+ Antworten
Ergebnis 1 bis 8 von 8

Thema: Versteckte Links in Joomla 1.7.2

  1. #1
    Neu an Board
    Registriert seit
    25.04.2012
    Ort
    Langau, Österreich
    Beiträge
    4
    Bedankte sich
    5
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard Versteckte Links in Joomla 1.7.2

    Liebe Leute,

    bevor ich in den sauren Apfel beiße und meine Joomla-Site komplett neu aufsetze, möchte ich es doch noch hier probieren. Vielleicht kann mir ja jemand helfen.

    Vor ca. 3 Wochen ist mir aufgefallen, dass im Sourcecode der Startseite am Ende (vor dem </body> Tag) Folgendes eingefügt wird:

    HTML-Code:
    <div id=ln577>
    Schadcode entfernt
    Versteckte Links also, die mit einem begonnen haben und im Laufe der Zeit mehr geworden sind. Eine kurze Zeit war auch ein Link auf "bebystrip****" (oder so ähnlich) dabei, der aber sehr bald wieder verschwunden war. Trotz intensiver Suche in den Access- und ftp-Logs und diverser anderer Aktionen (Template gewechselt, PlugIns und Module abgedreht, Datenbank kontrolliert, Code inspiziert, Images auf ihren Inhalt überprüft, ...) war es mir nicht möglich herauszufinden, wo dieser div in Joomla! eingebaut wird. Wenn ich mir in der index.php nach dem Rendern bzw. vor und nach der Ausgabe des generierten HTML-Codes (letzte Anweisung in der index.php = echo $app) diesen mit JResponse::getBody() ansehe, dann ist der verdächtige div jedenfalls an dieser Stelle noch nicht im HTML-Code enthalten.

    Das Problem tritt wie schon gesagt nur bei der Startseite auf oder wenn die Seite mit "www.meinedomain.at" aufgerufen wird. Beim Aufruf von "www.meinedomain.at/index.php" sind die versteckten Links nicht vorhanden. Die Links sind außerdem nicht vorhanden, wenn ich in der .htaccess kein php-cgi verwende, also den Aufruf "AddHandler php5-cgi .php" auskommentiere.

    Ich weiss, dass ich Joomla! längst updaten hätte sollen, ich habe noch immer die Version 1.7.2 im Einsatz. Aber da es sich um ein kleines Sommerfestival handelt, bin ich nur einmal im Jahr intensiver mit der Website beschäftigt und es war wie immer dringend, schnell das neue Programm online zu stellen, was natürlich alles keine Entschuldigung dafür ist, die Sicherheitsmaßnahmen außer acht zu lassen und das System nicht auf die neuesten Versionen zu aktualisieren. Vielleicht veranlasst es den einen oder anderen genau dies zu tun, wenn er das hier von einem Betroffenen liest.

    Nach Analyse der Logfiles, soweit es mir möglich war, konnte ich Folgendes rekonstruieren:
    Am 01.03.2013 hat sich ein Besucher mittels direktem Aufruf von "GET /index.php?option=com_users&view=registration HTTP/1.1" als User registriert. (Das Formular ist nicht über einen Menüpunkt aufrufbar).
    Irgendwie hat es dieser User dann geschafft, Administratorrechte zu bekommen und wie ich vermute in weiterer Folge obigen Hack einzubauen.
    Als ich danach suchte war der User zwar nicht mehr im System, ich habe aber eine Newsletteranmeldung (Komponente jnews) mit demselben Zeitpunkt wie die Userregistrierung gefunden. In der Datenbank fand ich dann noch in der Tabelle user_usergroup_map die ID des registrierten Users gelinkt zu den Gruppen Newsletter und Administrator (das hat er wohl übersehen).

    Auffällig (leider erst im Nachhinein) war auch, dass im Backend ein Modul FX_PREVIEW installiert war, das laut Beschreibung ISBN-Nummern (oder so ähnlich) darstellt und an das ich mich nicht erinnern konnte, es installiert zu haben. Es war nicht aktiv und ich habe es irgendwann deinstalliert.

    Viel mehr konnte ich nicht in Erfahrung bringen. Aber vielleicht hat jemand schon ein ähnliches Problem gehabt und kann mir einen Tipp geben, wo ich den Hebel ansetzen könnte.

    Vielen Dank & liebe Grüße
    roglru
    Geändert von roglru (11.04.2013 um 14:27 Uhr)

  2. #2
    Gesperrt
    Registriert seit
    26.01.2013
    Beiträge
    1.407
    Bedankte sich
    30
    Erhielt 290 Danksagungen
    in 280 Beiträgen

    Standard

    Also: zunächst die schlechte Nachricht - deine Seite wurde gehackt. Das bedeutet im Normalfall: Joomla-FAQ 2.6, Flottes Liste abarbeiten. ABER: die gute Nachricht ist, dass deine Joomla-Version dermaßen veraltet ist (die Versionsreihe 1.7 wird seit 2+ Jahren nicht mehr supportet und ist mit Sicherheitslücken behaftet), dass sich die Herangehensweise einer Reparatur überhaupt nicht lohnt. Für dich ist der einfachste und schnellste Weg, wieder an eine funktionsfähige Seite zu kommen, der, dass du sie mit Joomla 2.5.9 komplett neu baust. Und dann machst du bitte regelmäßig Updates - sowohl beim Core als auch bei den Erweiterungen, sonst kommst du nämlich in wenigen Wochen wieder an und jammerst, dass deine Seite gehackt wurde.

