WebsiteBaker Community Forum
WebsiteBaker Support (2.8.x) => Hilfe & Support (deutsch) => General Help & Support => Ankündigungen (closed) => Topic started by: DarkViper on July 14, 2014, 03:51:46 PM
-
Wie euch (vielleicht :wink:) aufgefallen ist, hatten wir seit Freitag über das Wochenende so unsere kleinen Probleme mit dem Server.
Wobei, relativ gesehen weniger mit dem Server an sich, sondern mit einer Unmenge an PHP-Dateien in der Homepage und auch im Forum, die mit Schadcode infiziert waren. Es war fast alles betroffen: Core, Module, Sprachdateien und auch Templates. Das Mistzeug sorgte dafür, dass endlos Apache Instanzen geöffnet wurden und bremste dadurch Webserver und Datenbank praktisch bis zum Stillstand aus.
Inzwischen haben wir -hoffentlich alles- 'gereinigt' und den Server zumindest vorerst wieder am Laufen.
Jedoch nur für eine kurze Zeit, da ich der Serverinstallation selbst nicht im geringsten mehr vertraue. Deshalb wird gerade eine jungfräuliche Installation auf einem nagelneuen ReserveServer aufgebaut. Danach wird die 'alte' Maschine komplett 'platt' gemacht und wieder neu aufgesetzt und die saubere Installation einkopiert.
Ich hoffe jetzt nur, dass die aktuelle Installation noch lange genug durchhält.
Manuela
-
von mir schon mal ein Danke - auch an Daniel
-
Gut zu wissen, dass Ihr euch drum kümmert. Danke auch von mir. :-)
-
Hallo,
Danke für die Info und die Bemühungen.
Auf die Gefahr hin, mich unbeliebt zu machen: was genau war das für Schadcode? Besteht die Gefahr, dass sich Besucher der Website und des Forums dadurch Viren oder Trojaner eingefangen haben? Oder waren das "nur" Spammailer und ähnliches?
VG
-Florian.
-
Hi,
@instantflorian: +1
Yepp, wäre auch gut zu wissen, ob die Foren-Accounts bzw. die Passwörter geändert werden sollten/müssten, bzw. welche Dateien betroffen waren (Downloads, SVN, Forum Anhänge ...).
Gruss
-
Vielleicht auch mal das Dateisystem wechseln?
MfG. Evaki
-
Zum Schadcode: Ich hoffe, Ihr versteht, dass ich den hier nicht komplett im Detail aufführen möchte.
Es waren jedenfalls verschiedene Arten die jede für sich wiederum unterschiedlich encoded waren. Also extrem vielfältig und durch 'normale' globale Scanaktionen mit Suchmustern praktisch nicht auffindbar.
Wir mussten wirklich jede Datei manuell überprüfen. Immer wieder auftauchende Schlüsselwörter waren (wie üblich) base64, str_rot13, eval und preg_replace (das teilweise noch mit dem Modifier /e).
Die eigentlich prägnanten Schlüssel können nicht gesucht werden, da sie aus unterschiedlichsten Variablen und Literalen zusammengesetzt sind.
Die 'positive' Nachricht: Es waren nur Dateien mit ausführbarem PHP-Code betroffen.
Die überwiegende Mehrzahl waren Backdoors, durch die x-beliebiger PHP-Code eingeschleust und ausgeführt werden konnte. Ich bin noch nicht dazu gekommen, alle gefundenen Codes zu analysieren.
Was Forenpasswörter angeht: Wer ein gutes, starkes Passwort hat ist halbwegs sicher, da in der DB nur die MD5-Hashes gespeichert sind und keine Klartextwerte.
Problematischer wird es, wenn ein PW bereits in einer Rainbowtable erfasst ist, bzw ein vorhandener Hash mit dem Hash aus einer der Tabellen kollidiert. Dann könnte dem Angreifer das PW bereits im Klartext vorliegen.
Ein Wechsel des Passwortes ist auf jeden Fall mehr als empfehlenswert!!
