SWM gehackt?
Moderator: mirko
Re: SWM gehackt?
Ich habe gerade gesehen, dass die Beiträge nicht nach Datum des letzten Eintrags sortiert sind. Mein Eintrag taucht erst viel weiter unten auf. Die Sortierung nach Erstelldatum scheint nicht zu funktionieren.
Re: SWM gehackt?
das kann ich Dir nicht beantworten, ich sehe alle, wobei die Sortierung hier im Forum mir nicht klar ist.
Re: SWM gehackt?
[quote="mirko]
Na sicher doch aber vorher werden die "bösen" Zeichen oder Worte entfernt (Funktion mysql_real_escape_string()), so dass man bei einem Hack-Versuch nichts direkt auslesen kann.[/quote]
Danke für die Info!
Na sicher doch aber vorher werden die "bösen" Zeichen oder Worte entfernt (Funktion mysql_real_escape_string()), so dass man bei einem Hack-Versuch nichts direkt auslesen kann.[/quote]
Danke für die Info!
Re: SWM gehackt?
Ich meinte das SuperWebMailer Forum. Ich sehe den Thread nicht, wenn ich mich anmelde. Ich komme nur darauf, wenn ich auf den Link in der E-Mailnachricht klicke oder nach meinen Posts filtere. Dieser und auch der frühere Thread "neuinstallation nach Hackerangriff" erscheinen dann mit einer hellblauen Titelschrift, während die anderen Threads dunkelblau sind.Ich habe nichts in diesem Forum entfernen lassen, muss der Betreiber selbst gewesen sein.
Ein CSV-Upload ist nur möglich, wenn derjenige Benutzername/Passwort für den Admin oder Nutzer kennt, ansonsten kann man überhaupt nicht übertragen.
Added:
Ich habe gerade gesehen, dass die Beiträge nicht nach Datum des letzten Eintrags sortiert sind. Mein Eintrag taucht erst viel weiter unten auf. Die Sortierung nach Erstelldatum scheint nicht zu funktionieren.
Zuletzt geändert von MarcusK am 02.06.2014, 14:23, insgesamt 2-mal geändert.
Re: SWM gehackt?
Na sicher doch aber vorher werden die "bösen" Zeichen oder Worte entfernt (Funktion mysql_real_escape_string()), so dass man bei einem Hack-Versuch nichts direkt auslesen kann.MarcusK hat geschrieben:Hallo Mirko,
ich habe mir gerade mal die Login.php angeschaut. Ich bin kein php-Nutzer, aber auf den ersten Blick sieht es so aus, als würden die Eingaben einfach ungefiltert mit dem SQL Statement konkateniert. Wenn die Daten nicht per Paramater an eine stored procedure übergeben werden, so dass die Texteingabe nicht als Befehl interpretiert werden kann, oder die Eingabe nicht auf SQL-Kommandos und Kommentarzeichen überprüft wird, ist SWM völlig schutzlos gegen SQL-Injections. Jede Installation kann dann in kürzester Zeit gehackt werden.
Kannst du mir da eine Antwort geben?
Danke, Marcus
Re: SWM gehackt?
Ich habe nichts in diesem Forum entfernen lassen, muss der Betreiber selbst gewesen sein.MarcusK hat geschrieben:Hallo Mirko,
dieser Thread ist nicht sichtbar, wenn ich alle Threads ansehe. Hast du ihn unsichtbar gemacht oder mache ich etwas falsch?
Bzgl. des Hacker-Links:
Wenn ich es richtig verstanden habe, hat der Hacker eine SQL-Injection ausgenutzt, um so an die Adminaccounts zu kommen. Ist SWM diesbezüglich inzwischen abgesichert?
Anscheinend hat der Hacker eine PHP-Datei, die als CSV getarnt war über den CSV-Upload hoch bekommen. Ist diese Option nun ausgeschlossen? Ich vermute die Technik ist analog zu WP: http://back2hack.cc/showthread.php?tid=8842.
Marcus
Ein CSV-Upload ist nur möglich, wenn derjenige Benutzername/Passwort für den Admin oder Nutzer kennt, ansonsten kann man überhaupt nicht übertragen.
Re: SWM gehackt?
