Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Allgemeines zu Drupal ›

Website wird gehackt

Eingetragen von lloyyd (136)
am 04.10.2010 - 10:24 Uhr in
  • Allgemeines zu Drupal
  • Drupal 5.x

Guten Morgen,

Seit ca. 2 Monaten wird unsere Homepage regelmäßig mit einem Skript befüllt, was nicht von uns ist.

Das ganze sieht so aus dass in unsere page-front.tpl.php ein php Skript geschrieben wird, welches einen String, aus einer vorher hoch geladenen Datei, in die .tpl einfügt.
Der String beinhaltet ca. 100 Links zu Seiten wo diverse Pillen verkauft werden.

Ich habe die Homepage der Firma in der ich arbeite erstellt und pflege bzw. verwalte diese.
Seit 2 Jahren arbeiten wir an der Homepage, deswegen immer noch mit Drupal 5.

Wir haben mit unserem Webhoster Kontakt aufgenommen, denn die Datei die bei uns auf den FTP geladen wird, stammt von einem Benutzeraccount von unserem Webhoster. Dieser meinte dass der Benutzeraccount mit dem die Datei hochgeladen wurde, der Account von dem Apache Server sei, und dass das darauf hindeuten würde dass die Datei über dass http hochgeladen wurde.. das heißt also dass die Lücke in unserem Drupal sein wird, oder?

Hat jemand einen Tipp für uns?
Ist es unumgänglich Drupal einem update zu unterziehen oder gibt es andere Möglichkeiten?

‹ htaccess Zugriff auf bestimmte Order zulassen Live- und Testsystem - Best Practice? ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Befindet sich eure 5er

Eingetragen von Alexander Langer (3416)
am 04.10.2010 - 10:41 Uhr

Befindet sich eure 5er Installation samt aller Module auf dem aktuellen Stand?
Werden ggf. eigene Module eingesetzt, wo man die üblichen Sicherheitsmechaniscmen von Drupal womöglich nicht nutzt?
Werden Module eingesetzt, die in irgendeiner Entwicklingsversion vorliegen, ggf. nicht sehr verbreitet sind und länger nicht mehr weiterentwickelt wurden?
Haben User auf der Site die Möglichkeit Eingaben zu tätigen und werden die Eingaben korrekt per Filter und in ggf. eigenem Theming. oder Modul-Code geckeckt?

Schaut mal was euer Hoster für ein Betriebssystem einsetzt und ob Apache, PHP & Co. aktuell sind. Aktuell muss nicht zwingend das aktuelle Feature Release sein, aber die aktuellen Security Patches sollte es enthalten.
Ist über die Protokolle des FTP-Servers nachvollziehbar, dass die Datei tatsächlich nicht per FTP hochgeladen wurde?
Habt ihr zwischendurch den User mal gelöscht, einen neuen angelegt und ein sicheres Passwort neu vergeben?

Installiert und konfiguriert PHPIDS.

Suchmaschinenoptimierung (SEO) & Drupal

  • Anmelden oder Registrieren um Kommentare zu schreiben

Hey Alex, Danke für die

Eingetragen von lloyyd (136)
am 04.10.2010 - 12:57 Uhr

Hey Alex, Danke für die Antwort!
Drupal ist auf aktuellem Stand, die Module überprüfe ich jetzt nach und nach..
Bei uns haben nur sehr wenige, ich glaube 1-3 andere User Zugriff auf das editieren von Nodes, diese werden aber ausschliesslich mit Full HTML geschrieben.. könnte das etwas sein?

Also beim Statusbericht steht folgendes zum Server:
MySQL-Datenbank 4.1.13
PHP 4.3.10
Webserver Apache/1.3.23 (Unix) mod_ssl/2.8.7 OpenSSL/0.9.6c PHP/4.3.10 mod_perl/1.26
Die niedrige PHP version ist einer der Gründe warum das mit dem Updaten nicht so leicht möglich ist für uns.. und ein wechsel des Webhosters ist leider auch nicht möglich..

Die FTP Protokolle kommen bald.. dann sehen wir wie das genau mit der Datei passiert ist.. bei unserem FTP Account haben wir das Passwort vor ca 4 wochen geändert, nach dem 1. vorkommen des Hacks..

Danke für den Tipp mit dem Modul, ich probier das mal aus!

