Fork me on GitHub
"XOOPS ist ein dynamisches OO (Objekt Orientiertes) open source Portal Script geschrieben in PHP. XOOPS ist ein ideales CMS (Content Management System) für den Aufbau von kleineren und grösseren Communities, Firmen-, Intra- und Internet-Portale, Web-Logs und vieles mehr."
forum
Bitte schaut in die DOKUMENTATION oder benutzt die SUCHFUNKTION bevor Ihr Eure Fragen im Forum stellt. Viele Fragen wurden bereits gestellt.

Leser in diesem Thema:   1 Anonyme(r)


(1) 2 »


Site ghackt
#1
Benutzerinformationen
Hallo Xoops-ler.

Ich weiß es gibt diverse Einträge mit "Site gehackt" im Forum. Ich wollte nur vielleicht Dinge mitteilen, die vielleicht neu sind.

Meine Site wurde gehackt. Der Webspace-Provider hat das Loch inzwischen geschlossen und auch diverse Dateien wieder durch ein Backup ersetzt. Lt. Aussage des Hackers hat er nur die Index.* Dateien geändert. Aber ich habe mir die Mühe gemacht und die gesamte Homepage auf meinen Rechner überspielt und nach dem Text gesucht, den Hacker eingetragen hatte. (Die Freeware-Version von InfoRapid Suchen & Erstzen leistet da gute Dienste ), und siehe da - in einigen Verzeichnissen fand ich die Datei z.htm, die auch den besagten Text enthielten. Auperdem fand das Programm den Text auch noch in diversen Grafiken ?????, z.B. in der home.png, home.gif, home-a.png. Diese Dateien lassen sich mit einem Grafikprogramm auch nicht mehr anzeigen. Ich bin deswegen darauf gekommen weiter zu suchen, da auch nach der Einspielung der Backup-Indexdateien immer noch ein Text des Hackers zu lesen war. Nicht für den normalen Besucher der Page, aber für den Admin . Der text befindet sich nämlich auch noch im template ***********system_block_waiting.html.php !

Vielleicht hilft dies anderen.

Wie kann man als Homepagebetreiber so etwas verhindern? Ihr sprecht sehr häufig vom SPAW-Editor. Wie kann ich herausfinden, ob der bei mir installiert ist?

Hat jemand Lösungsvorschläge?

GruZ

LooZ

Geschrieben: 19.04.2008
Erstelle PDF des Beitrags Drucke

Re: Site ghackt
#2
Benutzerinformationen
Poste doch mal die von dir verwendeten Module. Unter den üblichen Verdächtigen sind Content-Module älteren Datums (z.B. c-jay content, icontent)

Geschrieben: 19.04.2008
Erstelle PDF des Beitrags Drucke

Re: Site ghackt
#3
Benutzerinformationen
Hallo surfman

Ich benutze xoops 2.016, folgende Module sind installiert:

xoopspoll
uservisit
userpoints
tag
pical
onlinehistory
newbb
mylinks
mydownloads
modxoopsinfo
logcountex
liaise
info
impressum
article

Die Module werden teilweise noch nicht genutzt. Welche Version, kann ic ldier nicht sagen. Komme in meinen Admin-Bereich nicht mehr hinein.

Es wird auch häufig geschrieben, ma solle den template_c Ordner leeren - warum?

Geschrieben: 19.04.2008
Erstelle PDF des Beitrags Drucke

Re: Site ghackt
#4
Benutzerinformationen
Zitat:

LoozyFair schrieb:
Der Webspace-Provider hat das Loch inzwischen geschlossen und auch diverse Dateien wieder durch ein Backup ersetzt.


dann müsste er auch wissen, wie das zustande kam, ansonsten können wir hier nämlich nur raten Frag ihn einfach wie das kam.
(Sollte er nur die 'fehlerhaften' Seiten ersetzt haben, erspare ich mir hierzu einen Kommentar)

Alfred

Geschrieben: 19.04.2008
Erstelle PDF des Beitrags Drucke

Re: Site ghackt
#5
Benutzerinformationen
Hallo Alfred.

