Wie kommt ein fremder User als Administrator in eine Webseite?
Eingetragen von albert39 (384)am 06.11.2014 - 22:55 Uhr in
In einer veröffentlichten Webseite (DP 7.28) gibt es als Benutzer den Administrator (mich) und einen Redakteur (mit den passenden Zugriffsrechten).
Natürlich ist mein Login-Passwort nur mir bekannt.
Gestern sah ich, dass es bei den Benutzern plötzlich einen weiteren User mit der Rolle "Administrator" gibt, der auch schon eine Node (Einfache Seite) erstellt hat, wobei der Inhalt ein (für mich unverständlicher) php-Code war. Das komische war: in den Einstellungen für diesen fremden Benutzer (/user/xy/edit?destination=admin/people) stand im Feld "E-Mail_Adresse" mein Benutzername. Weiters stand in der Benutzer --> Liste in "Mitglied seit" der Wert meiner Anmeldung (5 Monate 2 Wochen). Der Eindringling hat also Werte von mir übernommen.
Ich habe den Benutzer sofort gelöscht und meinen Benutzernamen und mein Passwort geändert. Bis jetzt habe ich keine sonstigen Veränderungen in der Webseite bemerkt.
Wenn er also über meinen Benutzernamen und mein Passwort in den Verwaltungsbereich gekommen wäre und sich als weiterer Administrator eingetragen hätte, dann wäre das erstens ohne gültige E-Mail_Adresse nicht gegangen und wenn doch, dann wäre in "Mitglied seit" die aktuelle Zeit gestanden.
Auf welchem Wege könnte dieser Eindringling den Verwaltungsbereich gekommen sein? Jedenfalls mache ich ein Update auf 7.32, das ja auch wieder eine Sicherheitslücke schließt.
Danke für Eure Hilfe
Albert
- Anmelden oder Registrieren um Kommentare zu schreiben
Hallo Albert, hast Du den
am 06.11.2014 - 23:29 Uhr
Hallo Albert, hast Du den letzten highly critical Bug von Drupal 7 nicht mitbekommen? Deine Seite ist gehackt worden durch den mit 7.32 geschlossenen Bug. Durch die Lücke konnte jemand direkt in die Datenbank schreiben und sich eine Hintertür zu Deiner Seite einbauen. Alle, die nicht innerhalb von ca. 7 Stunden nach Bekanntgabe das Loch gestopft hatten, waren gefährdet.
Jetzt bleibt Dir nur:
Sorry, aber manchmal ist das Leben hart. In diesem Fall hilft nur die Radikalmethode.
Zitat: Jedenfalls mache ich
am 07.11.2014 - 00:09 Uhr
Jedenfalls mache ich ein Update auf 7.32, das ja auch wieder eine Sicherheitslücke schließt.
Nachträglich bringt dieses Update nichts mehr, da der Eindringling schon drin ist, nur löschen des Users reicht leider nicht, nur so wie wla aufzählt kannst du sicher sein das alles raus ist.
Hier ist der Thread mit den meisten Einträgen dazu und Querlinks zu den Security Infos:
http://www.drupalcenter.de/node/51973
Grüße Jenna
das hört sich ja böse an.
am 07.11.2014 - 12:11 Uhr
das hört sich ja böse an. Meine Seite ist zwar noch nicht live, aber gibt es einen Newschannel von Drupal, über den man über solche Sachen unterrichtet wird? Wie macht ihr das?
Du solltest Dich auf jeden
am 07.11.2014 - 12:20 Uhr
Du solltest Dich auf jeden Fall in die Security Mailing List eintragen. Jeden Mittwoch abends kommen die neuen Hinweise. Da muß man dann sehen, ob man die entsprechenden Module eingesetzt hat und ob die Randbedingungen zum Ausnutzen einer Lücke gegeben sind. Falls ja für beides sollte man handeln.
Sehr gut, dass es so was
am 07.11.2014 - 12:59 Uhr
Sehr gut, dass es so was gibt. Ich habe mich direkt angemeldet. Herzlichen Dank Walter für den Tipp!
Mein Risiko
am 08.11.2014 - 11:32 Uhr
Danke an alle.
Eine schlaflose Nacht. Da mir mein Provider (die Supportler kenne ich schon recht gut) einmal (vor etwa 2 Jahren) versichert hat, dass (im Gegensatz zu Joomla) bei ihnen noch nie eine Drupal-Seite gehackt worden ist, habe ich die Warnmeldung nicht so ernst genommen.
Wie schon gesagt, habe ich den fremden User gelöscht und ebenfalls die von ihm erstellte Seite. Dann habe ich den Provider um eine Überprüfung der Datenbank ersucht und er hat keine Spuren eines Eindringlings gefunden. Dann habe ich die Datenbank nach einem
<?phpdurchsucht und da war auch nichts zu finden. In der user-Tabelle gab es nur die Eintragungen für die offiziellen User. Weiters habe natürlich sofort auf 7.32 upgedatet.Beim Arbeiten mit der Webseite gibt es keine Auffälligkeiten. Das alles läßt darauf schließen, dass der Eindringling nicht sehr bösartig war oder dass er sich erst vor kurzer Zeit eingeschlichen hat, als admin dann irgendwelche Aktionen geplant hat, aber von mir rechtzeitig entdeckt und entfernt worden ist. Alles ist aber nur Spekulation.
Daher habe ich mich entschlossen, zunächst einfach das System so zu belassen, wie es nun ist und zu beobachten.
Herzliche Grüße
Albert
Riskant bleibt das trotzdem,
am 08.11.2014 - 11:55 Uhr
Riskant bleibt das trotzdem, ich kann dir dieses Modul empfehlen:
https://www.drupal.org/project/hacked
Dort unter Konfiguration alles anzeigen aktivieren und dann siehst du in der Übersicht alle Module und Dateien die geändert wurden ( du siehst aber auch eigene Änderungen die gewollt sind)
Wenn dir dann Dateien auffallen die seltsame Änderungen enthalten solltest du die unbedingt checken was damit dann passieren soll.
Ebenso auf dem FTP alle Ordner vergleichen, auch im Root. Sind dort Ordner, Dateien abgelegt die auf einer anderen Installation nicht vorhanden sind?
Haben sich viele Inhalte bei dir verändert oder hast du vielleicht noch ein Backup von z.B. September welches du erst updatest und dann online stellst?
Grüße Jenna