Angriff: v3.0.4 SP2.1 Hilfe

[emeriti]

Hallo,

es wurde meine
v3.0.4 SP2.1 gehackt - wer kann dabei helfen die Lücke zu schliessen?

Folgende Info kam von unserem Host:

Sie erhalten in dieser E-Mail eine Analyse des Angriffs und Hinweise, wie Sie
die Sicherheit Ihrer Webseiten wiederherstellen.

1 Analyse des Angriffs
1.1 Ihre folgende Datei hat den Angreifern als Einfallstor gedient:
./admin/categories.php
./admin/configuration.php
./admin/manufacturers.php

1.2 Über dieses Einfallstor ist es den Angreifern gelungen die folgenden
schädlichen Dateien auf Ihren Webspace zu laden:
./images/manufacturers/adm.php
./images/manufacturers/mp3.php
./images/manufacturers/logs.php

1.3 Um weitere Angriffe zu verhindern, haben wir alle oben genannten Dateien
deaktiviert. Bitte beachten Sie, dass dadurch Teile Ihrer Webpräsenz
beeinträchtigt sein können.

1.4 Im Anschluss an diese Nachricht entsperren wir Ihren 1&1
Webspace. Diese Sperre war zum Schutz unserer Infrastruktur notwendig, bitte
haben Sie dafür Verständnis.

2 Hinweise zur Absicherung
Um die Sicherheit Ihrer Webseiten wiederherzustellen, gehen Sie nun wie
folgt vor:

2.1 Löschen Sie die oben genannten Dateien. Unserer Erfahrung nach werden die
Angreifer diese Dateien sehr schnell wieder aufsuchen.

2.2 Die folgenden Skripte weisen Sicherheitslücken an den angegebenen Variablen
auf. Schließen Sie diese Sicherheitslücken bitte.
./admin/categories.php
./admin/configuration.php
./admin/manufacturers.php


Hilfe - was genau tun bzw. wie die Lücke schliessen? Danke & Gruss
e

[Fry]

Dass die genannten Dateien ein Angriffstor öffnen wäre neu, zumindest weil es das erstemal wäre dass ich von einem geglücktem Angriff über diese Dateien höre, zumal diese fast unverändert über Jahre hinweg im Netz in unzähligen Shops zu finden sind.

Hast du irgendwann einmal 3rd-Party-Module verbaut die einen Eingriff in selbige brauchten? Dann hast du deine Sicherheitslücke schon gefunden
Wenn nicht dann beschaffe dir die originalen Dateien und vergleiche sie mit WinMerge oder einem ähnlichen Tool, auch das führt (sollte!) zum Erfolg.

In dem Ordner /images/manufacturers/ ist im allgemeinen aber auch keine .php-Dateien zu finden, wo kommen die her?

[emeriti]

Hi fry, danke für die erste Antwort.

Third Party habe ich nur ein News Modul von ************************************************** *************************** Media, das allerdings laut Anleitung aber diese Dateien auch nicht braucht (zumindest bei der Installationsanleitung nicht erwähnt).

Die Dateien im Ordner "images/manufacturers" wurden ja hochgeladen, laut Host-Info.

Zitat:

1.2 Über dieses Einfallstor ist es den Angreifern gelungen die folgenden
schädlichen Dateien auf Ihren Webspace zu laden:
./images/manufacturers/adm.php
./images/manufacturers/mp3.php
./images/manufacturers/logs.php

Gruss,
Mark

[Fry]

Ok, 1.2 habe ich falsch gelesen und woher die Dateien kommen hab ich soeben verstanden

Trotzdem, hast du die angeblichen Tore schon mit den originalen verglichen resp. mit welchen aus einem definitiv sauberen Backup?

Was benutzt du sonst noch im Hintergrund deines Shops?
U.U. könnte, je nachdem was 1und1 als FTP bei Webspace auf seinen Servern nutzt, auch durch die Lücke von proFTPD, welche letztens bekannt wurde, Schadsoftware eingeschleusst worden sein, aber das ist nur reine Spekulation (meinerseits).

[emeriti]

Hi Fry,

Die Einfallstor-Dateien sind völlig unverändert und jede Zeile Code identisch (also nach dem Angriff und vor dem Angriff verglichen).

Aha - proFTP? Da muss sich mal recherchieren... hast Du da evtl. einen spekulativen Link zu?

Gruss,
e

[Fry]

Wenn die Dateien also identisch sind dann kann der Schädling auch (eigentlich) damit hineingekommen sein, da würde ich dann nochmals bei 1und1 nachfragen wie die darauf kommen.

SourceForge.net: ProFTPD Server Software:

Halte ich selber zwar für unwahrscheinlich, aber ich hab schon Pferde kotzen sehn

Wenns aber tatsächlich daran liegen würde dann hat dein Provider die Schuld, da du ja "blos" Webspace nutzt.