Manipulation - htaccess

Hier können Probleme und alles andere in Deutscher Sprache gelöst werden.
Post Reply
sehpferd
Regular
Posts: 27
Joined: Tue Nov 21, 2006 5:41 pm
Contact:

Manipulation - htaccess

Post by sehpferd »

Wie kann ein Hacker (außer durch einen ftp-account und dem richtigen Passwort in diese Datei eindringen und sie verändern?

Die ist bei mir nun zwei Mal geschehen. Slbstverständlich habe ich die üblichen Maßnahmen getroffen, aber gibt es eien "Hintertür", durch die der Angreifer gekommen sein kann? Die Angriffe können nicht durch Eingabe des richtigen passworts entstanden sein, da ich dieses mehrfahc geändert habe.

Schon wenige Minutenn nach Änderung des Passworts waren die Angreifer wieder drin und änderten die Datei.

"Betrieben mit Serendipity 1.6.2 und PHP 5.2.17"

Wie kann ich diese Datei besser schützen - udn woran liegt es?

In Sorge

Gebhard Roese
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Manipulation - htaccess

Post by Timbalu »

Das erinnert mich irgendwie an: Angriffe über Serendipity über Extended File Manager
http://board.s9y.org/viewtopic.php?f=10&t=19197

Egal ob es sich um einen gehackten FTP account oder die vor Jahren gefundene Lücke im EFM handelt, es ist wahrscheinlich irgendwo das System kompromitiert.

Es scheint, als ob das System immer noch nicht voll bereinigt ist und der "Hacker" auf eine/mehrere immer noch vorhandene hineingeschmuggelte Datei(en) zugreift, die sich irgendwie Zugriffsrechte auf die htaccess verschaffen.

Was ändert "er" denn da? Gibt es einen Server-Logauszug (access.log) der eventuell zeigt, woher diese Änderung genau kam? Velleicht hat "er" ja u.a. das include/tpl/ htaccess tpl file umgeschrieben, nach dessen Vorbild die eigentliche htaccess geschrieben wird?!

Ich würde mal das verify plugin http://board.s9y.org/viewtopic.php?f=4& ... #p10425131 laufen lassen. Da gibt es drei Listen:
  • Verify core files (das funktioniert wie das von Serendipity gelieferte)
  • View additional files (hier werden alle Dateien aufgelistet, die nicht in einem Release geliefert werden - diese Liste könnte wertvolle Hinweise liefern *)
  • Verify additional files (diese Liste wird auf gebräuchliche Angriff Kommandos hin untersucht)
Damit kann man zwar keine 100%ige Sicherheit haben, aber man ist dem schon erheblich näher auf die Spur gekommen.

(* Die Liste wird wahrscheinlich sehr lang sein und falls nach ersten eigenen Untersuchungen dazu noch Fragen sind, muss sie auf dropbox oder in eine Datei gegossen werden, am besten per Quellcode, damit man irgendwie die Formatierungen zur besseren Lesbarkeit beibehält.)
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
kleinerChemiker
Regular
Posts: 765
Joined: Tue Oct 17, 2006 2:36 pm
Location: Vienna/Austria
Contact:

Re: Manipulation - htaccess

Post by kleinerChemiker »

Schau mal das access-Log genauer an. Vor allem, wenn du es zeitlich gut einengen kannst, findest du da ziemlich sicher über welches File er sich Zugang verschafft.
sehpferd
Regular
Posts: 27
Joined: Tue Nov 21, 2006 5:41 pm
Contact:

Re: Manipulation - htaccess

Post by sehpferd »

Hallo,

Ich habe das Programm laufen lassen, konnte aber keine Probleme finden. Die "alten" Probleme wurden durch Löschen der Datein behoben. Ist es iregdnwei möglich, die Datei zu schützen? Ich habe alle Passwörter geändert, dennoch kommt der Hacker jederzeit an meien Datei. Die von euch genannet Datei weist keine Änderungen auf.

Sobald ich die Datei auf Ursprung zurücksetze (ich besitze eien Kopie) dauert es ca. 10-30 Minuten, bis die Datei wieder gehackt wurde.

Ich sende die Datei gere, würde das aber ungerne öffentlich tun.

Gebhard
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Manipulation - htaccess

Post by Timbalu »

Wenn verify keine Probleme aufzeigt( ist das wirklich ganz sicher?) und das access.log keinen Aufschluss liefert.... Was genau sagt der Server Hoster dazu? Sind außerdem alle Systeme (auch dein PC) Viren- und Hack-frei?
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
kleinerChemiker
Regular
Posts: 765
Joined: Tue Oct 17, 2006 2:36 pm
Location: Vienna/Austria
Contact:

Re: Manipulation - htaccess

Post by kleinerChemiker »

Wenn eine zusätzliche Datei hochgeladen wurde, dann würde das das verify-Plugin nicht anzeigen, oder? KAnn gut sein, daß irgendwo eine php-Shell hochgeladen wurde. IMHO ist deshalb auch das durchsuchen des access-Log das, was am ehesten was bringt. Wenn da auch nichts zu finden ist, dann ist vermutlich einer deiner PC's verseucht.
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: Manipulation - htaccess

Post by Timbalu »

kleinerChemiker wrote:Wenn eine zusätzliche Datei hochgeladen wurde, dann würde das das verify-Plugin nicht anzeigen, oder?

Doch! Siehe oben. (Innerhalb des Blogs natürlich)
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
Post Reply