problem zu handeln.

b) Bei einigen Sites habe ich das am laufen:
http://phpmanufaktur.de/cms/topics/abfangjaeger.php
Dadurch bekomme ich relativ häufig Mails, wenn Hacker "blind" nach Lücken grapschen. Es ist ein Wahnsinn, was da alles gesucht wird; speziell myPHPAdmin ist immer wieder Ziel, gefolgt von wp-admin oder so...

WB als "unsicher" abzutun ist ein billiger Versuch eines unfähigen Providers, vom eigenen Dreck abzulenken.

[webixi]

Hallo Zusammen,

vielen Dank für Eure Beiträge.

Inzwischen hat sich der Kunde entschlossen, doch endlich den Provider zu wechseln.

Mit dem alten Provider gab es von Anfang an Ärger. Auch Kollegen aus meinem Netzwerk hatten schon schlechte Erfahrungen.

Aber unser Kunde wollte unbedingt den Hoster, weil der Chef ein Spezi von ihm ist.

Zum Glück konnten wir nun als Team auftreten und zum Umzug überreden. Alleine wäre mir das wahrscheinlich nicht gelungen.

Nun habe ich aber doch mal das neue WB 2.8.3 auf einem Testverzeichnis installiert und werde damit auch arbeiten.
Da auch hier die Installation wie gewohnt reibungslos verlaufen ist und ein erstes eigenes Template schon mal läuft, werde ich damit noch weitertesten. Hoffe, dass man das Teil auch bald für die richtigen Projekte einsetzen kann.

Schade, dass sich die Gemeinde gespalten hat - nun werde ich mal eine Testinstallation mit Lepton probieren und dann mal sehen, wie das klappt - auch im Zusammenhang mit den wichtigsten Modulen.

Vielleicht werde ich demnächst mal mit beiden Versionen arbeiten.

Viele Grüße
Webixi

[webixi]

Heute mussten wir feststellen, dass die Angriffe bei div. Hostern stattfinden. Telefonisch war mein "Haupthoster" nicht erreichbar - ständig belegt.
Es wird eine Counter.php Datei angelegt und bei sämtlichen index.php und sogar normalen html-Dateien Einträge vorgenommen. Ich musste die beschädigten Seiten erst mal stilllegen, bis wir herausgefunden haben, wie ein Schutz möglich ist. Natürlich haben wir sämtliche Passwörter geändert usw.
Nun wurden auch die ganz aktuellen WB 2.8.3 Installationen gehackt!

Übrigens: leider geht bei der neuen Version das Backupmodul nicht mehr: wenn man draufklickt wird man auf die Startseite verlinkt! Leider gehen auch viele andere Module nicht mehr: wie zb. Slideshows mit Lightbox-effekt.


Viele Grüße
Webixi

[kweitzel]

Und Du kannst sicher sein, dass keiner Eurer Rechner kompromitiert wurde? Dann hilft auch das Ändern der Passwörter nicht helfen.

Wie sind denn die Dateien auf die Server gekommen? Und was für ein Backup Modul verwendest Du?

Im Moment sind in meinen Augen noch viele Fragen ungeklärt ...

Gruß

Klaus

[webixi]

Hallo Klaus,

also wir sind natürlich am Suchen in jeglicher Richtung. Unsere Rechner sind virengeschützt (PC und Mac). Ich selbst arbeite meist am Mac. Die Angriffe habe ich über meinen Test-PC bemerkt.
Im Web habe ich gesehen, dass diese Art der Angriffe im letzten Jahr in den USA verbreitet waren und anscheinend nun immer mehr zu uns kommen.

Wir halten euch am Laufenden...

Viele Grüße
Webixi

[webixi]

Backup-Modul: 2.8.0.4

[ruebenwurzel]

Hallo,

die Ursache für die Hacks auf euren Servern kann letztendlich nur euer Hoster anhand der Serverlogs ermitteln. Ich schätze aber mal, dass er euch das Ergebnis nicht mitteilen wird. Die Angriffe haben vermutlich nix mit WB (egal in welcher Version) zu tun, sondern wurden generell auf den Servern wegen schlechter Konfiguration des Servers möglich und sollten nicht nur WB Seiten, sondern alles was auf den Servern liegt betreffen.

Zur Reparatur bitte alle index.php files durch die Originalen von WB ersetzen und die Schreibrechte auf die index.php Dateien entziehen (auf 444 setzen). Auch die config.php kann auf diese weise nach der Installation ein bisschen geschützt werden. Je nachdem welche Recht ein Hacker auf den Serveren an sich gerissen hat, nützt das zwar auch nicht viel, aber es ist zumindest eine weitere Hürde.

Matthias

[webixi]

Hi Matthias,

bin grad dabei, alle Index.phps zu überschreiben und die Berechtigungen zu ändern. Mal sehen, ob das hilft.

Übrigens habe auch mit einigen Kollegen (Design) diskutiert. Einer meinte, dass WB nicht das gelbe vom Ei sei - eher ein Hobbysystem (er arbeitet mit modx). Also gibt es diesen Ruf leider auch noch. Dabei arbeiten immer mehr Leute mit WB oder Lepton - auch Agenturen.

Ich habe übrigens einen Kunden, der unbedingt Typo3 wollte (es sei ja das allerbeste CMS). Nun: der Webauftitt wurde megateuer, der Programmierer ist nicht mehr greifbar (wegen Arbeitsüberlastung) und weder die Nachfolgerin noch ich kommen damit zurecht. Ich hatte eine Schulung zur Pflege - aber wenn ich dann mal was aktualisieren soll, bin ich immer am fluchen, weil alles so unübersichtlich ist. Irgendwie mag ich das System überhaupt nicht. Joomla ist zwar einfacher, ist aber im Backend nicht so toll aufgebaut. Modx habe ich nur mal in der Demo getestet, hat mir auch zu wenig Module.
Wordpress ist sehr angreifbar - ist zur Zeit sehr beliebt bei Designern.

An WebsiteBaker gefällt mir, dass ich als Designer das Template selber erstellen kann und das Aussehen der Seite im Griff habe. Bei der Zusammenarbeit mit den Programmierern (z.b. bei Typo3 usw.) ist das anders, da kämpft man um jedes bisschen in der Optik - teilweise auch Funktionen.

Klasse finde ich hier, dass man im Forum so schnell Antworten bekommt.

Also: vielen,vielen Dank!!!!!

Viele Grüße
Webixi