-
changelog.php wurde für Spam missbraucht
Hallo,
bei mir wurde die changelog.php erst letztes für Spam Versendungen missbraucht.
Ich wurde von Freenet darauf aufmerksam gemacht, und meine Domain wurde
zunächst gesperrt.
Wie kann so was passieren?
Wie kann man sich dagegen schützen?
Ist Joomla 1.6 auch so anfällig in dieser Sache?
Hätte ich ggf. die changelog.php nach Installation von Joomla 1.5 löschen sollen?
Für Hinweise wäre ich sehr dankbar.
Gruß
Darius1
Geändert von Darius1 (12.04.2011 um 17:52 Uhr)
-
-
Gute Seele des Boards
Die Original Datei im Joomlaroot und Großgeschrieben (CHANGELOG.php) enthält keinerlei ausführbaren Code, der für solche Sachen mißbraucht werden könnte.
Man kann sie löschen, aber von ihr geht keine Gefahr aus.
Das Problem wird entweder von einer veralteten Joomlaversion 1.5.22 kommen (dort gibt es eine Lücke, die das Versenden von Spam ermöglicht) oder von einer unsicheren Drittkomponente.
Ebenso denkbar ist ein PC, der mit einem Keylogger/Trojaner infiziert ist, welcher die FTP-Zugangsdaten geklaut und weitergegeben hat, und somit das austauschen der Datei gegen ein Spamscript mit diesem Namen ermöglicht hat.
Ja, auch Joomla 1.6 ist anfällig für Hacks, wenn Lücken gefunden und nicht rechtzeitig gepatcht werden.
Die "Bibel" für solche Fälle findest Du in der Joomla-FAQ Kapitel 2.6.
Gruß keraM
Joomla-FAQ: -->
Klick!
Support per PN: --> Klick!
-
-
Besten Dank für die schnelle Antwort.
Vermutlich wurde dann der FTP-Zugang ausgelesen
und die Datei ausgetauscht, da Freenet ausdrücklich
von Aktivitäten der changelog.php spricht.
Gruß
Darius1
-
-
Gute Seele des Boards
Vermutungen sind wenig hilfreich. Kontrolliere Dein Joomla sowie alle installierten Erweiterungen auf Aktualität. Laß Dir vom Hoster die FTP- und Web-Serverlogs geben, sofern er sie Dir nicht standardmäßig zur Verfügung stellt.
Gruß keraM
Joomla-FAQ: -->
Klick!
Support per PN: --> Klick!
-
-
Zu den Log Files habe ich direkten Zugang. Sind als zip Dateien pro Jahr/Monat/Tag gespeichert.
Werden dann zu Text Dateien entzippt.
Hier ist täglich ein reger Betrieb zu allen möglichen Joomla Ordnern/Dateien zu erkennen.
Teilweise sind rechts Begriffe wie Frauen - Matura - Malboro -
Oft auch PEAR/services
Leider bin ich nicht so bewandt im Auslesen von Log Files.
Gruß
Darius1
-
-
Gute Seele des Boards
Wenn das keine Inhalte Deiner Site sind, dann solltest Du von einem gehackten Web ausgehen.
Da Du schon Probleme beim Auswerten der Logfiles hast, gehe ich mal davon aus, dass Du auch wenig Ahnung von der "Desinfektion" eines gehackten Webs hast.
In diesem Fall solltest Du einen Profi beauftragen, z.B. auf joomlajobs.de. Bis dahin nimm die Site vom Web, Du bist für allen Blödsinn, der von Deiner Site ausgeht, verantwortlich.
Gruß keraM
Joomla-FAQ: -->
Klick!
Support per PN: --> Klick!
-
-
poste doch mal die ersten paar Zeilen der changelog.php Datei...
-
-
Gute Seele des Boards
Alternativ kannst Du auch selbst mal vergleichen, ob der Inhalt Deiner changelog.php identisch ist mit CHANGELOG.php aus dem Original Joomla-Zip.
Gruß keraM
Joomla-FAQ: -->
Klick!
Support per PN: --> Klick!
-
-
Mein originales Joomla ist leider auf dem Server gelöscht (war nur was privates) - habe Freenet gesagt sollen den kompletten Webspace löschen.
Hier habe ich mal einige Zeilen aus den Log Files rausgenommen:
www.mueck-bernhard.de anon.69.151.172.65 - - [01/Apr/2011:19:59:50 +0200] "GET /Joomla/includes/PEAR/service/index.cfm_files/local_odao.css HTTP/1.1" 200 4412 "http://www.mueck-bernhard.de/Joomla/includes/PEAR/service/"
www.mueck-bernhard.de anon.69.151.172.65 - - [01/Apr/2011:19:59:50 +0200] "GET /Joomla/includes/PEAR/service/index.cfm_files/common.css HTTP/1.1" 200 8607 "http://www.mueck-bernhard.de/Joomla/includes/PEAR/service/"
www.mueck-bernhard.de anon.69.151.172.65 - - [01/Apr/2011:19:59:50 +0200] "GET /Joomla/includes/PEAR/service/index.cfm_files/dhtml.js HTTP/1.1" 200 2119 "http://www.mueck-bernhard.de/Joomla/includes/PEAR/service/"
www.mueck-bernhard.de anon.69.151.172.65 - - [01/Apr/2011:19:59:50 +0200] "GET /Joomla/includes/PEAR/service/ HTTP/1.1" 200 95557 "http://us.mg201.mail.yahoo.com/dc/blank.html?bn=559&.intl=us&.lang=en-US"
www.mueck-bernhard.de anon.71.172.178.103 - - [05/Apr/2011:15:58:32 +0200] "GET /Joomla/includes/PEAR/service/ HTTP/1.1" 403 779 "http://webmaila.netzero.net/webmail/new/5?userinfo=4a44dcf915b6e1882fc21da5fa8fe1f6&count= 1302011546&userinfo=4a44dcf915b6e1882fc21da5fa8fe1 f6&count=1294263098&randid=613865590"
Vielleicht könnt ihr hier was erkennen.
Gruß
Darius1
-
-
Gute Seele des Boards
Wenn jetzt sowieso alles weg ist, hat es auch keinen Sinn mehr, nach der Lücke zu Suchen. Man kann die gewonnenen Erkenntnisse nicht mehr verifizieren und für eine Säuberung verwenden.
Fang einfach nochmal von vorn an und lies Dir vorher mal diese Tips durch: https://www.fc-hosting.de/joomla/tip...sicherheit.php
Gruß keraM
Joomla-FAQ: -->
Klick!
Support per PN: --> Klick!
-
Stichworte
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- Anhänge hochladen: Nein
- Beiträge bearbeiten: Nein
Foren-Regeln
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen