[gelöst] Problem vermutlich nach Hackerangriff
Eingetragen von Rolf42 (2)am 01.10.2015 - 07:48 Uhr in
Hallo
Am letzten Wochenende hatte sich das Erscheinungsbild unserer Webseite komplett geändert, ohne dass Änderungen von berechtigten Personen vorgenommen worden sind. Alle Blöcke und Menüs fehlten. Mein Rechner meldete dann beim Zugriff auf die Webseite Trojaner in Cookies, die von der Seite eingeschleust wurden. Da die Seite von Strato gehostet wird, hab ich ein sieben Tage altes Backup überspielt. Das änderte aber leider nichts. Auf Anraten des Strato Supportes habe ich dann alle Dateien manuell gelöscht und den Backup noch einmal eingespielt, leider mit dem gleichen Ergebnis.
Jetzt habe ich manuell von DRUPAL 7.35 auf 7.39 aktualisiert. Das gleiche gilt für die Module und Themes. Immerhin werden jetzt keine Trojaner mehr gemeldet. Leider werden nach wie vor Blöcke und Menüs nicht angezeigt. Lediglich der Inhalt der Hauptfenster ist zu sehen. Alle Blöcke und Menüs sind aber in der Administration zur Ansicht freigegeben. Hat jemand eine Idee, wie ich das fixen könnte?
Gruß
Rolf
- Anmelden oder Registrieren um Kommentare zu schreiben
Habe ich vor Kurzem schon
am 01.10.2015 - 08:15 Uhr
Habe ich vor Kurzem schon einmal beschrieben: http://www.drupalcenter.de/node/53899#comment-188115
Vielen Dank Dann muss ich mal
am 01.10.2015 - 13:00 Uhr
Vielen Dank
Dann muss ich mal sehen, was ich noch retten kann.
Gruß
Ralf
Hi Rolf, wenn du zukünftig
am 01.10.2015 - 16:49 Uhr
Hi Rolf,
wenn du zukünftig dein Drupal automatisch aktuell halten willst, so dass dieser Fall nicht wieder eintritt, kann ich dir das Modul "CMS Updater" ans Herz legen.
Mehr Infos findest du dazu auf Drupal.org https://www.drupal.org/project/cms_updater
Angriff kann auch per FTP über infizierte PCs erfolgt sein
am 01.10.2015 - 20:16 Uhr
Ich hatte vor einer Weile einen Angriff auf ein Kunden-System, der seiner Art nach sehr danach aussah, daß er es zwar auf das Drupal-System abgesehen hatte, aber nicht darüber erfolgte. Vor allem weil der Kunde zur gleichen Zeit auch verdächtige Probleme mit seinem PC hatte. Also solltest Du auch FTP-Passwörter ändern usw.
Ich bin offen gesagt kein Fan von einem Update-Servive, der auf Schreibrechte des Webservers basiert (siehe auch "Sichere Dateirechte: Wissen verbreiten und Provider überzeugen"). Aber viel wichtiger ist nicht nur das Kern-System im Auge behalten, das der CMS Updater im Moment nur berücksichtigt. Gefährliche Sicherheitslücken tauchen viel häufiger in Contrib-Modulen auf. Gerade gestern gab es wieder eine Meldung über eine SQL-Injection-Lücke in einem Contrib-Modul, also einer der Sicherheits-Probleme auf die auch das Drupalgeddon vor einem Jahr basierte.
Diese Form des Angriffs
am 02.10.2015 - 12:12 Uhr
habe ich auch des Öfteren beobachtet.
Da wird über den Angriff auf den PC der Serverzugang ausgespäht.
Hat der Angreifer die FTP oder gar Console-Zugänge, oder den Zugang zum Controllpanel des Servers, kann er sich bequem austoben.