[gelöst] Hilfe! SPAM-Mail-Versand per Skript
Eingetragen von zwerg (736)am 21.10.2014 - 13:32 Uhr in
Hallo,
heute Nacht bekam ich von meinem Anbieter den Hinweis, dass mein System mit verschiedenen Drupal-Installationen gesperrt wurde. Der Grund ist, dass wohl per Skript über meine Installationen auf den Root-Benutzer zugegriffen wurde und SPAM-Mails versand wurden.
(Auszug)
7423320CA7 3503 Tue Oct 21 02:32:43 rootname@servername
(host esa1.wsfsbank.iphmx.com[68.232.129.217] refused to talk to me: 554-esa1.wsfsbank.iphmx.com 554 Your access to this mail system has been rejected due to the sending MTA\'s poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
jnoon@wsfsbank.com
Ich habe meine Logfiles gesichert und durchsucht, allerdings finde ich keine Einträge zur genannten Zeit (Zeitraum laut Mail 20.10.14 21:00-21.10.14 03:00). Ich habe das Update auf 7.32 ausgeführt (CVE-2014-3704), was meinem Anbieter jedoch nicht zur Freischaltung ausreicht.
Die Begründung ist, dass via Datenbank-Zugriff ein Skript ausgeführt wird, welches Schaden anrichten könne. Nur finde ich keine nicht zur Installation gehörenden Dateien.
Hat jemand einen Tipp, wonach ich suchen kann oder welcher Art das Skript sein könnte? Ich bin ziemlich ratlos...
- Anmelden oder Registrieren um Kommentare zu schreiben
Den Provider fragen welches
am 22.10.2014 - 08:09 Uhr
Den Provider fragen welches Script die Mails versandt hat. Das lässt sich normalerweise recht schnell nachvollziehen
Da war der Haken: Der
am 22.10.2014 - 15:50 Uhr
Da war der Haken: Der Provider hat sich damit nicht auseinandergesetzt. Inzwischen konnte ich es lösen: Es lag nicht an Drupal, sondern an MySQL Dumper - dort war eine Lücke im Verzeichnisschutz.
Grüße
Sicherheitsproblem Drupal?!?
am 03.12.2014 - 18:14 Uhr
Hallo,
ich muss diesen Thread reanimieren. Der Grund ist, dass es scheinbar noch immer Sicherheitslücken in Drupal gibt, die das hochladen (POST*) von php-Skripten in das Dateisystem ermöglichen - sowohl im sites/ [default]/files als auch in sites/all/* - Verzeichnis.
Der .htaccess-Schutz von Drupal 7.34 reicht anscheinend nicht aus.
Ich habe nun einige IP-Bereiche und Länder per folgenden Eingriff in die .htaccess gesperrt:
<Files *>
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
order deny,allow
###
# Russia (RU), Ukraine (UA), Belarus (BY), Bulgaria (BG), Czech Republic (CZ), Romania (RO), Latvia (LV), Estonia (EE), Kazakstan (KZ), Moldavia/Moldova (MD), Poland (PL), Serbia (RS), Siberia, Slovakia (SK), Slovenia (SL)
deny from 2.72.0.0/13 2.92.0.0/14 2.132.0.0/14 5.34.56.0/22 5.60.0.0/16 5.143.0.0/16 5.158.96.0/19 5.158.232.0/21 5.166.0.0/15 5.248.0.0/16 5.254.96.0/21 5.255.192.0/18 31.6.70.0/23 31.11.43.0/24 31.11.128.0/17 31.15.88.0/21 31.23.0.0/16 31.29.0.0/19 31.31.96.0/19 31.43.128.0/19 31.129.96.0/19 31.131.0.0/17 31.162.64.0/18 31.170.168.0/21 31.174.0.0/15 31.178.0.0/16 31.181.0.0/16 31.184.224.0/21 31.184.234.0/23 31.184.236.0/22 31.187.0.0/18 31.192.104.0/21 31.192.128.0/19 31.207.192.0/18 37.9.0.0/19 37.9.32.0/20 37.9.48.0/21 37.17.176.0/21 37.44.64.0/18 37.45.0.0/16 37.52.0.0/14 37.56.0.0/15 37.99.0.0/17 37.110.128.0/19 37.115.0.0/16 37.128.0.0/17 37.139.0.0/18 37.140.0.0/16 37.143.8.0/21 37.143.16.0/20 37.143.88.0/21 37.143.96.0/21 37.143.104.0/21 37.144.0.0/14 37.150.0.0/15 37.212.0.0/14 37.221.128.0/19 37.221.160.0/21 37.228.64.0/21 37.228.80.0/20 37.229.0.0/16 46.0.0.0/16 46.4.240.0/27 46.10.0.0/16 46.16.240.0/21 46.17.96.0/21 46.28.101.0/24 46.30.160.0/21 46.33.224.0/19 46.36.217.0/24 46.38.96.0/19 46.39.0.0/18 46.39.64.0/19 46.50.128.0/18 46.53.141.0/24 46.56.128.0/17 46.61.0.0/16 46.62.0.0/15 46.72.0.0/15 46.98.0.0/16 46.108.0.0/16 46.109.0.0/16 46.112.0.0/15 46.118.0.0/15 46.147.128.0/17 46.148.48.0/20 46.151.152.0/21 