Hallo Contenideofreunde,
ich habe gerade einen Hackversuch verzeichnet. Es handelt sich um eine 4.4.4er Version die mit dem Sicherheitspatch auf den Stand von 4.4.6 gebracht worden ist. (Dies hatte ich gemacht, nachdem mehrere Versuche im Forum gepostet wurden). Der Provider hat folgende Dateien angemahnt: ( bindc.tgz, cupu.txt, file.php ) Das scannen mit einem aktuellen Virenscanner zeigt, einzig die Datei "bindc.tgz" einen Trojaner enthält o.ä. ( Unix\Backdoor.BJ ). Ein vergleich mit dem letzten Backup erbringt, dass außer den vom Provider in jedes Verzeichnis kopierte Datei (php.ini) und den oben aufgeführten drei Dateien, keine Manipulationen an Inhalten stattgefunden hat. War das ein Angriff auf mich – oder auf den Provider mit dem „und“ zwischen den Zahlen ?
Bei folgenden geänderte Dateien bin ich mir nicht sicher:
(Bei den php Dateien in den folgenden Verzeichnissen wurde ein unterschied festgestellt)
...\pear\*.php
...\pear\command\*.php
Kommen diese vom System oder vom Hacker?
Alle anderen Dateien wurden möglicherweise auch indirekt durch das Arbeiten mit dem CMS verändert. Die Page ist Online und funzt auch ohne Einschränkungen!
Ich habe gestern viel im Forum gelesen. Welche Möglichkeiten habe ich, um mein System gegen weitere Versuche abzusichern? Sind meine Probleme gelöst, wenn ich die letzte Version aufspiele (4.6.15)? oder müssen weitere Maßnahmen ergriffen werden um mein CMS abzusichern. (SSL, hatccess)
Herzlichst
Hackversuch mit Sicherheitspatch 4.4.4 > 4.4.6
Hackversuch mit Sicherheitspatch 4.4.4 > 4.4.6
MakD 42
______________________
Contenido 4.6.8 & 4.8.15
MySQL 5.1.54
Linux/Apache
Meine Contenidoprojekte: art & weise | StadtMedia | aidea
______________________
Contenido 4.6.8 & 4.8.15
MySQL 5.1.54
Linux/Apache
Meine Contenidoprojekte: art & weise | StadtMedia | aidea
ähm wo befinden sich den die dateien ?
bindc.tgz, cupu.txt, file.php
die frage -> welchen unterschied hast du festgestellt ?
bindc.tgz, cupu.txt, file.php
ähm es gibt ein pear verzeichnis das bei contenido dabei ist...Bei folgenden geänderte Dateien bin ich mir nicht sicher:
(Bei den php Dateien in den folgenden Verzeichnissen wurde ein unterschied festgestellt)
...\pear\*.php
...\pear\command\*.php
die frage -> welchen unterschied hast du festgestellt ?
*** make your own tools (wishlist :: thx)
Wenn der Inhalt der cupu.txt so anfängt:
War das eine Auftragsarbeit der CN-Hacker.
Üblich sind solche Hackangriffe um ein Botnet zu erweitern.
Code: Alles auswählen
<b><h1>Welcome To Inject Shell PHP ... </h1></b><br>
<?php
...
$body = "New web hacker \n\n$web$fie \n\n inject e : \n $injeck \n\n Hello..";
...
Eher auf den Server/Provider. Falls die Dateien über Contenido eingeschmugelt wurden, wurdest du auch nur benutzt.War das ein Angriff auf mich – oder auf den Provider
Üblich sind solche Hackangriffe um ein Botnet zu erweitern.