+ Antworten
Ergebnis 1 bis 7 von 7

Thema: Frage zu einem Hack - lücke finden

  1. #1
    Hat hier eine Zweitwohnung Avatar von joesto
    Registriert seit
    02.05.2011
    Ort
    23701
    Alter
    45
    Beiträge
    1.202
    Bedankte sich
    283
    Erhielt 181 Danksagungen
    in 163 Beiträgen

    Standard Frage zu einem Hack - lücke finden

    Moin,
    was nach einem Hack zu machen ist weis ich ja....

    lt. Provider ist es diese Datei die das verursacht hat... /media/com_admintools/menu.php
    die gehört da ja nicht hin - unten ein auszug aus der Log-Datei wo diese Datei das erstmal auftaucht.... bdeutet das jetzt das die Lücke in admintools war ? oder wie kann ich die Lücke finden.. ?

    Code:
    97.74.24.136 - - [24/Aug/2016:21:39:57 +0200] "POST /media/com_admintools/menu.php HTTP/1.0" 200 72 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36" 405 231
    Geändert von joesto (09.09.2016 um 09:53 Uhr)

  2. #2
    Wohnt hier Avatar von JoomlaWunder
    Registriert seit
    03.03.2010
    Ort
    Nordseeküste
    Beiträge
    4.839
    Bedankte sich
    201
    Erhielt 1.223 Danksagungen
    in 1.190 Beiträgen

    Standard

    Die Ursache kann bzw. wird wohl ganz wo anders liegen. Letztendlich müsste sich das aber jemand anschauen, der Erfahrung hat. Ich bin's nicht.
    Gruß!
    JoomlaWunder
    Kein Support per PN!
    Konnte ich helfen? -> Dann bitte den "Danke"-Button klicken!

  3. Erhielt Danksagungen von:


  4. #3
    Gehört zum Inventar Avatar von Re:Later
    Registriert seit
    21.04.2014
    Ort
    Berlin
    Beiträge
    5.673
    Bedankte sich
    152
    Erhielt 2.207 Danksagungen
    in 1.977 Beiträgen

    Standard

    Der Log-Auszug sagt lediglich, dass die anderweitig hochgeladene Datei menu.php verwendet wurde. Die hätte sonstwo liegen können. Vermutlich liegen an mehreren Stellen im Webspace Schaddateien unterschiedlicher Art.

    "lt. Provider ist es diese Datei die das verursacht hat"
    Das ist in dieser Absolutheit Schmarrn.
    Geändert von Re:Later (25.08.2016 um 13:25 Uhr)
    Joomlafachmann: https://www.ghsvs.de

  5. Erhielt Danksagungen von:


  6. #4
    Moderator Avatar von flotte
    Registriert seit
    20.03.2005
    Ort
    Neustadt
    Beiträge
    6.439
    Bedankte sich
    122
    Erhielt 1.893 Danksagungen
    in 1.484 Beiträgen

    Standard

    Zitat Zitat von joesto Beitrag anzeigen
    Moin,
    was nach einem Hack zu machen ist weis ich ja....
    Du hast schon mal in das Webserverlog geschaut - OK :-)
    ... und nach einem Aufruf der Datei menu.php gesucht. Das ist ein erster Schritt. Verfolge nun die IP die dort steht und sieh was dort gemacht wurde. Filter nach allen POST-Zugriffen. Schau nach dem Erstellungsdatum der gefundenen Schadcodedateien (geht nur unter Lunux selbst) und schau in die zeitlich passenden Bereiche der Logs (Webserver + FTP). Besonders POST-Zugriffe beachten. Filter im Webspace nach Dateien die zuletzt erstellt wurden oder in passende Zeitfenster passen. Das geht nur wirklich effektiv direkt mit Shellzugriff auf dem Server.

    Das sind jetzt nur kurze Hinweise wie es weitergehen kann. Weitere Vorgehensweisen hängen davon ab was man bei diesen Recherchen weiter so findet.

    Die Aussage Deines Providers ist schlicht falsch. Da wurde lediglich auf (vermutlich nur eine) der sichtbaren FOLGEN eines Hacks hingewiesen, aber nicht auf die URSACHE.
    Die Folgen eines Hacks kann man beseitigen, aber du hängst dann in einer Endlosschleife solange die Ursache/Sicherheitslücke nicht gefunden wurde oder alle bereits hinterlegten anderen Backdoors, wird es immer neue Folgen weiterer Hacks geben. Auch Monate später werden Angreifer die Backdoors noch nutzen, wenn die nicht entfernt werden - das ist so sicher wie der Tod.

  7. Erhielt Danksagungen von:


  8. #5
    Wohnt hier Avatar von WebWorker Berlin
    Registriert seit
    03.02.2013
    Ort
    Berlin
    Beiträge
    2.402
    Bedankte sich
    432
    Erhielt 494 Danksagungen
    in 444 Beiträgen

    Standard

    Wenn ich mich recht erinnere, ist das ja bei Dir nicht das erste mal. Ich vermute mal, das es das letzte Mal oder davor nicht ordentlich bereinigt wurde. Das was man von den Hostern bekommt, sind eigentlich nur Dateien, die eine bestimmte Signatur enthalte. Das heißt nie das das alle Dateien sind die zu einem Hack gehören. Das dort ist daher auch wie schon geschrieben wurde eine Datei die ausgeführt wurde und daher auffiel. Oder sie wurde durch einen Scan aufgespürt. Eine Lücke suchen ist sehr zeitintensiv. Das möchte selten jemand bezahlen.

  9. Erhielt Danksagungen von:


  10. #6
    Hat hier eine Zweitwohnung Avatar von Sieger66
    Registriert seit
    23.05.2010
    Beiträge
    1.782
    Bedankte sich
    14
    Erhielt 464 Danksagungen
    in 436 Beiträgen
    Gelöstes Problem bitte so markieren http://www.joomlaportal.de/forenrege...tel-ndern.html
    Fragen und Antworten zu Joomla in den Joomla FAQ
    - Danke für den Klick auf Danke

  11. Erhielt Danksagungen von:


  12. #7
    Hat hier eine Zweitwohnung Avatar von joesto
    Registriert seit
    02.05.2011
    Ort
    23701
    Alter
    45
    Beiträge
    1.202
    Bedankte sich
    283
    Erhielt 181 Danksagungen
    in 163 Beiträgen

    Standard

    Zitat Zitat von WebWorker Berlin Beitrag anzeigen
    Wenn ich mich recht erinnere, ist das ja bei Dir nicht das erste mal. ........

    Das war aber eine andere Seite auf einem anderen Server



    Das Problem ist inzwischen gelöst.... wegen Unübersichtlichkeit auf dem Webspace ist erst später festgestellt worden das es sich um eine 1.5er Seite handelt.
    Die ist inzwischen komplett gelöscht worden...

    Vielen Dank an alle die geholfen haben...
    Geändert von joesto (09.09.2016 um 09:52 Uhr)

+ Antworten

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein