index.php wird nicht angezeigt (cyon.ch)

L

Lukas Frehner

Guest
Salut zusammen

Seit heute Mittag wird auf meiner Webseite ( http://www.polypensees.com ) die indexseite nicht mehr angezeigt. Es kommt einfach ein leeres Fenster.
Natürlich habe ich schon an den Emailsupport geschrieben, aber es ist ja Sonntag und bei ayom gibt es auch genug Leute welche bei cyon.ch sind, vielleicht kennt ihr den Fehler.
Auf der Seite läuft ein wordpress-blog.. und sonst, ich weiss nicht was ich sonst noch für Angaben machen kann.

Danke für eure Hilfe

Lukas
 
Ja, das war das erste was ich versucht habe...

Lukas
 
Hattest Du eine der hier oder hier erwähnten Dateien auf deinem System?

Falls ja, dann ist genau das passiert, vor dem ich in diesen Beiträgen gewarnt habe: Ein CMS hat Lücken, wird online gescannt und ist nun wohl gehackt.

Patch aufspielen, Sicherung einspielen - wenn es letztere nicht gibt, von vorne anfangen. Hart, aber so ist es.

PS: Heute mittag wurden bei mir 180 nicht existierende Urls abgefragt. Ich habe mir die Liste grade mal noch von meinem Webserver geholt und hänge sie unten an. Wenn auch nur eine dieser Dateien bei dir drauf war, dann ist das wohl gehackt.
 
Ich bin auch bei cyon.ch, habe mit meinem Blog und auch mit meinen anderen Seiten kein Problem.
Das Problem liegt also wahrscheinlich nicht bei cyon.
 
Da mein Server ausdrücklich einen

QUOTE Server: Microsoft-IIS/6.0
X-AspNet-Version: 2.0.50727


als Header schickt, also als Microsoft erkennbar ist, kann ich aus den obigen Zugriffsversuchen nur schließen, daß es bei diesen Dateien 'lohnende Sicherheitsprobleme' gibt. Wenn diese Dateien in anderen Pfaden installiert sind, dann sind sie im Augenblick noch nicht erreichbar. Aber jeder, der auf seinem System diese Dateien unterhalb '/' hat, hat im Ernstfall Probleme.

Nur zum Spaß schickt niemand so eine Salve von Abfragen an einen Server.
 
Hallo,

Hast du die Rechte der Dateien bereits überprüft? Es könnte ja vielleicht auch ein ganz simples Problem sein ;-)
 
So, ich habe jetzt alle Dateien nochmals auf den Server geschoben. Auch habe ich die Datenbank kontrolliert, es ist kein fehler zu finden.

In das adminmenu von wordpress komm ich jedoch rein /wp-admin...

Aber auch einzelne Beiträge können nicht angezeigt werden.

EDIT: Die Lösung des Problems war, dass kein Theme ausgewählt war! Und weil die index.php von Wordpress nur auf die Themedatei verweisst (als phpcode) war der Quelltext leer.

Jetzt frag ich mich eigentlich nurnoch, wie zum Teufel diese Option rausgesprungen ist
blink.gif


Egal, besten Dank für eure hilfe!

Lukas
 
Du hast die Datei

http://www.polypensees.com/admin/phpmyadmin/main.php

auf dem Server - zumindest wird die korrekt ausgegeben. Das ist die erste aus der obigen Liste. Allerdings wird auch die zufällig herausgegriffene

http://www.polypensees.com/admin/PMA2006/main.php

ausgegeben, da stimmt also irgendetwas nicht, verschiedene Dateien liefern denselben Inhalt. Und ein Server ändert sich nicht von alleine - wenn Du es nicht warst, dann war jemand anderes dran.

PS: Ich hatte gestern dasselbe Phänomen auf einer großen Seite eines Verbandes, da habe ich mich auch schon darüber gewundert. Da lieferten alle Unterseiten die Startseite aus.

Und solange die Hersteller des phpmyadmin das nicht patchen und Du diesen Patch aufspielst, wird das aller Voraussicht nach so bleiben.