Die Downloads sind in Ordnung, da sie kontinuierlich von einer meiner Maschinen hier überwacht und nötigenfalls korrigiert werden.
Addon-Downloads sind ebenfalls sicher, da die addon - Subdomain bereits seit längerem auf einem physikalisch anderen Server läuft.
Das SVN ist ebenfalls nicht betroffen, da es ebenfalls auf einer anderen Maschine abgelegt ist. Wo Fehler auftreten könnten, das ist die Verwaltungssoftware Redmine. Die wiederum ist gegen PHP-Angriffe immun, da sie in Ruby geschrieben ist. Es können höchstens über die Datenbank Tickets, Texte oder ähnliches beeinflusst werden, nicht jedoch das SVN oder die Changelog, da Redmine dafür keinerlei Schreibrechte hat.
Ich hoffe, die Informationen reichen für's erste... :wink:
Manuela
PS: @evaki: soll ich ernsthaft ein modernes Linux-Dateisystem gegen eins von Miniweich eintauschen? :-o
-
@DarkViper: danke für die Infos, Passwort geändert.
Gruss cwsoft
-
My previous password was randomly generated and good thing it isn't yet findable on the internet ;).
But to be shure i changed it.
-
Hallo,
sollte vielleicht noch eine englischsprachige Info in "General Announcements" oder "Security Announcements" erfolgen?
VG
-Florian.
-
koa Broblem... brauch ma blos oan, ders ibersetzt. ;-)
Eine einfache Textdatei mit der Übersetzung an mein Postfach würde schon genügen.
(gilt übrigens für alle meine Posts, wenn jemand denkt es wäre sinnvoll den noch in einer zusätzlichen Sprache zu veröffentlichen.)
Ist immer nur ein Riesenaufwand hier, alles in zwei, teilweise auch 3 Sprachen zu schreiben, :(
da ich hier ja sowieso schon dauernd alles in einer Fremdsprache schreibe. :-P
-
Die Domain websitebaker2.org scheint auch betroffen. Die führt nämlich neuerdings auf das Addons-Repo, weshalb meine Bookmarks (Forum etc.) nicht mehr gingen.
-
Das Problem ist bekannt. leider hat der Schadcode auch vor 'kunstvoll' aufgebauten .htaccess-Konstrukten(wozu waren die eigentlich gut??) und anderen wichtigen Stellen keinen Halt gemacht, eine ganze Reihe davon umgeschrieben und dadurch das 'leichte' Chaos verursacht.
Deshalb auch meine Bemerkung im ersten Post: "da ich der Serverinstallation selbst nicht im geringsten mehr vertraue."
Ich denk, mit dem Problem können wir kurze Zeit leben ohne jetzt wieder unnötig viele Stunden in die Reparatur zu stecken.... um dann doch alles wieder wegzuwerfen.
Bei den Bookmarks ist es sowieso sinnvoll, die step by step auf WebsiteBaker.org zu ändern.
In Zukunft (sobald der Reparatur-Umbau abgeschlossen ist) wird WebsiteBaker.org die absolute Hauptdomain sein und alle anderen Domains(websitebaker2.org, WebsiteBaker.com, websitebaker2.com etc.) werden nur noch als Aliase per 301(moved permanently) auf die Hauptdomain weiterleiten und irgendwann in der Zukunft ganz verschwinden.
Manuela
-
Danke für die Aussage, ich wußte nämlich nie, welche jetzt die "richtige" Domain ist.
-
PS: @evaki: soll ich ernsthaft ein modernes Linux-Dateisystem gegen eins von Miniweich eintauschen?
Gegen das neue von win8 (ReFS (http://de.wikipedia.org/wiki/ReFS)) wäre nicht einzuwenden.
Aber ich dachte eher an ZFS oder btrfs.
MfG. Evaki
-
Manuela - warum teilst Du so etwas nicht den WB Benutzern mit? Entschuldige, wir benutzen einen kostenlosen PHP Code und du machst die Arbeit