  3. Erhielt Danksagungen von:


  4. #3
    Neu an Board
    Registriert seit
    25.04.2012
    Ort
    Langau, Österreich
    Beiträge
    4
    Bedankte sich
    5
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Nun, 1.7 wird, soweit ich recherchieren konnte, seit Feb. 2012 nicht mehr unterstützt und ich möchte hier keine Diskussion über Sicherheitslücken führen. Jede Version hat welche. Ich geb dir aber recht, dass die Wahrscheinlichkeit gehackt zu werden bei einer neueren Version sicher kleiner ist. Das Upgrade auf 2.5.9 habe ich schon lokal getestet und es hat problemlos funktioniert. Ich habe noch gewartet, weil ich kein Backup von den Dateien habe und daher das Template nicht übernehmen kann. Habe halt gehofft, dass es doch eine Reparaturmöglichkeit gibt und interessiert hätte es mich auch, wie der div in den HTML-Code kommt.

  5. #4
    Wohnt hier Avatar von Joomla-Hilfe
    Registriert seit
    12.08.2010
    Beiträge
    4.157
    Bedankte sich
    110
    Erhielt 1.258 Danksagungen
    in 984 Beiträgen

    Standard

    Zitat Zitat von roglru Beitrag anzeigen
    Nun, 1.7 wird, soweit ich recherchieren konnte, seit Feb. 2012 nicht mehr unterstützt und ich möchte hier keine Diskussion über Sicherheitslücken führen. Jede Version hat welche.
    Deine Version hatte eine Zero-Days-Lücke, das heißt, die Lücke war so groß, daß SOFORT nach dem Bekanntwerden ein Update erschien, sogar eins ohne die übrigen Bugfixes, die bis dahin erledigt waren. Die kamen erst in der nächsten Version. Die Lücke war so leicht nutzbar, daß das jeder Depp mit der richtigen Anleitung konnte, ohne besondere Werkzeuge oder Kenntnisse.

    Genau diese Lücke hat jemand bei dir ausgenutzt. Von meiner Seite kein Mitleid.
    Danke?

    Stell dir vor, es geht, aber keiner kriegt's hin.
    In vielen Fällen bleibt der Hirntod jahrelang unbemerkt. (Nuhr)

  6. Erhielt Danksagungen von:


  7. #5
    Neu an Board
    Registriert seit
    25.04.2012
    Ort
    Langau, Österreich
    Beiträge
    4
    Bedankte sich
    5
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Das mit der Zero-Days-Lücke wusste ich nicht und hab das auch nirgends so drastisch gelesen. Ich hab die Website von jemand anderen so übernommen. Und bei einem neuen System geht es zunächst mal darum, dass man das Layout und den Content hinbekommt, bevor man sich um das ganze Drumherum kümmern kann. Dass Joomla nicht das sicherste CMS ist, hab ich gehört, aber für die Homepage eines kleinen Vereins fand ich das nicht so kritisch. Deine Aussage schreckt mich aber jetzt schon und da kommt mir schon ein Umstieg auf ein anderes System in den Sinn. Bin froh, dass ihr klar Worte findet.

  8. #6
    Gehört zum Inventar
    Registriert seit
    17.09.2008
    Ort
    München
    Beiträge
    7.827
    Bedankte sich
    758
    Erhielt 2.543 Danksagungen
    in 2.207 Beiträgen

    Standard

    Dass Joomla nicht das sicherste CMS ist, hab ich gehört, aber für die Homepage eines kleinen Vereins fand ich das nicht so kritisch. Deine Aussage schreckt mich aber jetzt schon und da kommt mir schon ein Umstieg auf ein anderes System in den Sinn.
    Du hast das völlig falsch verstanden. Denkst du denn, Hacker schauen sich eine Seite an, bevor sie eindringen? Jedes CMS ist unsicher, wenn es nicht gewartet wird. Bau eine statische Seite auf, ohne CMS.

  9. Erhielt Danksagungen von:


  10. #7
    Wohnt hier Avatar von Joomla-Hilfe
    Registriert seit
    12.08.2010
    Beiträge
    4.157
    Bedankte sich
    110
    Erhielt 1.258 Danksagungen
    in 984 Beiträgen

    Standard

    Zitat Zitat von roglru Beitrag anzeigen
    Dass Joomla nicht das sicherste CMS ist, hab ich gehört,
    Da hast du was Falsches gehört. Joomla ist mindestens genau so sicher wie jedes andere CMS. Wenn Sicherheitslücken bekannt werden, werden sie in Rekordzeit geschlossen.

    Unsicher sind Webmaster, die Sites mit Sicherheitslücken weiterbetreiben und nicht updaten. Davon gibt es bei Joomla mehr als bei anderen CMS, das ist richtig. Dafür können aber weder das CMS noch die Programmierer etwas.
    Danke?

    Stell dir vor, es geht, aber keiner kriegt's hin.
    In vielen Fällen bleibt der Hirntod jahrelang unbemerkt. (Nuhr)

  11. Erhielt Danksagungen von:


  12. #8
    Neu an Board
    Registriert seit
    25.04.2012
    Ort
    Langau, Österreich
    Beiträge
    4
    Bedankte sich
    5
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Daumen hoch

    Um das Thema abzuschließen - ich werde die Webseite mit Joomla 2.5.9 von scratch neu aufbauen.

    Ich danke allen herzlich für die Infos und Links. Es ist schon beeindruckend, wie ihr den Support hier checkt.

    Liebe Grüße
    roglru

+ Antworten

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein