Sicherheit Evo 1.04?

Hey Leute

Ich habe Evo 1.04 seit Release im Einsatz, bisher völlig problemlos. Seit einigen Tagen hat sich das allerdings geändert, wie mir einige Besucher meiner Seite mitteilten meldete ihr Antivirusprogramm eine Verseuchung (Trojaner) meiner Seite. Nach Rücksprache mit meinem Hoster befand sich in mindestens einer Seite von Modx ein iframe, der über einen externen Link mehrere PHP Dateien eingebunden hat. Hier sind diese Links sichtbar: http://www.abload.de/image.php?img=virusaquaeroseite9iow.png

Dieser Iframe kommt aber sicherlich nicht von mir, noch wusste ich von dessen Existenz. Kann das eine Sicherheitslücke in Evo sein? Meine Passwörter sind imho ziemlich sicher, da 20 zufällige Zeichen lang und der Manager-Bereich ist per htaccess zusätzlich abgesichert. Bin jetzt derzeit am überlegen ob ich mir nun die Arbeit antun soll und die alte Homepage plätten, und dann auf die neuste Revo Version setzen und nur die Seiten (Inhalte) aus der Datenbank zu übernehmen. Nur kann ich mir trotzdem nicht erklären wie so etwas passieren konnte.

Gemäß Hoster ist das iframe jetzt wieder weg. Wie geht das denn? Habe nichts geändert.

Gruß

Hi KRambo,

-> http://modxcms.com/forums/index.php/topic,52543.0.html

http://translate.google.com/translate?js=n&prev=_t&hl=en&ie=UTF-8&layout=2&eotf=1&sl=en&tl=de&u=http%3A%2F%2Fmodxcms.com%2Fforums%2Findex.php%2Ftopic%2C52543.0.html

Grüße, j

Danke, da hab ich wohl wieder falsch gesucht. Hab mich mal da hinten dran gehängt, aber wird wohl auf ein Update auf Revolution hinaus laufen.

Quote from: KRambo at Nov 01, 2010, 09:33 AM

Bin jetzt derzeit am überlegen ob ich mir nun die Arbeit antun soll und die alte Homepage plätten, und dann auf die neuste Revo Version setzen und nur die Seiten (Inhalte) aus der Datenbank zu übernehmen.

Das wäre riskant, da niemand so genau weiß, wo die sich die Sicherheitslücke eigentlich befindet. Auch kann nicht gesagt werden, dass es MODx-spezifisch ist. Es könnte auch etwas Übergeordnetes sein, kommt dieses Problem auch zahlreich in anderen CMS vor.

Meine Vermutung ist, die Kombination einer Einstellung in dem jeweiligen CMS und einer Sicherheitslücke in etwas Übergeordnetem, z.B. PHP, Apache oder sogar Linux, öffnet hier die Türen. Nur Spekulation, aber nicht unwahrscheinlich. :f

N!Ce

Rein theoretisch könnte sich das dann aber nur im Design oder in einer einzelnen Seite befinden, bei der Übernahme würde ich das dann ja sehen wenn irgendwo ein iframe drin ist. Der entsprechende Code mit dem base64_encode befindet sich ja woanders, den habe ich bereits gelöscht (inklusive AjaxSearch 1.9). Eine Möglichkeit wäre, über den Hoster die Funktion deaktivieren zu lassen. Ob das bei jedem Hoster geht ist ne gute Frage. Allerdings bekämpft das dann nur die Wirkung und nicht die Ursache, also ist damit auch niemandem geholfen, nur wird eben der iframe nicht mehr eingebunden.

Bei Revo ist die Lücke aber nicht mehr vorhanden, und früher oder später wollte ich eh mal neu anfangen und nur die Inhalte übernehmen. Ich denke das kann ich ohne weiteres machen.

Quote from: KRambo at Nov 01, 2010, 12:02 PM

Bei Revo ist die Lücke aber nicht mehr vorhanden,

Gerade das ist ja nicht erwiesen, da niemand die Lücke kennt. Es gibt ein vielfaches mehr Evo installationen und die sind schon deutlich länger im Umlauf, d.h. keine gemeldeten Revo Fälle muss nicht unbedingt heißen, dass es nicht auch dafür anfällig ist.

Ideal wäre wenn sich die Ursache aufklären ließe. Jedenfalls viel Glück und Augen auf.