46.158.0.0/16 46.159.0.0/16 46.160.80.0/21 46.164.0.0/18 46.164.128.0/18 46.164.192.0/18 46.172.0.0/16 46.173.0.0/17 46.173.128.0/19 46.173.160.0/19 46.175.200.0/21 46.180.0.0/15 46.182.48.0/21 46.185.0.0/17 46.187.0.0/17 46.191.128.0/18 46.200.0.0/14 46.211.0.0/16 46.229.176.0/20 46.254.18.0/23 62.16.96.0/19 62.21.0.0/17 62.24.64.0/19 62.64.64.0/18 62.69.0.0/19 62.76.0.0/16 62.85.0.0/17 62.109.0.0/20 62.117.64.0/18 62.122.64.0/21 62.122.104.0/21 62.129.192.0/18 62.133.128.0/19 62.140.224.0/19 62.141.64.0/18 62.148.64.0/19 62.152.32.0/19 62.168.0.0/18 62.168.224.0/19 62.182.104.0/21 62.213.32.0/19 62.213.64.0/18 62.220.32.0/19 62.221.64.0/19 62.233.142.0/26 62.244.0.0/18 69.175.104.218 70.85.189.224/29 77.28.0.0/15 77.34.0.0/15 77.37.128.0/17 77.40.0.0/17 77.41.0.0/17 77.43.128.0/17 77.45.128.0/17 77.46.128.0/17 77.51.0.0/18 77.51.64.0/18 77.55.0.0/16 77.65.0.0/17 77.70.0.0/17 77.73.128.0/21 77.75.8.0/21 77.78.10.0/23 77.79.128.0/18 77.79.192.0/18 77.81.0.0/24 77.85.0.0/16 77.87.32.0/20 77.87.152.0/21 77.87.168.0/21 77.87.192.0/21 77.88.0.0/18 77.91.128.0/18 77.91.224.0/21 77.93.0.0/18 77.93.32.0/19 77.94.124.0/22 77.94.192.0/19 77.106.64.0/18 77.108.192.0/18 77.120.0.0/14 77.221.128.0/19 77.222.32.0/19 77.222.128.0/19 77.232.156.0/22 77.233.160.0/19 77.234.0.0/19 77.234.192.0/19 77.235.96.0/20 77.239.224.0/19 77.241.160.0/20 77.243.96.0/22 77.244.208.0/20 77.247.208.0/22 77.252.0.0/14 78.8.0.0/14 78.24.152.0/21 78.24.216.0/21 78.26.128.0/18 78.29.0.0/18 78.31.176.0/21 78.36.0.0/15 78.60.128.0/17 78.85.0.0/16 78.96.0.0/15 78.106.0.0/15 78.108.84.0/23 78.108.86.0/23 78.108.176.0/20 78.109.16.0/20 78.110.48.0/20 78.110.160.0/20 78.111.48.0/20 78.128.0.0/17 78.137.0.0/19 78.152.160.0/19 78.157.128.0/19 79.96.0.0/16 79.98.208.0/21 79.99.216.0/21 79.101.0.0/16 79.105.0.0/16 79.111.0.0/16 79.112.0.0/13 79.120.0.0/17 79.126.0.0/18 79.133.96.0/18 79.133.128.0/18 79.133.192.0/19 79.135.128.0/17 79.135.192.0/19 79.136.128.0/17 79.137.224.0/20 79.139.0.0/16 79.140.64.0/20 79.140.160.0/20 79.162.128.0/18 79.163.0.0/16 79.174.64.0/19 79.184.0.0/13
deny from 80.48.0.0/13 80.70.96.0/20 80.71.240.0/20 80.73.0.0/20 80.73.64.0/21 80.77.80.0/24 80.77.160.0/20 80.78.192.0/20 80.80.128.0/19 80.82.160.0/20 80.85.176.0/20 80.86.96.0/19 80.86.240.0/21 80.91.160.0/19 80.92.224.0/20 80.93.48.0/21 80.233.128.0/17 80.235.0.0/17 80.239.224.0/19 80.240.208.0/20 80.245.80.0/20 80.249.80.0/20 80.250.64.0/24 80.251.112.0/20 81.5.96.0/20 81.9.0.0/20 81.12.128.0/17 81.16.80.0/20 81.18.64.0/19 81.19.64.0/19 81.21.0.0/20 81.24.208.0/20 81.25.48.0/22 81.26.176.0/20 81.30.176.0/20 81.88.208.0/20 81.89.112.0/20 81.90.224.0/20 81.91.208.0/20 81.94.32.0/20 81.95.128.0/20 81.95.144.0/20 81.176.0.0/15 81.180.0.0/16 81.181.16.0/22 81.195.0.0/16 81.196.0.0/16 81.200.0.0/20 81.222.128.0/20 82.76.0.0/14 82.103.64.0/18 82.112.48.0/20 82.114.64.0/19 82.114.224.0/19 82.137.32.0/19 82.138.6.128/25 82.138.32.0/19 82.140.64.0/18 82.140.192.0/18 82.144.192.0/19 82.146.40.0/21 82.146.56.0/21 82.151.112.0/21 82.160.203.0/24 82.179.0.0/16 82.193.96.0/19 82.193.128.0/19 82.198.160.0/19 82.199.96.0/19 82.200.0.0/16 82.204.128.0/17 82.210.128.0/18 83.0.0.0/11 83.69.114.0/23 83.69.240.0/21 83.99.128.0/17 83.102.128.0/17 83.139.128.0/18 83.142.184.0/21 83.143.136.0/21 83.148.64.0/18 83.166.192.0/19 83.167.96.0/19 83.167.224.0/19 83.170.192.0/18 83.174.192.0/18 83.219.129.0/24 83.222.0.0/19 83.222.160.0/19 83.222.192.0/19 83.228.0.0/17 83.229.128.0/17 83.234.0.0/16 83.237.0.0/16 83.243.64.0/21 83.246.0.0/20 83.246.192.0/18 84.17.0.0/19 84.21.64.0/19 84.23.32.0/19 84.42.128.0/17 84.51.64.0/19 84.53.192.0/18 84.237.0.0/16 84.245.192.0/18 84.253.64.0/18 85.9.0.0/18 85.12.192.0/18 85.14.35.0/24 85.21.0.0/16 85.26.184.0/22 85.29.192.0/18 85.31.96.0/21 85.90.192.0/19 85.93.0.0/19 85.93.32.0/19 85.93.128.0/19 85.94.0.0/19 85.94.32.0/19 85.112.112.0/20 85.113.128.0/19 85.121.39.0/24 85.121.180.0/23 85.122.16.0/20 85.128.128.0/17 85.140.0.0/15 85.142.0.0/15 85.172.0.0/14 85.186.0.0/16 85.192.60.0/23 85.192.128.0/18 85.198.80.0/21 85.204.0.0/16 85.207.0.0/16 85.217.192.0/18 85.222.0.0/17 85.234.0.0/19 85.248.0.0/16 85.249.0.0/16 85.254.0.0/16 85.255.0.0/20 85.255.112.0/20 86.34.0.0/16 86.35.0.0/21 86.35.15.0/24 86.35.128.0/17 86.55.120.0/22 86.55.140.0/24 86.55.210.0/23 86.57.128.0/17 86.61.0.0/17 86.104.0.0/14 86.111.240.0/21 86.120.0.0/13 87.99.64.0/19 87.103.192.0/20 87.103.208.0/20 87.110.0.0/16 87.117.0.0/18 87.117.128.0/19 87.117.160.0/19 87.118.128.0/18 87.119.224.0/19 87.120.16.0/20 87.204.0.0/15 87.226.0.0/17 87.229.128.0/17 87.239.24.0/21 87.242.64.0/18 87.244.128.0/18 87.247.0.0/18 87.248.160.0/19 87.249.192.0/19 87.251.128.0/19 87.253.0.0/19 87.253.192.0/19 87.255.64.0/19 88.81.224.0/19 88.147.128.0/17 88.200.128.0/17 88.201.128.0/17 88.205.128.0/17 88.212.192.0/18 88.213.192.0/18 89.18.16.0/21 89.20.128.0/19 89.21.64.0/19 89.21.128.0/19 89.23.0.0/19 89.23.128.0/19 89.28.0.0/17 89.31.112.0/21 89.32.152.0/21 89.33.72.0/21 89.33.208.0/20 89.33.252.0/22 89.35.64.0/21 89.37.120.0/21 89.37.144.0/21 89.38.112.0/20 89.38.128.0/21 89.39.174.0/23 89.39.200.0/21 89.41.176.0/20 89.44.0.0/16 89.45.0.0/16 89.47.224.0/21 89.64.0.0/12 89.104.64.0/19 89.105.224.0/19 89.106.96.0/19 89.108.64.0/18 89.109.0.0/18 89.110.0.0/18 89.110.64.0/18 89.111.160.0/20 89.111.176.0/20 89.113.72.0/21 89.114.0.0/15 89.116.0.0/15 89.121.128.0/17 89.122.0.0/16 89.123.0.0/16 89.136.0.0/15 89.146.192.0/18 89.149.0.0/17 89.161.128.0/17 89.165.128.0/17 89.169.0.0/16 89.175.0.0/16 89.176.0.0/15 89.178.0.0/15 89.186.0.0/19 89.187.48.0/23 89.187.128.0/19 89.189.0.0/19 89.189.128.0/18 89.190.224.0/19 89.201.0.0/17 89.204.0.0/17 89.208.0.0/16 89.212.0.0/16 89.216.0.0/16 89.218.0.0/16 89.222.128.0/17 89.223.0.0/16 89.228.96.0/20 89.230.0.0/16 89.232.192.0/18 89.238.192.0/18 89.239.128.0/18 89.251.16.0/21 89.251.96.0/20 89.251.144.0/20 89.251.160.0/20 89.252.0.0/18 89.253.0.0/18 89.254.192.0/18
deny from 90.150.112.0/20 90.150.128.0/20 90.151.16.0/20 90.151.128.0/20 90.156.128.0/17 90.157.0.0/17 90.188.16.0/20 90.188.64.0/19 90.189.0.0/18 91.76.0.0/14 91.90.8.0/21 91.92.176.0/22 91.122.0.0/16 91.123.0.0/19 91.124.0.0/16 91.135.192.0/22 91.143.56.0/22 91.143.160.0/20 91.144.176.0/22 91.146.0.0/18 91.148.128.0/18 91.149.64.0/18 91.149.128.0/21 91.149.136.0/21 91.149.144.0/20 91.149.160.0/19 91.185.192.0/21 91.188.32.0/19 91.188.124.0/23 91.189.80.0/21 91.189.128.0/21 91.191.64.0/18 91.192.68.0/22 91.193.80.0/22 91.193.140.0/22 91.194.10.0/23 91.194.72.0/23 91.195.230.0/23 91.196.92.0/22 91.196.100.0/22 91.196.216.0/22 91.197.0.0/20 91.197.16.0/21 91.197.24.0/22 91.197.40.0/21 91.197.48.0/21 91.197.56.0/22 91.197.64.0/21 91.197.76.0/22 91.197.80.0/22 91.197.96.0/22 91.197.104.0/22 91.197.112.0/20 91.197.128.0/22 91.197.132.0/22 91.197.144.0/20 91.197.160.0/22 91.197.168.0/21 91.197.176.0/20 91.197.192.0/21 91.197.204.0/22 91.197.212.0/22 91.197.216.0/21 91.197.224.0/22 91.197.232.0/21 91.197.244.0/23 91.197.252.0/22 91.200.12.0/22 91.200.164.0/22 91.200.228.0/22 91.200.232.0/22 91.201.28.0/22 91.201.64.0/22 91.201.196.0/22 91.202.240.0/20 91.203.4.0/22 91.203.92.0/22 91.204.16.0/21 91.204.24.0/22 91.204.36.0/22 91.204.40.0/21 91.204.48.0/20 91.204.64.0/22 91.204.84.0/22 91.204.128.0/22 91.204.228.0/22 91.205.72.0/22 91.205.120.0/21 91.206.30.0/23 91.206.32.0/23 91.206.200.0/23 91.206.226.0/23 91.207.4.0/22 91.207.8.0/23 91.207.44.0/23 91.207.60.0/23 91.208.228.0/24 91.210.100.0/22 91.210.104.0/22 91.211.16.0/22 91.211.64.0/22 91.211.68.0/22 91.211.248.0/22 91.212.41.0/24 