Thema: Websites gehackt - Verschiedene Installationen, gleicher Hack

Hallo!

Ich habe eine relativ neue Site (www.***.at) mit Joomla 1.7.3 und eine von meinem Vorgänger übernommene Site (www.****.at - wird gerade neu gemacht, alte Version ist nur noch einige Tage online) mit Joomla 1.0.12 bei emerion online. Nun ist ca. zu Weihnachten bei der 1.7.3 Website das erste Mal das Problem aufgetreten, dass in der index.php der Joomla Installation sowie des Templates ein Code dieser Art:

<?php $**=str_rot13('***');$a4eebc9805216d=str_rot13(str rev('rqbprq_46rfno')); eval(****))); ?>

eingebettet war. Dadurch wurde ein php Fehler ausgegeben - die Site war nicht mehr erreichbar. Emerion konnte mir nicht wirklich weiterhelfen, es wird mir gesagt es läge an einer Joomla-Sicherheitslücke oder einem fehlerhaften Plugin. Ich (und auch emerion) habe bei den geänderten Dateien kein auffälliges Änderungsdatum feststellen können - lt. Datum waren noch im Originalzustand. Es gibt meines Wissens nach kein Plugin, dass auf beiden Seiten verwendet wird, bei bubla.at ist zusätzlich noch der FTP-Zugang deaktiviert - alle Erweiterungen sind auch auf dem neuesten Stand.

Hat einer von euch so ein Problem schon mal gehabt? Was könnte die Ursache sein? Wie könnte ich die Sache in den Griff bekommen? Vor allem: Wie könnte ich mich in Zukunft vor so etwas schützen??

Besten Dank schon mal im Voraus!!!!!

Wir reden hier von Joomla 1.0.12 - uralt und absolut nicht mehr sicher !!!
Wenn ein Angreifer sich da Zutritt verschafft ist es ihm mit hoher Wahrscheinlichkeit auch möglich andere
Installationen auf dem selben Webspace zu attackieren.

Nimm die 1.0.12er Installation sofort vom Netz !!!! Zum Schutz deines eigenen Geldbeutels ! ;-)
Die 1.7.3 kannst du dann ja aus einer Sicherung wiederherstellen , bzw. neu aufsetzen.

Hallo und willkommen im Forum.
Was wie zu tun ist steht in den FAQ Abschnitt 2.6 und er darin verlinkten Liste. Dass über die unsichere 1.0.12 gehackt wurde ist sehr wahrscheinlich, stand das Update auf die halbwegs sichere 1.0.15 doch schon 4 Jahre ungenutzt bereit. Sicherheit gibt aber wie immer nur eine Analyse der Serverlogs. Ohne sauberes Backup gehts sowieso nicht. Und erst einmal dringend die beiden Webvseiten vom Netz nehmen.

P.S.: Die Links und den Schadcode habe ich mal entschärft. Bitte nicht hier posten.

könnte auch sein, dass ein FTP-Zugang komprimitiert ist. Backdoor-Trojaner, sprich verseuchte PC's die Zugang zu beiden Seiten haben.

Geh davon aus, das die Webs schon länger gehackt waren und das es mehrere Backdoors gibt, über die sich die Angreifer Zutritt verschaffen und das immer wieder. Solche Links werden weitergegeben und von mehreren genutzt. Das es Angreifer urspünglich mal über FTP Zugang kamen ist nicht auszuschließen und solltest Du auf jeden Fall untersuchen.

Die beiden Seiten liegen in zwei getrennten Webspaceaccounts, aber beim selben Hoster und auf demselben Server?
Natürlich ist es denkbar das dann auch ein Sicherheitsproblem auf dem Server dafür verantwortlich ist, das Nachbarwebs auch auf fremde Accounts übergreifen können. Ich würde jedoch zunächst einmal davon ausgehen, das dies nicht das Problem ist. Ganze Server werden heutzutage systematisch auf unsichere Scripte abgesucht. Es werden also gleich viele Domains einer Maschine vom selben Angreifer untersucht. Solche Versionen wie Du sie offensichtlich einsetzt, sind natürlich ein gefundenes Fressen für jeden Script-Kiddie...
Das auch ein Joomla 1.7.3 betroffen ist kann viele Ursachen haben: Trotz aktuellem Core unsichere Drittanbiter komponenten? Ist fast immer der Fall..
Oder gleiche Passwörter benutzt? Oder eben FTP...siehe oben.
Du wirst den Angreifer vermutlich nicht los, wenn Du nicht herausbekommt was die tatsächliche Ursache war.
So lange das nicht der Fall ist, sollten alle angegriffenen Seiten unbedingt sofort vom Netz (nicht nur offline schalten).

Zitat von blackandevil

Komponenten/Module sind und waren alle auf dem neuesten Stand und nicht in der Liste der unsicheren Erweiterungen...

Na da git es verschiedene Listen und Seiten wo man sich informieren kann. Leider keine wirklich zentrale Informationsquelle.