Meine Seiten wurden gehackt!

[Big Cheese]

Hallo zusammen

Seit gestern bin ich fast am verzweifeln. Gestern wurden unsere sämtlichen Seiten gehackt (siehe: http://www.mein-shop.com). Eigenartig dabei ist, dass nicht nur unser alter xtc Shop basierend auf Version 3.0.4 SP2.1 gehackt wurde, sondern auch die neuste Webs Version welche im Unterverzeichnis http://www.mein-shop.com/webs liegt. Mein Provider scheint irgendwie komplett überfordert zu sein, da wir offenbar nicht die einzigen geschädigten sind.

Weiss hier eventuell jemand wie ich dieses Problem wieder in den Griff bekomme?

[Doc Olson]

1. Alle Daten sichern (Shop-Dateien und Datenbank)
2. Log-Dateien sichern (FTP und HTTP)
3. Einen Experten dransetzen

Fragen:

1. Hattest Du immer alles Sicherheitsupdates eingespielt?
2. Hattest Du irgendwelche Erweiterungen ("Module") in die Shops eingebaut?
3. Welche anderen Kunden sind auch betroffen? Nur Shops? Nur xtc? Nur webs? Oder doch alles Mögliche? Das könnte Aufschluss darüber geben, in welcher Applikation die Sicherheitslücke evtl. besteht.

Eigenartig dabei ist, dass nicht nur unser alter xtc Shop basierend auf Version 3.0.4 SP2.1 gehackt wurde, sondern auch die neuste Webs Version welche im Unterverzeichnis http://www.engelis-naturshop.ch/webs liegt.

Wenn ein Hacker erstmal Zugriff auf die Daten im Root-Verzeichnis hat, hat er Zugriff auf alles, was sich darin befindet. Dies lässt also nicht automatisch den Schluss zu, dass der Webs-Shop das Einfallstor ist.

Deine aktuelle Meldung auf der Startseite, wird Deine Kunden übrigens sicher verschrecken. Das Vertrauen dürfte auf jeden Fall dahin sein.

[Big Cheese]

Das Problem ist, dass nicht nur der xtcommerce Shop gehackt wurde, sondern auch mein vbulletin Forum, der wordpress Blog etc. etc. Bei allen kommt die gleiche Eingangsseite. Ich habe mal per ftp alle Verzeichnisse meines Shops auf den Rechner geholt und bemerkt, dass die Hacker vermutlich über das dort ebenfalls installierte Programm mysqldumper eingebrochen sind. Von dort hatten sie natürlich leichtes Spiel alle Seiten zu manipulieren. Mein Provider versucht nun den alten Backup wieder einzuspielen. Bis dahin habe ich mal versucht die Quelle für die Umleitung der Domain zu finden. Doch irgendwie werde ich nicht schlau wie die das genau gemacht haben. Eigentlich ging ich davon aus, dass ich nur nach dem letzten Änderungsdatum suchen müsse. Die einzigen veränderten Dateien waren jedoch die des mysqldumpers. Dieses Verzeichnis habe ich nun mal komplett gelöscht. Die Seite wird jedoch nach wie vor auf die Hacker Seite umgeleitet. Als nächstes kontrollierte ich die .htaccess Datei, wo ich eine Umleitung vermutete. Diese scheint jedoch nicht betroffen zu sein. Wo könnte ich sonst noch suchen?

[Doc Olson]

Du hattest MySQlDumper in einem Unterordner Deiner nach Aussen verfügbaren Applikationen liegen?

Na Halleluja...

War das Verzeichnis denn wenigstens per htaccess gesichert?

[Xantiva]

Wenn Ihr nicht die einzigen Betroffen seit, muss das ganze nicht an Deinen Shops liegen. (Allerdings kannst Du auch das Einfallstor für alle sein.)

Für Deine Kunden würde ich zunächst umgehend eine nette "Wartungsseite" aufsetzten. Die bitte auch einen passenden #503 HTTP Status Code ausliefert (damit nicht auch die SuMa's noch nervös werden).

Dann solltest Du - am besten in Abstimmung mit dem Provider - auch eine Anzeige gegen Unbekannt erstatten. Und Ihr musst das Einfallstor finden. Sonst installierst Du alles wieder und der Server ist direkt wieder gehackt.

[Xantiva]

Wenn der Provider kein Fail2Ban oder ähnliches installiert hatte, reicht bei "offenem" mysqldumper eine simple BruteForce Attacke aus. (Wie komplex war das Passwort?)

Du kannst auch noch in der Datenbank nach "<script" oder so suchen. Nicht das darüber die Weiterleitung ausgelöst wird. Passiert die Weiterleitung auch bei deaktiviertem JavaScript? Wenn Du kannst, zieht so eine Seite mal mit WGet und schau dir an, wie der Quellcode aussieht ...

[Big Cheese]

Du hattest MySQlDumper in einem Unterordner Deiner nach Aussen verfügbaren Applikationen liegen?

Ja, MySQLDumper befand sich in einem Ordner auf dem Hauptverzeichnis. Allerdings passwortgeschützt. Das war wohl sehr nachlässig.

Für Deine Kunden würde ich zunächst umgehend eine nette "Wartungsseite" aufsetzten. Die bitte auch einen passenden #503 HTTP Status Code ausliefert (damit nicht auch die SuMa's noch nervös werden).

Die Info auf der Hauptseite habe ich wie von Doc Olson vorgeschlagen geändert. Aus dem Hackerangriff sind nun technische Probleme geworden. Wie mache ich das mit der #503 HTTP Status Seite am besten?

[Xantiva]

http://de.wikipedia.org/wiki/HTTP-Statu ... ver-Fehler

503 Service Unavailable

An den Anfang Deiner Wartungsseite:

Code: Alles auswählen

<?php 
    header('HTTP/1.1 503 Service Temporarily Unavailable');
...

[Xantiva]

Wenn Du die modifizierten Stellen gefunden hast, bin ich sehr an den Daten interessiert. Vielleicht können wir noch Erfahrungen sammeln, um die Shop in Zukunft weiter abzusichern (auch wenn die Hacker nicht darüber eingedrungen sind) ...

[Big Cheese]

Hallo Xantiva

Habe soeben mit dem Provider gesprochen. Offenbar sind die Hacker nicht über unsere Seite rein gekommen. Betroffen sind angeblich mehrere hundert Kunden.

Hier z.B. mal die \Images\product_images\info_images\

Code: Alles auswählen

<html>
<head>
<title>HACKED By HEXB00T3R</title>
</head>
<body bgcolor=black>
<p align="center">
<img src="http://fatninjas.ca/wp-admin/images/hex.png"></p>
<p align="center">
<p align="center"><font color="#c0c0c0" size="2" face="courier new">Real Terrorist abd and Zionist israel - BOYCOTT ! Stop Supporting Baby Killers</font></p>
<p align="center"><font color="white" size="2" face="courier new">Ozenti Genclik Bir Hic Olarak Yok Olmaya Mahkumdur (=</font></p>
<p align="center"><font color="#blue" size="2" face="courier new">Priv Root Exploit Satislari Devam Ediyor..! (idroot@hotmail.com.tr)</font></p>
<p align="center"><font color="gray" size="2" face="tahoma">HACKED By HEXB00T3R - (Informatics Mafia)</font></p>
</html>