91.212.65.0/24 91.212.132.0/24 91.212.177.0/24 91.212.198.0/24 91.212.226.0/24 91.213.33.0/24 91.213.117.0/24 91.213.121.0/24 91.213.174.0/24 91.214.96.0/22 91.214.136.0/22 91.214.184.0/22 91.215.216.0/22 91.216.122.0/24 91.216.141.0/24 91.216.215.0/24 91.217.90.0/23 91.218.36.0/22 91.218.112.0/22 91.218.156.0/22 91.220.0.0/23 91.220.3.0/24 91.220.6.0/24 91.220.10.0/23 91.220.12.0/23 91.220.13.0/24 91.220.14.0/24 91.220.26.0/24 91.220.31.0/24 91.220.35.0/24 91.220.43.0/24 91.224.246.0/23 91.226.78.0/23 91.226.80.0/21 91.226.92.0/22 91.226.96.0/23 91.228.196.0/22 91.229.210.0/24 91.232.0.0/18 91.235.176.0/24 91.236.74.0/23 91.237.240.0/21 91.237.248.0/23 91.237.250.0/24 91.238.134.0/23 91.241.12.0/22 91.241.128.0/17 92.36.0.0/17 92.37.128.0/17 92.38.128.0/17 92.39.48.0/20 92.46.0.0/15 92.48.126.128/25 92.48.201.0/26 92.50.128.0/18 92.53.96.0/22 92.53.104.0/22 92.55.144.0/21 92.62.48.0/20 92.80.0.0/13 92.100.0.0/15 92.112.0.0/15 92.114.0.0/16 92.115.0.0/16 92.124.0.0/14 92.241.160.0/19 92.243.64.0/19 92.244.224.0/19 92.247.192.0/18 92.248.128.0/17 92.249.64.0/18 92.255.0.0/16 93.72.0.0/13 93.80.0.0/15 93.84.0.0/15 93.86.0.0/15 93.89.208.0/20 93.91.0.0/20 93.91.224.0/20 93.92.32.0/21 93.99.0.0/16 93.100.0.0/16 93.112.0.0/16 93.113.27.0/24 93.113.112.0/21 93.114.40.0/21 93.118.64.0/20 93.120.128.0/18 93.123.0.0/16 93.124.0.0/17 93.125.40.0/24 93.125.99.0/24 93.155.128.0/17 93.157.96.0/21 93.159.0.0/18 93.170.0.0/15 93.182.0.0/18 93.183.128.0/18 93.183.192.0/18 93.185.77.0/24 93.187.136.0/21 94.19.128.0/17 94.24.120.0/21 94.24.128.0/17 94.25.0.0/16 94.26.0.0/17 94.27.0.0/17 94.31.128.0/17 94.41.0.0/17 94.45.160.0/19 94.50.0.0/15 94.60.0.0/14 94.73.192.0/18 94.75.0.0/18 94.77.0.0/19 94.79.0.0/18 94.100.181.128/25 94.101.64.0/20 94.101.96.0/20 94.103.80.0/20 94.103.230.0/23 94.112.0.0/14 94.124.0.0/20 94.124.16.0/21 94.139.112.0/21 94.142.128.0/21 94.143.40.0/21 94.143.48.0/20 94.152.0.0/15 94.156.228.0/22 94.176.96.0/24 94.178.0.0/15 94.180.0.0/15 94.188.0.0/17 94.189.128.0/17 94.190.0.0/18 94.190.128.0/17 94.229.65.160/27 94.230.0.0/20 94.231.160.0/20 94.232.48.0/21 94.232.144.0/21 94.232.232.0/21 94.233.192.0/18 94.240.0.0/18 84.242.96.0/19 94.243.192.0/18 94.244.0.0/18 94.244.128.0/18 94.247.0.0/21 95.24.0.0/13 95.32.0.0/16 95.40.0.0/14 95.48.0.0/14 95.52.0.0/14 95.56.0.0/14 95.64.0.0/16 95.65.0.0/16 95.67.0.0/17 95.68.0.0/17 95.69.192.0/22 95.71.0.0/17 95.76.0.0/15 95.78.0.0/15 95.78.128.0/18 95.79.0.0/16 95.82.192.0/18 95.83.0.0/17 95.83.128.0/18 95.84.128.0/18 95.84.192.0/18 95.86.128.0/18 95.87.0.0/18 95.93.128.0/18 95.104.128.0/17 95.105.0.0/18 95.105.64.0/19 95.108.128.0/17 95.111.0.0/17 95.129.60.0/22 95.132.0.0/14 95.141.192.0/20 95.142.46.0/24 95.143.20.0/22 95.152.0.0/18 95.159.128.0/22 95.162.0.0/16 95.163.0.0/16 95.165.0.0/16 95.167.0.0/16 95.168.160.0/19 95.168.192.0/19 95.169.160.0/19 95.169.192.0/19 95.171.96.0/19 95.172.32.0/19 95.174.192.0/19 95.179.0.0/17 95.182.112.0/20 95.188.0.0/14 95.215.36.0/22 95.220.0.0/16
deny from 108.62.150.0/24 109.60.128.0/17 109.62.128.0/17 109.72.112.0/20 109.74.128.0/20 109.80.0.0/15 109.86.0.0/15 109.92.0.0/15 109.95.112.0/22 109.95.224.0/21 109.96.0.0/13 109.108.64.0/19 109.110.32.0/19 109.110.64.0/19 109.111.176.0/20 109.120.128.0/18 109.122.0.0/18 109.122.88.0/21 109.124.0.0/18 109.124.192.0/19 109.126.136.0/21 109.126.192.0/18 109.161.0.0/17 109.163.192.0/21 109.163.216.0/21 109.163.224.0/22 109.163.228.0/24 109.163.229.0/24 109.163.230.0/23 109.163.236.0/22 109.165.0.0/17 109.167.0.0/16 109.168.128.0/17 109.169.192.0/18 109.171.0.0/17 109.173.0.0/17 109.184.0.0/16 109.185.0.0/16 109.187.0.0/16 109.188.0.0/16 109.191.0.0/16 109.194.0.0/18 109.194.64.0/19 109.195.48.0/20 109.196.16.0/20 109.196.128.0/20 109.200.96.0/19 109.200.128.0/19 109.206.96.0/19 109.207.200.0/21 109.227.64.0/18 109.229.0.0/19 109.230.0.0/18 109.230.128.0/19 109.243.0.0/16 109.252.0.0/16 109.254.0.0/16 128.72.0.0/15 130.0.232.0/21 130.204.0.0/16 134.0.112.0/21 134.17.0.0/16 141.85.0.0/16 141.101.128.0/17 141.105.64.0/21 141.136.27.0/24 146.185.0.0/16 147.228.0.0/14 147.232.0.0/14 147.236.0.0/15 158.181.0.0/16 158.197.0.0/16 159.148.0.0/16 159.224.0.0/16 160.99.0.0/16 164.177.192.0/18 174.133.202.176/28 176.14.0.0/15 176.36.0.0/14 176.53.128.0/17 176.102.0.0/18 176.102.192.0/19 176.111.32.0/19 176.111.64.0/19 176.111.96.0/21 176.113.32.0/21 176.113.224.0/19 176.123.0.0/19 176.196.128.0/18 176.212.0.0/15 176.215.64.0/21 176.222.140.0/22 176.223.0.0/16 178.19.99.0/24 178.19.104.0/21 178.34.128.0/18 178.36.0.0/15 178.44.0.0/14 178.49.0.0/16 178.64.0.0/13 178.73.0.0/18 178.75.64.0/18 178.76.192.0/18 178.88.0.0/14 178.92.0.0/14 178.120.0.0/13 178.129.0.0/16 178.130.0.0/16 178.137.0.0/16 178.140.0.0/16 178.150.0.0/15 178.154.0.0/17 178.158.192.0/19 178.159.16.0/20 178.159.32.0/19 178.159.64.0/19 178.159.208.0/20 178.159.240.0/21 178.161.128.0/17 178.163.128.0/17 178.165.0.0/17 178.167.0.0/17 178.168.0.0/17 178.172.129.0/24 178.183.224.0/19 178.184.0.0/14 178.204.0.0/15 178.206.0.0/16 178.208.83.0/24 178.209.64.0/19 178.210.32.0/20 178.212.96.0/21 178.213.240.0/21 178.216.32.0/21 178.217.160.0/21 178.218.96.0/20 178.220.0.0/14 178.234.0.0/16 185.30.176.0/22 188.16.0.0/16 188.18.16.0/20 188.18.64.0/19 188.18.112.0/20 188.18.240.0/20 188.24.0.0/14 188.40.54.192/26 188.47.64.0/18 188.64.168.0/21 188.64.220.0/22 188.92.72.0/21 188.92.160.0/21 188.95.152.0/21 188.115.128.0/18 188.120.32.0/20 188.120.248.0/23 188.123.224.0/19 188.128.0.0/17 188.129.128.0/17 188.131.0.0/17 188.138.128.0/17 188.143.128.0/17 188.146.0.0/15 188.163.0.0/16 188.168.0.0/16 188.186.0.0/16 188.187.128.0/18 188.190.0.0/16 188.191.224.0/19 188.208.0.0/13 188.225.32.0/21 188.226.0.0/17 188.229.0.0/17 188.230.0.0/17 188.231.168.0/22 188.233.0.0/17 188.235.0.0/19 188.235.128.0/18 188.240.0.0/16 188.244.32.0/20 188.247.135.0/24 192.129.3.0/24 192.162.0.0/16 193.0.212.0/24 193.9.28.0/24 193.17.208.0/24 193.19.244.0/22 193.25.112.0/23 193.27.246.0/23 193.30.248.0/22 193.37.138.0/24 193.37.156.0/23 193.39.113.0/24 193.43.252.0/22 193.47.166.0/24 193.58.246.0/24 193.77.64.0/18 193.86.0.0/16 193.93.228.0/22 193.104.27.0/24 193.104.41.0/24 193.104.94.0/24 193.105.0.0/24 193.105.154.0/24 193.105.210.0/24 193.106.0.0/21 193.106.24.0/22 193.106.28.0/22 193.106.40.0/21 193.106.56.0/21 193.106.64.0/21 193.106.104.0/22 193.106.136.0/22 193.106.168.0/23 193.106.172.0/22 193.108.38.0/23 193.108.248.0/22 193.110.120.0/22 193.111.48.0/22 193.111.114.0/23 193.169.12.0/23 193.169.86.0/23 193.178.144.0/22 193.178.228.0/23 193.189.116.0/23 193.200.50.0/23 193.200.255.0/24 193.203.36.0/22 193.203.40.0/21 193.203.48.0/22 193.223.101.0/24 193.227.226.0/23 193.227.240.0/23 193.230.232.0/24 193.238.0.0/22 193.238.74.0/23 193.238.128.0/22 193.239.24.0/22 193.239.36.0/22 193.239.44.0/22 193.239.64.0/21 193.239.72.0/22 193.243.168.0/22 194.0.88.0/22 194.8.156.0/22 194.8.250.0/23 194.15.112.0/22 194.28.4.0/23 194.28.16.0/22 194.28.20.0/22 194.28.28.0/22 194.28.32.0/20 194.28.52.0/22 194.28.56.0/22 194.28.60.0/22 194.28.64.0/20 194.28.44.0/22 194.29.60.0/22 194.44.0.0/16 194.50.7.0/24 194.54.88.0/22 194.63.140.0/23 194.79.60.0/22 194.85.88.0/21 194.85.128.0/19 194.102.64.0/21 194.102.114.0/24 194.114.136.0/22 194.114.144.0/22 194.146.136.0/22 194.146.196.0/22 194.146.228.0/22 194.160.0.0/16 194.169.126.0/24 194.176.176.0/24 194.181.0.0/16 194.186.0.0/16 194.187.108.0/22 194.187.148.0/22 194.190.32.0/22 194.226.0.0/16 194.247.24.0/23 195.2.96.0/19 195.2.192.0/23 195.2.240.0/23 195.2.252.0/23 195.3.128.0/19 195.5.32.0/19 