Edit: Na, jetzt kommen wir da sogar weiter: Deine Startseite bindet

/xmlrpc.php

ein, die war mir schon bei einer der anderen, oben verlinkten Listen aufgefallen. Googelt man danach, gibt es bsp. hier

http://www.milw0rm.com/exploits/4039

einen Hinweis auf einen Wordpress 2.2 (xmlrpc.php) Remote SQL Injection Exploit.

Edit2: Das ist ja eine ganz aktuelle Sache: 07.06.2007:

http://www.watchmouse.com/de/security_news...nerability.html

http://www.securityfocus.com/bid/24344

Also auf Version 2.2.1 patchen, Stand 08.06.2007, also Freitag.
 
Danke für deine Hilfe. Ich habe die neuste Version schon installiert.

Jetzt sollte ich jedoch mal schlafen gehen, dieses Blog hat mich heute genug Energie gekostet.
wink.gif


Lukas
 
QUOTE (Berater @ So 10.06.2007, 21:38)Danke für deine Hilfe. Ich habe die neuste Version schon installiert.

Wo hast Du denn die Version 2.2.1 her? Downloadbar ist nur die Version 2.2 (sowohl englisch als auch deutsch) - und die hat den Bug:


QUOTE function wp_suggestCategories($args) {
global $wpdb;

$this->escape($args);

$blog_id = (int) $args[0];
$username = $args[1];
$password = $args[2];
$category = $args[3];
$max_results = $args[4];

if(!$this->login_pass_ok($username, $password)) {
return($this->error);
}

// Only set a limit if one was provided.
$limit = "";
if(!empty($max_results)) {
$limit = "LIMIT {$max_results}";
}

$category_suggestions = $wpdb->get_results("
SELECT cat_ID category_id,
cat_name category_name
FROM {$wpdb->categories}
WHERE cat_name LIKE '{$category}%'
{$limit}
");

return($category_suggestions);
}


$max_results müßte eine Zahl sein, kann aber mit


QUOTE 0 UNION ALL SELECT user_login, user_pass FROM wp_users.


injiziert werden - oben gab es ja einen Link gleich zum Beispiel- C#-Code zum Hacken.

Ein schönes (bzw. unschönes) Beispiel dafür, daß ein Eintrag eine Zahl erwartet und deshalb das Maskieren von ' nicht ausreicht.
 
QUOTE (jAuer @ So 10.06.2007, 20:48) Also auf Version 2.2.1 patchen, Stand 08.06.2007, also Freitag.

Gibts das überhaupt?

EDIT: Da war ich wohl zu spät...
wink.gif
Habe bei mir mal die Datei gelöscht
wink.gif
 
QUOTE (jAuer @ So 10.06.2007, 21:58)
QUOTE (Berater @ So 10.06.2007, 21:38)Danke für deine Hilfe. Ich habe die neuste Version schon installiert.

Wo hast Du denn die Version 2.2.1 her? Downloadbar ist nur die Version 2.2 (sowohl englisch als auch deutsch) - und die hat den Bug:


QUOTE function wp_suggestCategories($args) {
global $wpdb;

$this->escape($args);

$blog_id = (int) $args[0];
$username = $args[1];
$password = $args[2];
$category = $args[3];
$max_results = $args[4];

if(!$this->login_pass_ok($username, $password)) {
return($this->error);
}

// Only set a limit if one was provided.
$limit = "";
if(!empty($max_results)) {
$limit = "LIMIT {$max_results}";
}

$category_suggestions = $wpdb->get_results("
SELECT cat_ID category_id,
cat_name category_name
FROM {$wpdb->categories}
WHERE cat_name LIKE '{$category}%'
{$limit}
");

return($category_suggestions);
}


$max_results müßte eine Zahl sein, kann aber mit


QUOTE 0 UNION ALL SELECT user_login, user_pass FROM wp_users.


injiziert werden - oben gab es ja einen Link gleich zum Beispiel- C#-Code zum Hacken.

Ein schönes (bzw. unschönes) Beispiel dafür, daß ein Eintrag eine Zahl erwartet und deshalb das Maskieren von ' nicht ausreicht.

die 2.2 ist die neuste. So, ich verstehe nun nicht ganz was du damit sagen möchtest; und schon gar nicht wie ich den Fehler beheben soll. Aber besten dank für deine Mühe.