Der Provider schrieb folgendes (Auszug):

Durch ein Kernel-Exploit war es möglich, daß Dritte auf dem Server eindringen konnten!

Die Sicherheitslücke wurde zwischenzeitlich geschlossen und es wurde ein Bacup eingespielt.

Geschrieben: 19.04.2008
Erstelle PDF des Beitrags Drucke

Re: Site ghackt
#6
Benutzerinformationen
Zitat:

LoozyFair schrieb:
Der Provider schrieb folgendes (Auszug):

Durch ein Kernel-Exploit war es möglich, daß Dritte auf dem Server eindringen konnten!


Ah, da kommen wir der Sache näher, es lag somit nicht am XOOPS.
Dein Provider meinte mit dem update, ein Kernelupdate des Servers

Alfred

Geschrieben: 19.04.2008
Erstelle PDF des Beitrags Drucke

Re: Site ghackt
#7
Benutzerinformationen
Hm, schön und gut.

Wie komme ich jetzt in meinen Admin-Bereich? Ich wollte die Site vorerst für andere schließen. Der Hacker hinterließ in einem template auch noch seinen Text - Block Wartende Übermittlungen - ich könnte es mit dem Original aus xoops 2.016 überschreiben. Würde mich dies weiterbringen? Oder wäre eine Neuinstallation besser? Würde gern xoops 2.018 aufspielen.

Geschrieben: 19.04.2008
Erstelle PDF des Beitrags Drucke

Re: Site ghackt
#8
Benutzerinformationen
Wenn Du nicht mehr in den Admin-Bereich kommst, würde ich versuchen die Webseite über phpmyadmin (also Datenbank) sperren. In der config-Tabelle gibt es eine Spalte mit den Namen"conf_name" und dort in der Zeile 13? den "debug_mode". Ändere den Wert "conf_value" von 0 auf 1.

Geschrieben: 20.04.2008
Erstelle PDF des Beitrags Drucke

Re: Site ghackt
#9
Benutzerinformationen
Hallo sata-san

Das wäre eine Möglichkeit - werde es versuchen - bin nicht so firm in solchen Dingen.

Wie erkenne ich aber. ob dieser sagenumwobene SPAW-Editor bei mir installiert ist?
Wie komme ich in meinen Admin-Bereich wieder hinein und wie kann ich mich vor solchen Dingen schützen? Bringt das Protector-Modul Besserung in dieser Beziehung?
Bin immer noch Neuling auf diesem bereich - könnte also etwas Unterstützung von den wirklichen Xoops-Profis (also Euch) vertragen.

Es wird auch viel darüber geschrieben, daß man das template_c löschen soll -> cache-Verzeichnis der templates ???? In diesem verzeichnis steht jedenfalls noch eine "verseuchte" Datei.

Bei mir ist scheinbar auch noch ein Editor tinymce installiert - unsicher?
Und in vielen Dateien taucht der Begriff SPAW-Editor auf - ist das ein Risikofaktor?

Vielen Dank im voraus

GruZ

LooZ

Geschrieben: 20.04.2008

Bearbeitet von LoozyFair am 20.04.2008 15:54:44
Grund:
Erstelle PDF des Beitrags Drucke

Re: Site ghackt
#10
Benutzerinformationen
Hallo LooZ,

der SPAW-Editor kann in Deinem gesammten System stecken, den findest Du nur durch suchen. Er kann sich in einem Deiner Module verstecken oder in einem Unterverzeichnis von "class". Wenn Du einen "common" Verzeicnis hast, dann könnte er auch dort drin sein. Dieser Editor ist in jedem Fall ein Sicherheitsrisiko und muss dringend entfernt werden. Andere Editoren machen keine Probleme.

"templates_c" in auf alle Fälle leeren, bis auf die "index.html".

Protector schützt, ist aber für Einsteiger nicht geeignet. Also erstmal Finger weg lassen.

