Website wird gehackt
Eingetragen von lloyyd (136)am 04.10.2010 - 10:24 Uhr in
Guten Morgen,
Seit ca. 2 Monaten wird unsere Homepage regelmäßig mit einem Skript befüllt, was nicht von uns ist.
Das ganze sieht so aus dass in unsere page-front.tpl.php ein php Skript geschrieben wird, welches einen String, aus einer vorher hoch geladenen Datei, in die .tpl einfügt.
Der String beinhaltet ca. 100 Links zu Seiten wo diverse Pillen verkauft werden.
Ich habe die Homepage der Firma in der ich arbeite erstellt und pflege bzw. verwalte diese.
Seit 2 Jahren arbeiten wir an der Homepage, deswegen immer noch mit Drupal 5.
Wir haben mit unserem Webhoster Kontakt aufgenommen, denn die Datei die bei uns auf den FTP geladen wird, stammt von einem Benutzeraccount von unserem Webhoster. Dieser meinte dass der Benutzeraccount mit dem die Datei hochgeladen wurde, der Account von dem Apache Server sei, und dass das darauf hindeuten würde dass die Datei über dass http hochgeladen wurde.. das heißt also dass die Lücke in unserem Drupal sein wird, oder?
Hat jemand einen Tipp für uns?
Ist es unumgänglich Drupal einem update zu unterziehen oder gibt es andere Möglichkeiten?
- Anmelden oder Registrieren um Kommentare zu schreiben
Befindet sich eure 5er
am 04.10.2010 - 10:41 Uhr
Befindet sich eure 5er Installation samt aller Module auf dem aktuellen Stand?
Werden ggf. eigene Module eingesetzt, wo man die üblichen Sicherheitsmechaniscmen von Drupal womöglich nicht nutzt?
Werden Module eingesetzt, die in irgendeiner Entwicklingsversion vorliegen, ggf. nicht sehr verbreitet sind und länger nicht mehr weiterentwickelt wurden?
Haben User auf der Site die Möglichkeit Eingaben zu tätigen und werden die Eingaben korrekt per Filter und in ggf. eigenem Theming. oder Modul-Code geckeckt?
Schaut mal was euer Hoster für ein Betriebssystem einsetzt und ob Apache, PHP & Co. aktuell sind. Aktuell muss nicht zwingend das aktuelle Feature Release sein, aber die aktuellen Security Patches sollte es enthalten.
Ist über die Protokolle des FTP-Servers nachvollziehbar, dass die Datei tatsächlich nicht per FTP hochgeladen wurde?
Habt ihr zwischendurch den User mal gelöscht, einen neuen angelegt und ein sicheres Passwort neu vergeben?
Installiert und konfiguriert PHPIDS.
Hey Alex, Danke für die
am 04.10.2010 - 12:57 Uhr
Hey Alex, Danke für die Antwort!
Drupal ist auf aktuellem Stand, die Module überprüfe ich jetzt nach und nach..
Bei uns haben nur sehr wenige, ich glaube 1-3 andere User Zugriff auf das editieren von Nodes, diese werden aber ausschliesslich mit Full HTML geschrieben.. könnte das etwas sein?
Also beim Statusbericht steht folgendes zum Server:
MySQL-Datenbank 4.1.13
PHP 4.3.10
Webserver Apache/1.3.23 (Unix) mod_ssl/2.8.7 OpenSSL/0.9.6c PHP/4.3.10 mod_perl/1.26
Die niedrige PHP version ist einer der Gründe warum das mit dem Updaten nicht so leicht möglich ist für uns.. und ein wechsel des Webhosters ist leider auch nicht möglich..
Die FTP Protokolle kommen bald.. dann sehen wir wie das genau mit der Datei passiert ist.. bei unserem FTP Account haben wir das Passwort vor ca 4 wochen geändert, nach dem 1. vorkommen des Hacks..
Danke für den Tipp mit dem Modul, ich probier das mal aus!
1.3.23?? Du meinst der 1.3.23
am 04.10.2010 - 13:13 Uhr
1.3.23?? Du meinst der 1.3.23 vom 24.01.2002?? ;-)
http://www.apacheweek.com/features/apache1323
Könnte das eine Ursache für
am 04.10.2010 - 13:18 Uhr
Könnte das eine Ursache für das leichte Eindringen in unser System sein?
Allerdings meinte unser Webhoster dass wir die einzigen sind die erfolgreich angegriffen wurden, andere Kunden auf dem Server hatten keine derartigen Probleme..
Hi, ich würde mal die HTTP
am 04.10.2010 - 13:54 Uhr
Hi,
ich würde mal die HTTP Logs ansehen um festzustellen über welche
Eurer Drupal Seite der Hacker reinkommt.
Falls es unklar ist rede mal mit dem Hoster.
Er soll für Eure Seite die nächste Zeit die kompletten Http Requests loggen (POST und GET)
nicht nur die Header.
Die logfiles werden dann evtl. ziemlich gross aber Du kannst dann genau sehen wie und wo gehackt wurde.
PS:
Der Hoster würde Dir bei aller Ehrlichkeit bestimmt nicht erzählen,
dass andere oder meherere Kunden Sites auch gehackt wurden.
Hatte so etwas mal mit nem türkischen Hacker wo der Hoster behauptete
das die Seite gehackt wurde.
In Wahrheit hatte der Hacker aber ROOT Zugriff und dutzende Kundenseiten Defaced.
Ach ja, nach diesem Hack
am 04.10.2010 - 14:02 Uhr
Ach ja,
nach diesem Hack müsst Ihr sowieso das Passwort für den Zugriff auf die
Datenbank ändern.
Der Hacker kann natürlich die settings.php auslesen!
Sowie vorsichtshalber auch alle Passwörter in der Drupal USER Tabelle.
Die sind zwar MD5 verschlüsselt aber wenn die nicht stark stark sind (sagen wir min. 12 Zeichen A-Za-z0-9)
kann er die leicht entschlüsseln.
LG