195.5.116.0/23 195.5.161.0/24 195.9.0.0/16 195.14.112.0/23 195.20.196.0/23 195.22.104.0/22 195.24.64.0/21 195.28.2.0/23 195.28.32.0/19 195.34.208.0/22 195.34.224.0/19 195.39.210.0/23 195.42.160.0/19 195.46.160.0/19 195.54.162.0/23 195.54.192.0/19 195.58.0.0/19 195.58.32.0/19 195.58.224.0/19 195.60.174.0/23 195.62.24.0/23 195.66.140.0/23 195.78.108.0/23 195.78.124.0/23 195.82.154.0/23 195.88.32.0/23 195.93.218.0/23 195.95.218.0/23 195.95.228.0/23 195.112.96.0/19 195.114.32.0/19 195.114.128.0/19 195.114.240.0/20 195.116.0.0/16 195.128.16.0/22 195.128.48.0/21 195.131.0.0/16 195.137.200.0/23 195.138.64.0/19 195.138.198.0/24 195.162.68.0/23 195.170.192.0/19 195.182.0.0/24 195.182.3.0/24 195.182.7.0/24 195.182.8.0/24 195.182.15.0/24 195.182.21.0/24 195.182.22.0/24 195.182.27.0/24 195.182.128.0/19 195.182.202.0/23 195.189.8.0/22 195.189.16.0/22 195.189.28.0/22 195.189.36.0/22 195.189.40.0/21 195.189.48.0/22 195.189.60.0/22 195.189.68.0/22 195.189.72.0/22 195.189.80.0/22 195.189.96.0/20 195.189.224.0/21 195.189.246.0/23 195.190.13.0/24 195.190.157.0/24 195.191.54.0/23 195.200.90.0/23 195.208.0.0/15 195.209.32.0/19 195.209.224.0/19 195.210.8.0/23 195.210.46.0/23 195.211.100.0/22 195.216.243.0/24 195.222.64.0/20 195.222.88.0/23 195.222.92.0/22 195.225.64.0/22 195.225.176.0/22 195.239.0.0/16 195.242.98.0/23 195.242.114.0/23 195.242.161.0/24 195.242.232.0/22 195.244.128.128/25 195.245.96.0/23 195.245.112.0/23 195.245.208.0/24 199.127.96.0/21
deny from 204.9.184.0/21 212.1.224.0/19 212.9.224.0/19 212.13.0.0/19 212.22.200.0/21 212.24.32.0/19 212.27.192.0/19 212.33.224.0/19 212.35.128.0/18 212.40.32.0/19 212.44.64.0/20 212.44.80.0/22 212.44.128.0/19 212.45.0.0/19 212.58.192.0/19 212.59.96.0/19 212.75.0.0/19 212.75.128.0/19 212.87.160.0/19 212.90.160.0/19 212.91.160.0/19 212.92.128.0/18 212.95.54.0/24 212.96.96.0/19 212.96.160.0/19 212.98.160.0/19 212.113.32.0/19 212.113.96.0/19 212.116.96.0/19 212.118.32.0/19 212.124.0.0/20 212.146.64.0/18 212.158.160.0/20 212.160.0.0/16 212.178.0.0/19 212.200.0.0/17 212.220.0.0/16 213.5.128.0/21 213.25.0.0/16 213.35.224.0/23 213.91.128.0/17 213.108.16.0/21 213.108.144.0/21 213.110.128.0/19 213.111.128.0/17 213.132.72.0/21 213.135.64.0/18 213.135.128.0/19 213.140.96.0/19 213.141.128.0/19 213.142.192.0/19 213.149.0.0/19 213.151.0.0/19 213.154.192.0/19 213.155.0.0/19 213.156.192.0/24 213.163.96.0/19 213.170.64.0/19 213.171.0.0/19 213.174.0.0/21 213.180.147.0/24 213.186.192.0/19 213.191.0.0/19 213.197.64.0/19 213.200.32.0/19 213.215.64.0/18 213.231.0.0/18 213.233.101.0/24 213.242.0.0/18 213.242.192.0/18 213.248.0.0/18 217.12.112.0/20 217.12.192.0/19 217.12.240.0/20 217.16.16.0/20 217.18.240.0/20 217.20.160.0/20 217.23.128.0/19 217.27.144.0/20 217.27.208.0/20 217.28.208.0/21 217.65.0.0/20 217.65.208.0/20 217.66.144.0/20 217.67.16.0/20 217.69.128.0/20 217.73.160.0/20 217.77.48.0/20 217.77.208.0/20 217.79.0.0/20 217.79.64.0/19 217.106.0.0/15 217.114.176.0/20 217.114.224.0/20 217.117.208.0/20 217.146.240.0/20 217.147.0.0/19 217.149.240.0/20 217.150.32.0/19 217.173.64.0/20 217.174.96.0/20 217.174.160.0/20 217.196.160.0/20 217.197.0.0/20 217.197.240.0/20 217.198.112.0/20
### Insert new former USSR CIDRs into appropriate CIDR range lines
# Hungary (HU)
deny from 46.107.0.0/16 94.125.176.0/22 145.236.0.0/16 193.178.119.0/24
