Gehackt oder nicht? Wie herausfinden? Was tun?
Eingetragen von t2k (258)am 30.10.2014 - 13:55 Uhr in
Hallo Zusammen,
ich habe ein paar generell Fragen zum Thema SA-CORE-2014-005 - Drupal core - SQL injection.
Bei einer Seite bin ich sicherlich gehackt worden (es wurden schon Mails versendet), konnte aber (wie gestern empfohlen in DRUPAL-PSA-2014-003) ein Komplettbackup (Daten und DB) vom 14.10. einspielen.
Bei einer zweiten Site bin ich mir nicht so sicher (und habe auch keine ganz aktuelles Backups).
Was ich getan habe und was mir aufgefallen ist:
- am 20.10. Drupal-Update auf die 7.32 (vielleicht zu spät)
- Geschaut ob neue User angelegt sind (sind nicht)
- Berichte angeschaut. Diese wurden scheinbar am 16.10. gelöscht. Es sind keine früheren Einträge drin. (ist das ein Hinweis?)
- In den Berichten sind vom Abend des 16.10. etliche fehlgeschlagene Aufrufe auf www.meinurl.de.rar und www.meinurl.de.zip (kann das ein Hinweis sein auf irgendetwas?)
- Die Dateien includes/database/databse.inc wie auch includes/toolbar/vrue.php wurden am 16.10. geändert (habe ich bei der Dateisuche mittels Filezilla mit einer Zeitbeschränkung von 15.10.- 30.10. gesehen). Sind natürlich mit dem Update ausgetauscht worden.
- Im Ordner "sites/default/files/languages" liegen einige .js-Dateien mit kryptischen Namen (de_gn4_SdVDfhwz...). Gehören die da hin?
Wie schätzt ihr das ein? Bin ich gehackt worden? Hab ich durch meine Maßnahmen die Gefahr abgewendet?
Was muss ich noch tun um wirklich sicher zu sein, dass alles wieder gut ist?
Beste Grüße und Vielen Dank im voraus.
t2k
PS. Wie findet der Angreifer meine Seite?
Wie geht dieses Hack von statten (ganz grob ... ich suche keine Anleitung!)
- Anmelden oder Registrieren um Kommentare zu schreiben
Hab zwar schon hier
am 30.10.2014 - 14:09 Uhr
Hab zwar schon hier gefragt...
Aber nochmal....
Woran kann ich sicher verifizieren das eine Seite kompromittiert ist?
wenn es um den kürzlich bekannt gwordenen Fall geht,
am 30.10.2014 - 14:14 Uhr
gibt es plötzlich eine neue Rolle und mindestens einen neuen User.
Solltest du ein Rolle haben, die du nicht selbst angelegt hast, ist eine Bereinigung erforderlich.
Ein Update ist eh' nötig, um diese Lücke nicht länger anzubieten.
Ok, wenn also keine andere
am 30.10.2014 - 14:16 Uhr
Ok, wenn also keine andere Rolle vorhanden ist, und ich nichts auffälliges in der SQL Datenbank unter User sehe, ist die Seite NOCH nicht betroffen ?
Brian schrieb Ok, wenn also
am 30.10.2014 - 14:22 Uhr
Ok, wenn also keine andere Rolle vorhanden ist, und ich nichts auffälliges in der SQL Datenbank unter User sehe, ist die Seite NOCH nicht betroffen ?
Im Hintergrund kann trotzdem was stattgefunden haben. Das muss erst mal nichts bedeuten.
Ich hatte zusätzlich noch (vor dem Update) folgende Module installiert und nachgeschaut ob Core/Module verändert worden sind:
https://www.drupal.org/project/hacked
https://www.drupal.org/project/diff
Das ist jetzt auch keine Garantie, aber zumindestens kann man dann einiges ein/ausgrenzen.
Habe nun (nach dem Update)
am 30.10.2014 - 14:39 Uhr
Habe nun (nach dem Update) "hacked" durchlaufen lassen.
Der hat folgendes gefunden:
Die .htaccess-hab ich selbst geändert und die default.settings.php dürfte ja ohne bedeutung sein, oder (kann man die nicht einfach löschen)?
Wie seht ihr die Sache mit den Dateien unter sites/default/files/languages?
Vielen Dank für alles Antworten!!!
t2k
Natürlich gibt es keine Grantie,
am 30.10.2014 - 15:20 Uhr
wenn diese offensichtlichen Merkmale nicht existieren, dass dann nichts passiert ist.
Es heißt lediglich, dass diese Lücke wahrscheinlich noch nicht mißbraucht wurde.
Zitat: Es heißt lediglich,
am 30.10.2014 - 18:17 Uhr
Es heißt lediglich, dass diese Lücke wahrscheinlich noch nicht mißbraucht wurde.
Es gibt also keine Möglichkeit herauszufinden, ob da irgend eine Gefahr schlummert oder irgendetwas manipuliert wurde?
Bleibt dann nur die Möglichkeit eine altes Backup einzuspielen???
Danke und Grüße!
Hier hat Carsten noch viele
am 30.10.2014 - 18:44 Uhr
Hier hat Carsten noch viele hilfreiche Infos bereit gestellt:
http://www.drupalcenter.de/node/51973
Grüße Jenna
Ich frage nochmal kurz nach,
am 31.10.2014 - 15:05 Uhr
Ich frage nochmal kurz nach, da das m.E. nach ein kritisch sein könnte:
Im Ordner "sites/default/files/languages" liegen einige .js-Dateien mit kryptischen Namen (de_gn4_SdVDfhwz...). Gehören die da hin?
Ist das normal? Habt ihr diese Dateien auch? Was machen die? Wo kommen die her?
Vielen Dank und sorry fürs nachhaken!
t2k
Zitat: Habt ihr diese
am 31.10.2014 - 15:43 Uhr
Habt ihr diese Dateien auch?
Ich habe die auch und das bei einer Installation die komplett unter Siteschutz steht, es sind auch Dateien von März 2014 dabei, sollte also o.k. sein.
Woher die genau kommen kann ich dir nicht sagen.
Grüße Jenna