Hallo Mirko,
ich habe mir gerade mal die Login.php angeschaut. Ich bin kein php-Nutzer, aber auf den ersten Blick sieht es so aus, als würden die Eingaben einfach ungefiltert mit dem SQL Statement konkateniert. Wenn die Daten nicht per Paramater an eine stored procedure übergeben werden, so dass die Texteingabe nicht als Befehl interpretiert werden kann, oder die Eingabe nicht auf SQL-Kommandos und Kommentarzeichen überprüft wird, ist SWM völlig schutzlos gegen SQL-Injections. Jede Installation kann dann in kürzester Zeit gehackt werden.
Kannst du mir da eine Antwort geben?
Danke, Marcus
ich habe mir gerade mal die Login.php angeschaut. Ich bin kein php-Nutzer, aber auf den ersten Blick sieht es so aus, als würden die Eingaben einfach ungefiltert mit dem SQL Statement konkateniert. Wenn die Daten nicht per Paramater an eine stored procedure übergeben werden, so dass die Texteingabe nicht als Befehl interpretiert werden kann, oder die Eingabe nicht auf SQL-Kommandos und Kommentarzeichen überprüft wird, ist SWM völlig schutzlos gegen SQL-Injections. Jede Installation kann dann in kürzester Zeit gehackt werden.
Kannst du mir da eine Antwort geben?
Danke, Marcus
Re: SWM gehackt?
Hallo Mirko,
dieser Thread ist nicht sichtbar, wenn ich alle Threads ansehe. Hast du ihn unsichtbar gemacht oder mache ich etwas falsch?
Bzgl. des Hacker-Links:
Wenn ich es richtig verstanden habe, hat der Hacker eine SQL-Injection ausgenutzt, um so an die Adminaccounts zu kommen. Ist SWM diesbezüglich inzwischen abgesichert?
Anscheinend hat der Hacker eine PHP-Datei, die als CSV getarnt war über den CSV-Upload hoch bekommen. Ist diese Option nun ausgeschlossen? Ich vermute die Technik ist analog zu WP: http://back2hack.cc/showthread.php?tid=8842.
Marcus
dieser Thread ist nicht sichtbar, wenn ich alle Threads ansehe. Hast du ihn unsichtbar gemacht oder mache ich etwas falsch?
Bzgl. des Hacker-Links:
Wenn ich es richtig verstanden habe, hat der Hacker eine SQL-Injection ausgenutzt, um so an die Adminaccounts zu kommen. Ist SWM diesbezüglich inzwischen abgesichert?
Anscheinend hat der Hacker eine PHP-Datei, die als CSV getarnt war über den CSV-Upload hoch bekommen. Ist diese Option nun ausgeschlossen? Ich vermute die Technik ist analog zu WP: http://back2hack.cc/showthread.php?tid=8842.
Marcus
Re: SWM gehackt?
Ereignisprotokoll Menü Einstellungen - Ereignisprotokoll anschauen, ob dort während des Versands per CronJob etwas drin steht.
Re: SWM gehackt?
Hallo Mirko,
ich habe es so verstanden, dass der Hacker sich über eine SQL-Lücke Zugang zu SWM verschafft hat. Über die Möglichkeit CSV-Dateien zu importieren, die anscheinend nicht gefiltert wurden, hat er die Möglichkeit geschaffen, PHP Code hochzuladen und somit das System zu kontrollieren.
Ich habe SWM inzwischen neu eingespielt. Trotzdem funktioniert der Versand von E-Mails immer nicht. Wenn ein E-Mailing, das mit Cron-Job angelegt wurde, fertig gestellt wird, finden sich keine E-Mails in der Ausgabewarteschlange. Das Problem ist erst nach dem Umzug des Providers in ein neues Rechenzentrum aufgetreten. Ich vermute immer noch, dass es sich um ein Konfigurationsproblem mit den Cron-Jobs handelt. Wenn ich Direktversand wähle, gehen die E-Mails raus. Das Test-E-Mail wird auch verschickt. Hast du noch eine Idee, an was es liegen könnte?
LG Marcus
ich habe es so verstanden, dass der Hacker sich über eine SQL-Lücke Zugang zu SWM verschafft hat. Über die Möglichkeit CSV-Dateien zu importieren, die anscheinend nicht gefiltert wurden, hat er die Möglichkeit geschaffen, PHP Code hochzuladen und somit das System zu kontrollieren.
Ich habe SWM inzwischen neu eingespielt. Trotzdem funktioniert der Versand von E-Mails immer nicht. Wenn ein E-Mailing, das mit Cron-Job angelegt wurde, fertig gestellt wird, finden sich keine E-Mails in der Ausgabewarteschlange. Das Problem ist erst nach dem Umzug des Providers in ein neues Rechenzentrum aufgetreten. Ich vermute immer noch, dass es sich um ein Konfigurationsproblem mit den Cron-Jobs handelt. Wenn ich Direktversand wähle, gehen die E-Mails raus. Das Test-E-Mail wird auch verschickt. Hast du noch eine Idee, an was es liegen könnte?
LG Marcus
Re: SWM gehackt?
Code in einem PHP-Script kann man nur einschleusen, in dem man direkten Zugriff auf den Quelltext des Scripts hat, den erhält man nur durch Shellzugriff oder andere Scripte und zusätzlich schlecht gesetzte Rechte. Alle PHP-Scripte auf dem Server prüfen ob diese manipuliert wurden, besonders kritisch ist es, wenn man Wordpress, Joomla oder andere CMS-Systeme verwendet, denn dort sind immer wieder Lücken enthalten.
Zu der "Lücke" in diesem Forum kann ich nichts sagen, weil ich nicht verstehe, was derjenige dort genau gemacht hat. Von CSV-Dateien geht zumindest keine Gefahr aus.
Zu der "Lücke" in diesem Forum kann ich nichts sagen, weil ich nicht verstehe, was derjenige dort genau gemacht hat. Von CSV-Dateien geht zumindest keine Gefahr aus.
SWM gehackt?
Hallo Mirko,
nach Abschluss eines für CronJob konfigurierten Mailings wurden plötzlich keine E-Mails mehr in die Warteschlange übertragen. Da unser Provider in ein neues Rechenzentrum gezogen ist, war die Vermutung, dass es damit zu tun hat. Der Provider hat uns folgende Nachricht geschickt:
"Es scheint so das die Fehlfunktion nicht mit dem Umzug zusammenhängt sondern stattdessen Ihre Website gehackt wurde. Wir haben den Cronjob manuell ausgeführt und bekamen mehrere Fehlermeldungen:
...@linux9:~$ wget -q 'http://.../swm/crons.php' -O -
Notice: Undefined index: ncd40df in /var/www/vhosts/.../httpdocs/swm/cron_logcleanup.inc.php on line 1
Parse error: syntax error, unexpected '=' in /var/www/vhosts/.../httpdocs/swm/cron_distriblists.inc.php on line 384
Beim nachlesen in diesen Dateien sieht man, dass dort Code eingeschleust wurde, der dort nicht sein sollte. "
Die FTP-Logs wurden geprüft. Hier erfolgte keine Zugriff. Der Hack scheint also über eine Schwachstelle von SWM erfolgt zu sein. Ich habe im Internet gesucht und folgenden 2 Jahre alten Link gefunden:
http://back2hack.cc/showthread.php?tid=6453
Wurde die Schwachstelle inzwischen behoben oder kann das der Einfallvektor gewesen sein? Gibt es sonst noch etwas was wichtig wäre?
Marcus
nach Abschluss eines für CronJob konfigurierten Mailings wurden plötzlich keine E-Mails mehr in die Warteschlange übertragen. Da unser Provider in ein neues Rechenzentrum gezogen ist, war die Vermutung, dass es damit zu tun hat. Der Provider hat uns folgende Nachricht geschickt:
"Es scheint so das die Fehlfunktion nicht mit dem Umzug zusammenhängt sondern stattdessen Ihre Website gehackt wurde. Wir haben den Cronjob manuell ausgeführt und bekamen mehrere Fehlermeldungen:
...@linux9:~$ wget -q 'http://.../swm/crons.php' -O -
Notice: Undefined index: ncd40df in /var/www/vhosts/.../httpdocs/swm/cron_logcleanup.inc.php on line 1
Parse error: syntax error, unexpected '=' in /var/www/vhosts/.../httpdocs/swm/cron_distriblists.inc.php on line 384
Beim nachlesen in diesen Dateien sieht man, dass dort Code eingeschleust wurde, der dort nicht sein sollte. "
Die FTP-Logs wurden geprüft. Hier erfolgte keine Zugriff. Der Hack scheint also über eine Schwachstelle von SWM erfolgt zu sein. Ich habe im Internet gesucht und folgenden 2 Jahre alten Link gefunden:
http://back2hack.cc/showthread.php?tid=6453
Wurde die Schwachstelle inzwischen behoben oder kann das der Einfallvektor gewesen sein? Gibt es sonst noch etwas was wichtig wäre?
Marcus