# Turkey (TR): web hosts and Turk Telekom customers - scammers, spammers, phishing websites and server script exploiters:
deny from 31.192.208.0/21 31.210.32.0/19 31.210.64.0/18 31.223.0.0/17 46.1.0.0/16 46.45.136.0/21 46.45.184.0/21 46.196.0.0/16 46.235.12.0/24 62.248.0.0/17 77.79.64.0/18 77.92.128.0/19 77.223.128.0/20 78.40.224.0/21 78.160.0.0/11 79.135.160.0/19 80.93.217.0/24 81.6.64.0/18 81.212.0.0/14 82.222.0.0/16 84.51.0.0/18 85.95.224.0/19 85.96.0.0/12 85.100.128.0/17 85.101.0.0/17 85.103.0.0/17 85.105.0.0/17 85.106.0.0/15 85.110.0.0/16 88.224.0.0/11 89.19.0.0/19 89.106.0.0/19 89.113.72.0/21 91.93.0.0/16 92.44.0.0/15 92.63.0.0/20 93.182.64.0/18 93.186.112.0/20 93.187.200.0/21 94.78.64.0/18 94.101.80.0/20 94.102.0.0/20 94.103.32.0/20 95.0.0.0/16 95.9.0.0/16 95.14.0.0/17 95.65.128.0/17 95.130.168.0/21 95.173.160.0/19 109.232.216.0/21 151.250.0.0/16 160.75.0.0/16 176.33.0.0/16 176.40.0.0/14 176.53.0.0/17 178.211.49.0/24 178.242.0.0/15 185.4.224.0/22 188.3.0.0/16 188.38.0.0/16 188.56.0.0/14 188.124.0.0/19 188.132.128.0/17 193.140.0.0/16 193.255.156.0/24 194.27.0.0/16 194.54.32.0/19 195.46.144.0/20 195.155.0.0/16 195.174.0.0/15 195.175.0.0/17 195.182.25.0/24 212.15.0.0/19 212.58.0.0/19 212.68.32.0/19 212.95.40.0/23 212.109.96.0/19 212.156.0.0/16 212.174.0.0/16 212.175.0.0/16 213.248.128.0/18 217.131.144.0/20 217.195.192.0/20
# Iran (IR)
deny from 2.144.0.0/15 2.176.0.0/12 5.52.0.0/16 5.234.0.0/16 37.254.0.0/16 46.100.0.0/16 46.164.64.0/18 85.185.0.0/16 86.109.32.0/19 91.241.20.0/23 94.101.128.0/21 94.101.176.0/20 94.101.176.0/20 95.38.0.0/16 109.122.192.0/18 178.131.0.0/16 178.157.40.0/22 178.173.128.0/17 188.158.192.0/19 212.80.20.0/23
</Files>
GeoIPEnable On
SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE LT BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE LV BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE UA BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE MD BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE SG BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE TR BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE MA BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE DZ BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE IL BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE IN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE AP BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE IN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE TW BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE PH BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE HK BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE PK BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE NG BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE SK BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE SI BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE KR BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE UA BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE A1 BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE TW BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE AM BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE AZ BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE MA BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE TH BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE PL BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE RO BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry
Deny from env=BlockCountry
<Files .htaccess>
deny from all
</Files>
Weiß jemand, ob das .htaccess-Modul hilfreich ist oder es irgendeine andere Möglichkeit gibt, POST-Zugriffe generell nur auf das System zu beschränken? Im privaten Verzeichnis wird der Schutz per
Options +FollowSymLinksDeny from all
erreicht. Würde man dies in der Root-htaccess von Drupal eintragen, sperrrt man sich selbst aus...
zwerg schrieb Weiß jemand, ob
am 03.12.2014 - 18:19 Uhr
Weiß jemand, ob es irgendeine andere Möglichkeit gibt, POST-Zugriffe generell nur auf das System zu beschränken?
Hab dies jetzt erstmal mit
<IfModule mod_rewrite.c>RewriteCond %{REQUEST_METHOD} POST
RewriteRule .* - [F,L]
</IfModule>
in der root-htaccess probiert, ohne zu wissen, ob es was bringt.
