Noch nicht wirklich online - und schon gehacked!

[depp ich]

Ich glaubs nicht:
Ich bau eine kleine Kundensite auf (startseite: /index.php), die index.html zeigt immer noch das "In Kürze"-Bildchen.
Das CMS wurde am Freitag hochgeladen.
Gestern nachmittag hab ich dem Kunden ein Mail gesendet mit dem Link, zum 1. mal ansehen.

Heute hab ich schon die iFrames von irgendwelchen Hackern drin! Wie geht denn sowas? (Änderungsdatum der Dateien: gestern nachmittag)

Zunächst war der SafeMode an, da lief das CMS nicht richtig, auf Drängen hat der Hoster den SafeMode ausgeschaltet, natürlich gleich mit Warnung wie gefährlich das ist (... Pest, Tod und Teufel....)

[Synonym]

Zunächst war der SafeMode an, da lief das CMS nicht richtig, auf Drängen hat der Hoster den SafeMode ausgeschaltet, natürlich gleich mit Warnung wie gefährlich das ist (... Pest, Tod und Teufel....)

Dieses Feature ist seit PHP 5.3.0 DEPRECATED (veraltet) und seit PHP 5.4.0 ENTFERNT.

Ansonsten ist das alles kein Problem. Ich habe hier einen Multiserver zum testen. Da ist nichts drauf, die sind nur so online - keine Domänen, nichts. Und dort kommen auch permanent Angriffsversuche. Ist ja auch kein Problem einfach mal per IP nach allen möglichen Softwaren zu suchen. Wie lange die online sind ist ja egal.

[depp ich]

Ja, die Bots die nach wp-admin, myphpadmin usw suchen, die hab ich auch dauernd irgendwo.

Aber doch nicht bei einer Site, die NUR ein Bild enthält, die wird doch nichtmal in Google gelistet...

Dieses Feature ist seit PHP 5.3.0 DEPRECATED (veraltet) und seit PHP 5.4.0 ENTFERNT.

Ah! Ich dachte, der SafeMode wird erst ab PHP 6 abgeschafft.

[Synonym]

Die Entwicklung PHP6 wurde aktuell eingestellt. Alle Erweiterungen für die 6er werden in die 5.4 übernommen.

Aber doch nicht bei einer Site, die NUR ein Bild enthält, die wird doch nichtmal in Google gelistet...

Ist doch egal. Die brauchen doch kein Google. Die gehen einfach die IP-Adressen durch. Erster Ansatz... Verbiete den direkten Zugriff über die IP, dann sind die schon mal weg. Mein Multiserver ist auch nur so online zum Testen von Updates... Da kommen auch alle Zugriffe direkt über die IP. Domain geht ja auch nicht, ist ja keine vorhanden

[Vegas]

Welches CMS hast Du denn in welcher Version hochgeladen? Gut möglich, daß da das Schlupfloch liegt...

[depp ich]

Das "Schlupfloch" wurde in der Zwischenzeit gefunden: Ganz normaler FTP-Zugriff. Wie heute eh meistens, wer spielt sich noch mit Sicherheitslücken wenn er durch die Haustür gehen kann.

Wie der Angreifer an die Zugangsdaten gekommen ist? Ja: gute Frage.
Ein Trojaner auf meinem PC zb. Bestimmte FTP-Clients sind ja anfällig gegen Mitleser.
Dagegen spricht: Warum nur diese eine Site - und keine anderen? (Hoffentlich..)

Oder Mails beim Provider mitgelesen... oder der Umstand, dass MySQL-PW und FTP-PW identisch sind... keine Ahnung.

[Synonym]

Oder eben ein unsicherer FTP-Server

[MonikaTS]

......

Oder Mails beim Provider mitgelesen... oder der Umstand, dass MySQL-PW und FTP-PW identisch sind... keine Ahnung.

das ist das erste was ich ändere...

[depp ich]

Oder eben ein unsicherer FTP-Server

Ja, kann _auch_ sein.
Der Hoster ist so ein "IT-Experte", der für seine Kunden auch gleich mal das Internet macht.. mächtig große Klappe, Mietserver in Hanover.

Zum Glück tun ein paar Tage nicht weh. PW wurde geändert, ich hab von einer anderen Maschine aus alles abgeräumt und ein paar "Testdateien" hochgeladen.
Morgen werde ich sehen: Testdateien angerührt? - Ich nix gewesen.

@MonikaTS: Ja, das war das erste was ich vorhatte

[Synonym]

IT-Experte

auf Drängen hat der Hoster den SafeMode ausgeschaltet, natürlich gleich mit Warnung wie gefährlich das ist

Das passt für mich nicht zusammen. Den Schutz, den PHP hier mit dem SafeMode versucht herzustellen ist nur bedingt möglich, da falsche Ebene (daher auch entfernt). Dieser Schutz ist eigentlich eine Aufgabe des Hosters. Nur mal soviel dazu

[Wire]

Zwischenfrage: Wie könnt ihr denn feststellen welcher Besucher auf welche Seite/IP zugegriffen hat?

@depp ich: Nutzt du Wordpress?

[depp ich]

Über den SafeMode diskutiere ich nicht gerne. Das von mir verwendete CMS läuft nicht mit SafeMode und es gibt genug Provider mit SafeMode Off. Fertig.
Der SafeMode ist ein netter Gedanke, der sich in der Praxis nicht bewährt. Aber es klingt halt so, dass man Kunden damit fangen kann.

Und: Nein: Ich nutze _nicht_ Wordpress. Ich nutze ein Top20 CMS, aber kein Top5 CMS. Ich kenne das Ding blind, wozu sollte ich was anderes nehmen. Sicherheit?: Das ist ohnehin überall State of the Art, und die Hacker kommen ganz anders rein als gedacht. zb über FTP.

Ich interessiere mich wenig für Serverkram. Das soll bitte funktionieren, dafür wird gezahlt. Ich lasse meinen Kunden die freie Wahl (natürlich gebe ich Empfehlungen ab), aber wenn der Kunde beim Schwager der Tochter der Freundin.. mir egal. Funktionieren bitte, ohne dämliche Sprüche (zB: Liste der gängigen Virenscanner, wie heute). Die Typen dürfen nicht mehr allzu viele Fehler machen.

[Vegas]

Nutzt du zufälligerweise Filezilla? Das Ding speichert sämtliche Zugangsdaten sowie eine schöne History der Loginvorgänge der Vergangenheit im Plain Text Format, solange man es in Standardeinstellungen betreibt. Auch immer schön im gleichen Verzeichnis, was es zu einem Premiumziel für allerlei Trojaner macht.

[depp ich]

Ja, ich weiß - und ich mag und nutze Filezilla trotzdem

Wenn ich einen Trojaner habe, der alles ausspioniert, dann wäre sowieso der Teufel los, da wären die paar FTP-Daten schon das kleinste Übel.
Muss man eben dafür sorgen, keine Trojaner zu haben.

Aber das war natürlich auch mein erster Gedanke - und ich habe sämtliche Sites gecheckt, die ich in der letzten Zeit in Arbeit hatte. Zum Glück: nichts.

[thomas_x3]

Ja, ich weiß - und ich mag und nutze Filezilla trotzdem

Schau dir WinSCP an! Glaub mir, wenn du Filezilla magst, wirst du WinSCP lieben.