  • Anmelden oder Registrieren um Kommentare zu schreiben

1.3.23?? Du meinst der 1.3.23

Eingetragen von Alexander Langer (3416)
am 04.10.2010 - 13:13 Uhr

1.3.23?? Du meinst der 1.3.23 vom 24.01.2002?? ;-)

http://www.apacheweek.com/features/apache1323

Suchmaschinenoptimierung (SEO) & Drupal

  • Anmelden oder Registrieren um Kommentare zu schreiben

Könnte das eine Ursache für

Eingetragen von lloyyd (136)
am 04.10.2010 - 13:18 Uhr

Könnte das eine Ursache für das leichte Eindringen in unser System sein?
Allerdings meinte unser Webhoster dass wir die einzigen sind die erfolgreich angegriffen wurden, andere Kunden auf dem Server hatten keine derartigen Probleme..

  • Anmelden oder Registrieren um Kommentare zu schreiben

Hi, ich würde mal die HTTP

Eingetragen von Hyp1 (1461)
am 04.10.2010 - 13:54 Uhr

Hi,

ich würde mal die HTTP Logs ansehen um festzustellen über welche
Eurer Drupal Seite der Hacker reinkommt.

Falls es unklar ist rede mal mit dem Hoster.
Er soll für Eure Seite die nächste Zeit die kompletten Http Requests loggen (POST und GET)
nicht nur die Header.
Die logfiles werden dann evtl. ziemlich gross aber Du kannst dann genau sehen wie und wo gehackt wurde.

PS:
Der Hoster würde Dir bei aller Ehrlichkeit bestimmt nicht erzählen,
dass andere oder meherere Kunden Sites auch gehackt wurden.
Hatte so etwas mal mit nem türkischen Hacker wo der Hoster behauptete
das die Seite gehackt wurde.
In Wahrheit hatte der Hacker aber ROOT Zugriff und dutzende Kundenseiten Defaced.

https://awri.ch
Ich habe eine Schweizer Tastatur und daher kein scharfes ß ;-)

  • Anmelden oder Registrieren um Kommentare zu schreiben

Ach ja, nach diesem Hack

Eingetragen von Hyp1 (1461)
am 04.10.2010 - 14:02 Uhr

Ach ja,
nach diesem Hack müsst Ihr sowieso das Passwort für den Zugriff auf die
Datenbank ändern.
Der Hacker kann natürlich die settings.php auslesen!
Sowie vorsichtshalber auch alle Passwörter in der Drupal USER Tabelle.
Die sind zwar MD5 verschlüsselt aber wenn die nicht stark stark sind (sagen wir min. 12 Zeichen A-Za-z0-9)
kann er die leicht entschlüsseln.

LG

https://awri.ch
Ich habe eine Schweizer Tastatur und daher kein scharfes ß ;-)

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • content und media-files von drupal8 nach drupal9 migrieren
  • Notificationsnicht immer und gesammelt bei Update
  • Meldung zu Token im Statusbericht
  • Modulupdate per Webinterace scheitert an authorize.php und access denied für Admin-User
  • Fehlermeldung: Deprecated function
  • Warning: call_user_func() expects parameter 1 to be a valid callback, class 'Drupal\node\Entity\Node' does not have a method 'ge
  • Versenden von Anfragen per Webform
  • Goodbye Online Drupal Meetup Germany - Hello Drupal DACH Online Meetup!
  • Übersetzte Felder bei Inhaltstyp automatisch übernehmen
  • Content Ex-/Import
  • RESTful Path request will nicht
  • Wer ist online Block
Weiter

Neue Kommentare

  • Ich habe es bei einigen
    vor 3 Stunden 19 Minuten
  • Self-referencing
    vor 1 Tag 17 Stunden
  • settings.php
    vor 1 Tag 18 Stunden
  • Kulturmensch schrieb Prima
    vor 1 Tag 19 Stunden
  • Metatag
    vor 1 Tag 19 Stunden
  • Links
    vor 1 Tag 18 Stunden
  • Wenn Du nach der
    vor 1 Tag 20 Stunden
  • Gut zu wissen. Demnächst
    vor 2 Tagen 12 Stunden
  • Token Fehler behoben
    vor 2 Tagen 13 Stunden
  • Du hast völlig recht, da habe
    vor 2 Tagen 18 Stunden

Statistik

Beiträge im Forum: 245977
Registrierte User: 18830

Neue User:

  • finnster
  • Damian1802
  • MrWebMV

» Alle User anzeigen

User nach Punkten sortiert:
wla9010
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3916
ronald3829
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 18 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association