Eventuell war das System doch
am 04.12.2014 - 13:24 Uhr
Eventuell war das System doch schon vor dem Update gehacked und das Update hat den Hack nicht beseitigt? Erstens können durch den Hack auch Änderungen in der Datenbank erfolgt sein, die durch das Update NICHT beseitigt werden. Zweitens ist die Frage, wie genau das Update eingespielt wurde. Sollten nämlich nur die neuen Dateien hochgeladen worden sein, die die alten überschrieben haben, dann sind auch im Rahmen des Hacks angelegte PHP-Dateien noch vorhanden.
Mir hat jetzt die Tage übrigens meine eigene Schusseligkeit in die Hände gespielt: Ein vergessenes "Mach ich irgendwann mal"-Projekt mit zwei Alibi-Einträgen dümpelte noch irgendwo einsam und verlassen auf einem 1&1-Webspace rum. Alle anderen Projekte hatten zeitnah ihre Updates bekommen, nur dieses eine nicht. Am Sonntag kam dann eine Abuse-Mail von 1&1 (deren Virenscanner hatte eine verdächtige Datei entdeckt). Es war ein typisches Drupageddon-Angriffsszenario in einem schon etwas weiter entwickelten Stadium - 6 Wochen nach dem eigentlichen Hack. Das Projekt habe ich natürlich direkt vom Netz abgeklemmt, ansonsten aber so belassen, und ich bin dankbar, ein eigenes Modell zur umfassenden Analyse zu besitzen. Die Rückschlüsse können evtl. nämlich auch bei Kundenprojekten mal hilfreich sein. Ein wichtiger Punkt ist zum Beispiel, dass einige, aber nicht alle Spuren wieder beseitigt wurden (bzw. dass man das in Drupals Protokollnachrichten nachvollziehen konnte, was angelegt und wieder gelöscht wurde). Da werde ich sicherlich noch einen Blogbeitrag draus machen.
Ich halte es definitiv für möglich, dass das Update ein bereits gehacktes System bei Dir nicht absichern konnte. Insofern bleibt Dir nur eine umfassende Kontrolle auf weitere PHP-Dateien und letztlich Deiner Datenbank (hier hatte ich aber noch keine Zeit für eine Analyse, aber es gibt ja durchaus einige Beiträge im Netz, die ein paar Möglichkeiten der Kompromittierung aufzeigen).
Ach so, und der Angriff am Sonntag kam aus Schweden. ^^
Also...
am 04.12.2014 - 13:42 Uhr
Eventuell war das System doch schon vor dem Update gehacked und das Update hat den Hack nicht beseitigt? Erstens können durch den Hack auch Änderungen in der Datenbank erfolgt sein, die durch das Update NICHT beseitigt werden. Zweitens ist die Frage, wie genau das Update eingespielt wurde. Sollten nämlich nur die neuen Dateien hochgeladen worden sein, die die alten überschrieben haben, dann sind auch im Rahmen des Hacks angelegte PHP-Dateien noch vorhanden.
Ich habe bei der betreffenden Seite eine komplett neue Installation angelegt und die Inhalte manuell eingespielt. Das war notwendig, da durch den ersten Angriff auch einige Funktionen nicht mehr ordnungsgemäß liefen und die Fehlersuche in diesem Fall länger gedauert hätte, als der neue Upload (wir reden von 50 Nodes einer Fotowebseite). Abschluss war am 23.11.2014
In dieser neuen Installation wurden in das Verzeichnis sites/[sitename]/files/pictures, sites/all/modules und sites/all/libraries php-Schadcodes hochgeladen und gestern (03.12.2014) per POST ausgeführt.
Das Projekt habe ich natürlich direkt vom Netz abgeklemmt, ansonsten aber so belassen, und ich bin dankbar, ein eigenes Modell zur umfassenden Analyse zu besitzen. Die Rückschlüsse können evtl. nämlich auch bei Kundenprojekten mal hilfreich sein. Ein wichtiger Punkt ist zum Beispiel, dass einige, aber nicht alle Spuren wieder beseitigt wurden (bzw. dass man das in Drupals Protokollnachrichten nachvollziehen konnte, was angelegt und wieder gelöscht wurde).
Welches System meinst du? In meinem Fall ergaben die Protokollnachrichten nichts, da der Upload der Skripte nicht über die Installation erfolgte.
Da werde ich sicherlich noch einen Blogbeitrag draus machen.
Das wäre super!
Ich halte es definitiv für möglich, dass das Update ein bereits gehacktes System bei Dir nicht absichern konnte. Insofern bleibt Dir nur eine umfassende Kontrolle auf weitere PHP-Dateien und letztlich Deiner Datenbank (hier hatte ich aber noch keine Zeit für eine Analyse, aber es gibt ja durchaus einige Beiträge im Netz, die ein paar Möglichkeiten der Kompromittierung aufzeigen).
Da stimme ich dir zu. Es wäre ein Traum, wenn Drupal z.B. während des Cron alle nicht zugehörigen Dateien löschen würde.
Ach so, und der Angriff am Sonntag kam aus Schweden. ^^
In meinem Fall mal wieder aus Russland. Ich werde beobachten, wie sich das ganze entwickelt und ggf. nur noch deutschsprachige Länger erlauben (da die Seite auf deutsch ist). Ich bin leider noch nicht fündig geworden, wie man generelle POST-Aufrufe, die nicht über Drupal erfolgen, blockieren kann.
Merkwürdigerweise habe ich ca. 10 Installationen auf dem Webserver und trotzdem ist stets die gleiche Ziel der Angriffe. Für mich auch insofern eine Überlegung, auf Multisites zu verzichten, damit nicht gleich mehrere Installationen bei einen Eingriff in modules oder libraries Schaden nehmen.
Grüße