Geschrieben: 20.04.2008
Erstelle PDF des Beitrags Drucke







[Erweiterte Suche]


Fehler
Warnung: syntax error, unexpected END_OF_LINE, expecting '=' in /var/www/clients/client1/web3/security/myxoops/xoops_data/configs/xoRewriteHtaccess.ini.php on line 13 in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 32
Warnung: array_key_exists() expects parameter 2 to be array, boolean given in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 34
Warnung: XoSmartyPlugin : section [xoRewriteHtaccess] does not exist in /configs/xoRewriteHtaccess.ini.php in Datei /class/smarty/xoops_plugins/xoSmartyFunctions.php Zeile 42
abgelehnt
Abfragen
0.000104 - SET NAMES 'utf8'
0.000066 - SET SQL_BIG_SELECTS = 1
0.000127 - SELECT * FROM config WHERE (conf_modid = '0' AND conf_catid = '1') ORDER BY conf_order ASC
0.000335 - SELECT sess_data, sess_ip FROM session WHERE sess_id = 'mn5rba8j4j495bsmr2niigm210'
0.000118 - SELECT * FROM modules WHERE dirname = 'newbb'
0.000101 - SELECT COUNT(*) FROM group_permission WHERE (gperm_modid = '1' AND (gperm_groupid = '3') AND gperm_name = 'module_read' AND gperm_itemid = '2')
0.000164 - SELECT * FROM config WHERE (conf_modid = '2') ORDER BY conf_order ASC
0.000127 - SELECT * FROM modules WHERE dirname = 'protector'
0.000236 - DELETE FROM protector_access WHERE expire < UNIX_TIMESTAMP()
0.000366 - SELECT COUNT(*) FROM protector_access WHERE ip='54.167.185.110' AND request_uri='/forum/viewtopic.php?post_id=51930'
0.000289 - SELECT COUNT(*) FROM protector_access WHERE ip='54.167.185.110'
0.000314 - INSERT INTO protector_access SET ip='54.167.185.110',request_uri='/forum/viewtopic.php?post_id=51930',expire=UNIX_TIMESTAMP()+'60'
0.000119 - SELECT * FROM modules WHERE dirname = 'xoopspoll'
0.000090 - SELECT * FROM modules WHERE dirname = 'umfrage'
0.000336 - SELECT t.* FROM bb_topics t, bb_posts p WHERE t.topic_id = p.topic_id AND p.post_id = 51930
0.000099 - SELECT * FROM bb_forums WHERE forum_id = '72'
0.000120 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'category_access')
0.000154 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_access')
0.000171 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_view')
0.005973 - SELECT COUNT(*) FROM `bb_posts` WHERE (topic_id = '10351' AND approved = '1')
0.000284 - SELECT COUNT(*) FROM bb_posts AS p WHERE p.topic_id=10351 AND p.approved = 1 AND p.post_id < 51930
0.000679 - SELECT p.*, t.* FROM bb_posts p, bb_posts_text t WHERE p.topic_id=10351 AND p.post_id = t.post_id AND p.approved = 1 ORDER BY p.post_id ASC LIMIT 0, 10
0.000353 - UPDATE bb_topics SET topic_views = topic_views + 1 WHERE topic_id =10351
0.000092 - SELECT * FROM config WHERE (conf_modid = '0' AND conf_catid = '3') ORDER BY conf_order ASC
0.000101 - SELECT DISTINCT gperm_itemid FROM group_permission WHERE gperm_name = 'block_read' AND gperm_modid = 1 AND gperm_groupid IN (3)
0.000077 - SELECT b.* FROM newblocks b, block_module_link m WHERE m.block_id=b.bid AND b.isactive=1 AND b.visible=1 AND m.module_id IN (0,2) AND b.bid IN (31,30,29,28,27,26,25,24,23,22,21,18,17,16,49,15,14,13,10,7,5,3,2,20,19,48,38,37,36,41,40,35,45,44,46,47,50,51,52) ORDER BY b.weight, m.block_id
0.000245 - DELETE FROM lastseen WHERE (uid<1 AND time<=1413868466) OR (uid>0 AND time<=1413263966)
0.000158 - UPDATE lastseen SET online=0 WHERE uid>0 AND time< 1413868466
0.000075 - SELECT * FROM modules WHERE dirname = 'onlinehistory'
0.000078 - SELECT * FROM config WHERE (conf_modid = '7') ORDER BY conf_order ASC
0.000260 - SELECT count(uid) as cuid FROM lastseen WHERE uid=0 AND ip='54.167.185.110'
0.000187 - INSERT INTO lastseen (uid, username, time, ip, online, uagent, module) VALUES (0, 'Besucher', 1413868766, '54.167.185.110', 1, 'CCBot/2.0 (http://commoncrawl.org/faq/)', 2)
0.000233 - SELECT COUNT(uid) as count FROM lastseen WHERE (online > '0' AND uid > '-1')
0.000138 - DELETE FROM bb_online WHERE online_updated < 1413868466
0.000138 - DELETE FROM online WHERE online_updated < 1413868466
0.000202 - SELECT COUNT(*) FROM online WHERE online_uid=0 AND online_ip='54.167.185.110'
0.000144 - INSERT INTO online (online_uid, online_uname, online_updated, online_ip, online_module) VALUES (0, '', 1413868766, '54.167.185.110', 2)
0.000161 - SELECT COUNT(*) FROM bb_online WHERE online_uid=0 AND online_ip='54.167.185.110'
0.000149 - INSERT INTO bb_online (online_uid, online_uname, online_updated, online_ip, online_forum, online_topic) VALUES (0, '', 1413868766, '54.167.185.110', 72, 10351)
0.000309 - DELETE FROM bb_online WHERE ( online_uid > 0 AND online_uid NOT IN ( SELECT online_uid FROM online WHERE online_module =2 ) ) OR ( online_uid = 0 AND online_ip NOT IN ( SELECT online_ip FROM online WHERE online_module =2 AND online_uid = 0 ) )
0.000180 - SELECT * FROM bb_online WHERE online_topic = '10351'
0.000096 - SELECT cat_title, cat_id FROM bb_categories WHERE cat_id = '2'
0.000122 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_post')
0.000210 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000881 - SELECT * FROM `users` WHERE uid IN (10201,8865,8758,8067)
0.000089 - SELECT * FROM smiles
0.000270 - SELECT online_uid FROM bb_online WHERE online_uid IN (8067, 8758, 8865, 10201)
0.000081 - SELECT * FROM ranks
0.000531 - SELECT user_digests, uid FROM bb_user_stats WHERE uid IN( 8067, 8758, 8865, 10201)
0.000134 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000152 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000209 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000243 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000201 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000162 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000142 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000132 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000132 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000131 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000119 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000141 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000135 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000117 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000133 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000139 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000122 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000128 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000129 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000142 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000219 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000224 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000187 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000143 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000136 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000129 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000132 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000147 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_edit')
0.000131 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_delete')
0.000130 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
0.000085 - SELECT * FROM modules WHERE dirname = 'xoopspoll'
0.000133 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_addpoll')
0.000153 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_addpoll')
0.000103 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'category_access')
0.000076 - SELECT `cat_id`, `cat_order`, `cat_title` FROM `bb_categories` WHERE cat_id IN (9, 20, 12, 17, 19, 21, 2) ORDER BY cat_order ASC
0.000129 - SELECT * FROM group_permission WHERE (gperm_modid = '2' AND gperm_name = 'forum_reply')
Zusammen: 85
Blöcke
Online Historie Zählblock: nicht zwischengespeichert
Zusammen: 1
Extras
plugin smarty for xoops => xoRewriteModule : Loaded
plugin smarty for xoops => xoRewriteModule : Loaded
inbegriffene Dateien: 158 Dateien
Speicher: 12518808 bytes
Zeitmessung
XOOPS brauchte 0.630 Sekunden zum laden.
XOOPS Boot brauchte 0.037 Sekunden zum laden.
Module init brauchte 0.083 Sekunden zum laden.
XOOPS output init brauchte 0.013 Sekunden zum laden.
Module display brauchte 0.477 Sekunden zum laden.
Page rendering brauchte 0.019 Sekunden zum laden.