Thema: www.lappsack.de gehackt

Hallo Gemeinde,

die Lappsackseite war in den letzten 24 h 2 mal Ziel eines Angriffes. Habe heute früh die Überreste weggeräumt und die Backdoorprgramme, die ich(morgenmüde) gesehen habe gelöscht und die Sicherung der configuration.php eingespielt. cmod 444 hilft nicht immer....heute nachmittag waren dann die hälfte der componenten weg und die index.html überschrieben...ich hatte die 100% auf cmod444 stehen....es waren ca 10 Backdoor php schripte im componentsfolder...fast alle, wie in der liste, die hier im Forum rumgeistert....

Beim Lesen der Zugrifflogfiles stellt ich fest der Zugriff erfolgte über eine Fernschachkomponete...com_pcchess.....hatte die zur Unterhaltung, wurde viel genutzt, aber...nun ja, habe sie voerst rausgehauen...

wenn ihr den Weg wisst, wie man die configuration.php in den Adminordner sicher unterbringt....sagt mal Bescheid....

Ich finde das nervig, bin aber froh, das ich immer auf eine doppelte Sicherung zurückgreifen kann..

habe eine weiteres Problem, das Gästebuch zeigt keine bilder(die kleine lustigen...email.gif und co) an. Habe die Rechte folder 644 und files auf 444 gestellt? Was ist das falsch?

Zitat von Lappsack

Habe die Rechte folder 644 und files auf 444 gestellt? Was ist das falsch?

Folder 755

Zitat von Lappsack

Beim Lesen der Zugrifflogfiles stellt ich fest der Zugriff erfolgte über eine Fernschachkomponete...com_pcchess

Gehacked wurde wieder über eine 3PD Komponente. Die Verlagerung Deiner configration.php hätte in diesem Fall auch nichts gebracht.

siehe dazu

http://forum.joomla.org/index.php/topic,80013.0.html

Ordner 0755
Files 0644

per default

configuration.php, index.php, index2.php 0400

Zitat von Spider

Bringt aber bei den vielen (sorry) dummen ScriptKiddis etwas sich diese Datei als Ziel raussuchen.
Dann könnte man die Config wo anders hin auslagern und eine Dummy-Config im CMS-Root hinterlassen.

@Lappsack, klingt bei Dir bissel danach das die Leute sich Zugriff via FTP oder Shell verschaffen konnten.
Ich hoffe Du hast alle Passwörter geändert

Cu

Der Zugriff erfolgte via der backdoor php......ich habe die dummerweise nicht gleich gesehen....per ftp oder gar shell war keiner hier...laut log-file....

ich habe sogar eine neue Datenbank(neues Passwort usw.) erstellt und via dump die daten hingeschoben, nur wenn backdoor im System kannst du wenig tun, ausser die dinger zu killen....

Hallo zusammen
Nun, exploit in pccess:
Bei Suche mit google nach pccess gefunden bei milw0rm:
include.pcchess.php bei aufruf von sql injection:
Nachlesen: http://www.milw0rm.com/exploits/5104

Also, der entwickler hat kein Forum mehr und bietet auch keine Downloads aus Zeitgründen an.

Wer hilft mit das Schach neu zu beleben?
Eventuell auf J1.5
Fehlerbereinigung machen
Backend erstellen
Module erstellen
etc.
etc.

Bitte meldet euch hier.