Thema: Hacked By ******

Hallo zusammen,

Joomla 1.5.6 hat offenbar ein Schlupfloch - meine Site des Templatekurses für Joomla 1.5 wurde vor wenigen Minuten (Zeitspanne 1 Stunde) gehackt. Sie ist nicht mehr erreichbar.

Na ja, der üble Typ hat nun vermutlich irgendwas dickes in der Hose, soll er sich ne Hosennummer grösser kaufen.

Nun zu Facts der ersten Untersuchungen:

Die Datei configuration.php wurde verändert
var $sitename = 'Hacked By ******';
var $offline_message = 'Hacked By ******';
Zudem wurde die Datei schreibgeschützt.

Weitere Veränderungen habe ich in der kurzen Zeit noch nicht festgestellt. Weiss jemand, wo ich den Hebel ansetzen kann und die Veränderungen rückgängig machen kann? Auf jeden Fall muss das Schlupfloch gefunden werden, damit die Hacker nicht noch weitere Sites angreifen können.

Greetz Andy

Edit:
Ich habe die configuration.php folgendermassen abgeändert, um festzustellen, ob die Site Offline ist:
var $sitename = 'Templatekurs Für Joomla 1.5';
var $offline_message = 'Diese Site wurde gehackt, Bitte entschuldige die Unterbrechung';
Fact:
Der Spassvogel hat die Site Offline gestellt

Der "Hack" könnte auch durch einen Keylogger, zu schwache Passwörter, ungesicherte Verbindungen, Module, Komponenten von Dritten usw. verursacht worden sein. Was wird da verwendet? Ist das alles sicher?

Wieso postest du auch noch den Namen des Hackers? Das ist das gleiche für ihn als wenn du sagen würdest, das hast du gut gemacht....

Wenn du gehackt wurdest wird er wohl noch mehr gemacht haben ausser nur die Seite offline zu stellen. Leider gehen viele davon aus und stelle die Seite nur wieder online ohne Backups einzuspielen oder auch nur ansatzweise nach der Schwachstelle zu suchen. Zumindest das mit der Schwachstelle scheint dir klar zu sein aber nimm die Seite erst komplett offline und spiele ein Backup ein, damit du sicher bist das den Besuchern kein Trojaner o.ä. untergejubelt wird. Kann natürlich sein das er wirklich nur an die config.php rangekommen ist und um zuzeigen wie "toll" er ist hat er die Seite mit dem tollen Satz versehen das diese gehackt wurde. Wenn er die Möglichkeit gehabt hätte, und nicht nur eins der vielen Script-Kiddies war, hätte er noch mehr verändert normalerweise.

Um die Schwachstelle zu finden bedarf es einiger weiterer Informationen. Wie sieht deine Serverkonfiguration aus? Welche Erweiterungen hast du installiert, sind diese auf dem aktuellsten Stand?

Wenn es kein bekanntes Problem ist hilft hier nur die Serverlogfiles durchzuschauen in dem entsprechenden Zeitraum wo es passiert ist.

... und gleich vorweg - ja, auch mich hat's erwischt. Kam heute aus dem Urlaub zurück und es war keine Anmeldung mehr möglich (weder als Admin noch als einer der anderen wohl nicht mehr existenten User).

Es scheint sich allerdings an der Seite selber (Inhalte, Grafiken, Titelzeilen, etc.) nichts geändert zu haben. Dennoch werd ich natürlich alles neu installieren.

Da allerdings auch die Datensicherung erst gestern lief, nehme ich an dass auch die bereits von der gehackten Seite stammt. Bevor ich also sämtliche Inhalte neu anlege - besteht Gefahr wenn ich zumindest die Beiträge die ja alle in der DB vorhanden sind in der neuen Installation wieder neu einspiele? (Die Frage klingt möglicherweise doof - mit Hackerangriffen hatte ich bisher aber noch nichts so direkt zu tun)

Danke für die Info schonmal vorab

Irgendwie irritiert mich die Aussage, dass es sich um Joomla 1.5.6 handeln soll.
Laut Heise ist die da nämlich geschlossen:
http://www.heise.de/security/Kritisc...meldung/114190

Nochmal: Lest den Heise Artikel.

Das Superadmin Passwort kann dadurch zurückgesetzt werden. Also kann der Hacker sich in den Adminbereich einloggen. Da dort aber keinerlei Angaben über DB Passwörter etc. gemacht werden, können maximal Komponenten, Module, Plugins, Templates (de)installiert werden. Der Server an sich sollte dadurch aber nicht kompromittiert werden können. Da so viele mehr oder minder gleichzeitig gehacked wurden, lässt dies auf ein Bot-Programm schließen und nicht auf einen Menschen, der auf unterschiedliche Systeme mit der Installation unterschiedlicher Komponenten reagieren kann, die dann nicht auffallen.

ich hatte das Update "de-DE.joomla1561-all.zip" (250kb) eingespielt und war in der Annahme, dass ich damit von Version 1.5.5 auf die Version 1.5.6 aktualisiert hatte.

Offensichtlich wurde gemäss dem "Heise-Artikel" die Website gehackt, denn der betreffende Code konnte ich nicht in der Datei nach Zeile 113 ausmachen.

Der Hacker war noch weiter aktiv. Während ich das Thema eröffnete, konnte ich mich noch ins Backend einloggen, was jetzt nicht mehr möglich ist.

Nun gut, machen wir das Beste draus, und stellen alles wieder in der neuen Version 1.5.6 auf die Beine.

@wawerko

Da dort aber keinerlei Angaben über DB Passwörter etc. gemacht werden, können maximal Komponenten, Module, Plugins, Templates (de)installiert werden.

Das ist nur beding richtig!

Der SuperAdmin kann jederzeit eine Komponente wie Jxplorer o.ä. installieren und hat somit Zugriff auf alle Dateien inclusive der configuraton.php(In dieser stehen alle Daten!
Desweiteren kann er auch Shell Dateien auf den Webspace laden die dann einen VOLLSTÄNDIGEN Zugriff ermöglichen.

Somit ist ALLES Möglich!

Von Phising Seiten bis zu Botnetz Angriffen auf andere.

Hi,

Zitat von mont-bit

ich hatte das Update "de-DE.joomla1561-all.zip" (250kb) eingespielt und war in der Annahme, dass ich damit von Version 1.5.5 auf die Version 1.5.6 aktualisiert hatte. ...

Damit hast Du nur die deutschen Sprachdateien upgedatet, nicht aber Joomla selber, kein Wunder also dass die Seite gehackt werden konnte...

Das passende Updatepaket bekommst Du hier:
http://joomlacode.org/gf/project/joo...ackage_id=3883
Danach noch das von Dir genannte Paket drüber kopieren damit auch die deutschen Sprachfiles wieder aktuell sind.