Hallo,
ich habe eine WE Installation auf einer testumgebung mit Version 8.1.6 und Php 7.3
Diese testumgebung ist mit einem .htaccess Schutz mit .htpasswd versehen. Beide Dateien liegen auf der Root.
Nun wurden folgende Dateien mit Schadcode überschrieben.
Der Schadcode ist hier beschrieben: https://blog.sucuri.net/2023/10/fakeup…an-malware.html
- /index.php
- /webEdition/index.php
- /webEdition/editors/blank_editor.html
- /webEdition/editors/content/eplugin/initPlugin.html
- /webEdition/site/meinsitename1.html
- /webEdition/site/meinsitename2.html
- /webEdition/site/meinsitename3.html
- /webEdition/site/template/meintemplatename.html
- /webEdition/site/template/meintemplatename_1.html
- /webEdition/site/template/meintemplatename_2.html
- /webEdition/site/template/meintemplatename_3.html
- /webEdition/site/template/meintemplatename_4.html
- /webEdition/we/versions/1234_tblFile_1.html und weitere .html Dateien mit gleichem Schema
Es wurden ausschließlich *.html Dateien und index.php Dateien ausgehend vom WE Ordner bis zur Root befallen. Ordner parallel zum webEdition Ordner die auch index.php oder html Dateien entahlten wurden nicht befallen, somit gehe ich davon aus, dass die Sicherheitslücke im webEdition Ordner liegt.
Gibt es bekannte Sicherheitslücken in webEdition? Laut Versionshistorie ist nichts ersichtlich außer ein Sicherheitsupdate zu 9.0.6 (was wohl nur WE 9 betrifft) aber ohne Nennung von Details.
Wie kann trotz htaccess Schutz auf die Seite zugegriffen werden? Ein Hack von FTP Accounts schließe ich aus.
Ich habe in manchen WE Ordnern eine htaccess mit diesem Inhalt gefunden:
<FilesMatch "">
<ifModule mod_authz_core.c>
Require all denied
</ifModule>
<ifModule !mod_authz_core.c>
Order Allow,Deny
Deny from all
</ifModule>
</FilesMatch>
Wenn ich Dateien in diesen Ordnern per http aufrufe erhalte ich ein 403 forbidden anstatt die auth Abfrage. Somit deaktivieren scheinbar diese htaccess Dateien den Schutz der Root htaccess Datei.