Lukas
 
QUOTE (HoBbY @ So 10.06.2007, 22:02)
QUOTE (jAuer @ So 10.06.2007, 20:48) Also auf Version 2.2.1 patchen, Stand 08.06.2007, also Freitag.

Gibts das überhaupt?

Laut dem obigen SecurityFocus-Link hatte ich gedacht, daß es die gäbe - die Suche war erfolglos, dann habe ich mir die V2.2 geholt in der Hoffnung, daß dort die 2.2.1 drin war. Aber da war nur der Fehler sichtbar.

Das


QUOTE (HoBbY @ So 10.06.2007, 22:02)Habe bei mir mal die Datei gelöscht
wink.gif



ist ein sehr guter (oder überlebensnotwendiger) Hinweis, das sollten alle machen, die im Augenblick die 2.2 draufhaben - bis ein Patch downloadbar ist.

PS: Wenn ich den Fehler und die Art des Fehlers sehe, dann könnte ich ...
Ich weiß, warum ich in server-daten nur gespeicherte Prozeduren drin habe - die können zwangsläufig nicht per Injektion übersprungen werden.

PS: Man kann sich den Code jetzt natürlich auch selbst patchen - bsp. einfach ein hartes Limit eingeben, damit der Wert von $args[4] gar nicht ausgewertet, sondern einfach ignoriert wird.

PS: @Berater, bei dir ist das Problem drastischer. Dein Server ist bereits gehackt - und es ist nun gänzlich unklar, was noch alles angerichtet worden ist.
 
QUOTE (jAuer @ So 10.06.2007, 22:10) PS: Wenn ich den Fehler und die Art des Fehlers sehe, dann könnte ich ...

Jups, ein solcher Fehler darf nicht passieren! Was hat es den sonst noch für Fehler in der Software?!? Ich werde wohl in naher Zukunft wordpress löschen!!!

@jAuer: Thx, dass du mich/uns auf den Bug aufmerksam gemacht hast!
 
Also, du meinst, ich kann ruhig die xmlrpc.php löschen, und es wird weiter funktionieren? Auf dem Space ist alles klar. Habe alles aus Backups wieder aufgesetzt und gececkt ob neue Daten darauf sind.

Lukas
 
QUOTE (Berater @ Mo 11.06.2007, 10:48)Also, du meinst, ich kann ruhig die xmlrpc.php löschen, und es wird weiter funktionieren? Auf dem Space ist alles klar. Habe alles aus Backups wieder aufgesetzt und gececkt ob neue Daten darauf sind.

Die xmlrpc.php enthält unsicheren Code. Jemand mit Sql-Kenntnissen kann das ausnutzen, um Informationen aus der Datenbank (Nutzernamen, Passwörter, Mailadressen) auszulesen und zu ändern. Da bei so einem System alles von der Datenbank abhängt, kann natürlich auch geänderter Code eingebaut werden (iframe auf Seiten mit Trojanern).

Wenn Du die xmlrpc.php löscht (bzw. den Code korrigierst), kommt jemand nicht mehr über diesen Weg zu dir rein. Es ist aber völlig unklar, was der gemacht hat, der drin war.

Mich wundert das sowieso, daß etwas verändert wurde. Ich vermute, da hat eher jemand geübt. Denn eigentlich lohnend ist so etwas dann, wenn der Hacker möglichst unerkannt bleibt und bsp. eine zusätzliche Datenbank anlegen und für seine Zwecke nutzen kann. Oder er holt sich alle paar Tage die neuesten Mails und verkauft diese weiter.

Sprich: Du hättest jetzt gar nichts gemerkt.
 
Vielleicht ist auch einfach mein Blog so toll, das neidische Blogger mich aus dem Netzt drängen wollten
biggrin.gif


Ich habe alle Dateien ersetzt mit meinen von meiner Festplatte, von daher wird kein Trojaner meine Besucher belästigen. Die Datenbank ist auch ok.

Ich habe hier: http://www.ayom.com/topic-18808.html einen Lösungsansatz gepostet. Vielen Dank nochmals.

Berater
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben