Cron-Job liefert seltsame Resultate

hm, normal ist das Auflösen zu repo-linux.com nicht. Die IP Adresse zeigt auf die Ukraine. Wie sieht denn dein Cronjob aus? Prüfe einmal unter Benutzer, ob verdächtige Benutzer angelegt wurden. Hast du Zugriff auf die Logdateien am Server? Wurde kirchenmusikliste.de immer rechtzeitig aktualisiert? Wurde das Sicherheitsupdate vom 28.3.2018 SA-CORE-2018-002 und SA-CORE-2018-004 vom 25.4.2018 zeitnahe installiert? Das Wort "hack" möchte ich aufgrund der wenigen Infos noch nicht in den Mund nehmen, aber es sieht sehr nach eingeschleustem Schadcode aus.

howdytom, erst mal vielen Dank, dass du dich in diese Sache hineindenkst!

Was der Cronjob macht, weiß ich nicht. Ich hatte vor einigen Jahren mal jemanden beauftragt, eine Funktion in meiner Site einzubauen, die die Downlaodklicks zählt und hinter den downloadbaren Dateien anzeigt. Dafür musste irgendein Cron-Job gestartet werden. Wie gesagt: das ist schon ein paar Jahre her. Und das mit dem Modul "Public Download Count" zu tun, das aber jetzt wohl nicht mehr funktioniert. Siehe Screenshot. Dieses Modul habe ich jetzt deaktiviert und bin gespannt, ob es damit zusammenhing. Gegen 21 Uhr müsste die nächste Mail vom Cron-Job kommen.

Verdächtige User habe ich nicht, da ich die alle von Hand freischalte und mir vorher genau ansehe, ob die Maske von einem Menschen ausgefüllt wurde, d.h. ob die Angaben plausibel sind und nicht nur irgendwelche zufälligen Zeichenfolgen enthalten.

Das Sicherheitsupdate im März habe ich leider nicht gemacht, weil ich da einige Wochen verreist war. Aber das Core-Update vom 25.4. habe ich am 26.4. durchgeführt.

Dann bin ich eben noch auf eine weitere Information gestoßen: Public files directory not fully protected, siehe 2. Screenshot. Es wird empfohlen, eine .htaccess in das Verzeichnis sites/default/files zu senden, über die man weitere Infos hier bekommen soll:
https://www.drupal.org/forum/newsletters/security-advisories-for-drupal-...

Da liegt bei mir bereits eine .htaccess; die ist aber absolut leer. In die habe ich jetzt den empfohlenen Code geschrieben:
# Turn off all options we don't need.
Options None
Options +FollowSymLinks

# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006

# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003

# If we know how to do it safely, disable the PHP engine entirely.

php_flag engine off

Dadurch ist die Warnung "Public files directory not fully protected" nun verschwunden. Aber ob das mit der Cron-Job-Meldung zusammenhängt, bleibt jetzt abzuwarten.

Danke fürs Mitdenken!

Ciao, Thomas

Aha, jetzt kommt etwas anderes.

--2018-04-27 21:01:01-- http://repo-linux.com/a
Resolving repo-linux.com (repo-linux.com)... 193.106.30.90
Connecting to repo-linux.com (repo-linux.com)|193.106.30.90|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 108
Saving to: `STDOUT'

0K 100% 11.4M=0s

2018-04-27 21:01:08 (11.4 MB/s) - written to stdout [108/108]

--2018-04-27 21:01:08-- http://repo-linux.com/index.log.2018.04.26
Resolving repo-linux.com (repo-linux.com)... 193.106.30.90
Connecting to repo-linux.com (repo-linux.com)|193.106.30.90|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 26712 (26K)
Saving to: `STDOUT'

0K .......... .......... ...... 100% 391K=0.07s

2018-04-27 21:01:08 (391 KB/s) - written to stdout [26712/26712]

Nur: Ich verstehe das nicht.

Aber das kann nichts mit meinen Änderungen zu tun haben (Modul "Public download count" abgeschaltet und .htaccess sites/default/files geändert), denn das kam schon heute Nachmittag.

Ciao, Thomas

Alle Seiten bei denen nicht das Sicherheitsupdate SA-CORE-2018-002 (28.3.2018) bis zum 11. April installiert wurden, sind mit großer Wahrscheinlichkeit kompromittiert. Nach Bekanntwerden der Einzelheiten wurde der Hack unmittelbar weltweit ausgenutzt. Derartige Angriffsmuster konnte ich bei mehreren ge-pachten Kundenseiten feststellen. Es werden ständig Skript Anfragen gesendet. Du erwähnst das mittlerweile eingestellte Public Download Count Modul und weitere kritische Sicherheitslücken SA-CORE-2013-003 von 2013 (!), die es Angreifern ermöglichen Schadcode, ohne Serverzugriff auf deiner Drupal Webseite auszuführen.

Leider müssen wir davon ausgehen, dass deine Drupal Seite gehackt wurde.

Wie es aussieht führen Angreifer von deinem Server per Cronjob ein Perl Skript aus.

Bedeutet, dass der Cronjob nicht ausgeführt wurde.

Der Cronjob wird erfolgreich ausgeführt.

Wie ich hier bereits geschrieben habe empfehle ich erst einmal die Seite offline zu nehmen und genauer zu prüfen.

Ach du liebe Zeit! Das klingt ja gar nicht gut.
Mittlerweile lauten die Meldungen wieder
"HTTP request sent, awaiting response... 404 Not Found 2018-04-28 10:01:32 ERROR 404: Not Found."

Aber dennoch deuten die Symptome wohl darauf hin, dass meine Site kompromittiert ist.

Leider bin ich nicht Fachmann genug, um das im Einzelnen alles zu durchsuchen und zu beheben. Und die Zeit fehlt mir dazu auch. Ich werde dann wohl die Site komplett neu aufsetzen (dann mit Drupal 8) und versuchen, die bisher angemeldeten User zu portieren, auch die Notenuploads der User usw.

Sehr ärgerlich, so etwas. Bis ich aber dazu komme, wird es noch ein paar Wochen dauern (muss die Semesterferien abwarten, dann habe ich Zeit).

Aber jetzt meine Frage: Was passiert, wenn ich die aktuelle Site nicht abklemme, sondern bis zum Sommer weiterlaufen lasse? Sie funktioniert ja. Wo und in welchem Umfang kann das Hacker-Pearl-Script Schaden anrichten?

Ciao, Thomas

Die Seite wird immer mehr zu Datenschleuder und wird für diverse illegale Aktivitäten missbraucht bsp. Zur Berechnung von Cryptomining, Spamversand im Namen von kirchenmusikliste.de, DDoS-Angriffe auf andere Server usw. Durch die Backdoor können Angreifer Software nachladen. Gestern hat hier ein anderer Foren-User ähnliches berichtet. Es ist also nur eine Frage der Zeit bis dein Provider reagiert und die Seite abschaltet. Dies muss nicht sofort sein, aber früher oder später wird der Missbrauch deines Server immer auffälliger werden.

Wenn du Zugriff auf die Server Logfiles (access_logs) hast, kannst du mir diese per PM zu kommen lassen und ich schaue es mir einmal an.

Das ist sehr großzügig! Vielen Dank! Files sind unterwegs ...

Aus einem mir nicht bekannten Grund funktioniert mein Drupalcenter Kontaktformular nicht. Deine Logs sind per Mail soeben eingetroffen. Danke. Ich schaue mir das einmal an.