Thema: Gehackt durch Extcal !

Zitat von bjoernherold

meine Seite wurde heute nach gehackt. Die Widerherstellung war einfach, ich musste nur die index.php wieder herstellen.

Woher weisst Du das, dass Du nur die index.php widerherstellen brauchst/musst?

Zitat von bjoernherold

Beim Download meldet der Virenscanner einen Linux Virus (Name weiß ich leider nicht mehr genau). Provider ist 1&1.
Der Virus wurde auf jeden Fall im Upload Ordner des Extcal abgelegt.
Ich vermute stark, dass im Extcal eine Sicherheitslücke existiert.

Widerspricht irgendwie Deinen obigen Angaben. Ist wohl doch etwas mehr passiert.

Mein Vorschlag:
1. Hoster benachrichtigen
2. FTP-Zugangsdaten ändern
3. Alles platt machen und neu (Backup) aufspielen - aber mit neuen Zugangsdaten!

Aber vor allem nach der Sicherheitslücke suchen (Joomla 1.08 updaten!), sonst hast'e die nächsten Tagen wieder unhöflichen Besuch

Benutz einfach mal die Suche zu dem Thema....

Hallo zusammen,

so, der Verdacht mit dem Extcalendar wurde von 1und1 bestätigt. Hier die 1&1 Meldung:

> wir registrierten vor kurzem einen Hackversuch auf unseren Servern, der
> von Ihrer Präsenz ausging. Der Angreifer versuchte, sich durch
> Sicherheitslücken in den von Ihnen verwendeten Scripten Zugriff zum
> Server zu verschaffen. Es ist davon auszugehen, dass der Angreifer
> Zugriff auf Ihre Daten erhalten konnte.
>
> Bitte sichern Sie Ihre Scripte zeitnah gegen Missbrauch ab und entfernen
> Sie ggf. von Dritten hinterlegte Dateien.
>
> Ursache des Angriffs ist anscheinend eine Sicherheitslücke in der Datei
> /components/com_extcalendar/extcalendar.php. Diese erlaubt über den
> Parameter mosConfig_absolute_path eine sog. code injection.
>
> Normalerweise sollte dieses Script nur im Kontext des CMS aufgerufen
> werden. Anscheinend fehlt am Anfang dieses Scripts eine Abfrage, die den
> direkten Aufruf unterbindet:
>
> /** ensure this file is being included by a parent file */
> defined( '_VALID_MOS' ) or die( 'Direct Access to this location is not
> allowed.' );

Kann jemand genaueres damit anfangen ? Ist das jetzt ein generelles Extcal Problem oder mein Fehler ?

Gruß,

Björn

Dies ist nicht den Fehler, sondern ein Problem von Extcal. Diese Angriffe häufen sich in den letzten Tagen. Joomla hat zwar in den letzten Wochen einen Großteil seiner Sicherheitslücken repariert, aber das hat noch nicht zwingend Einfluss auf die Extensions, die du auf deiner Plattform installiert hast.

Was dein Hoster dir mitteilen will, ist dass über deinen Extcal fremde Leute sich über den Parameter mosConfig_absolute_path Zugriff auf deine Website beschaffen können, und hierdurch beliebige Befehle ausführen können (Injections).

Bei mir ist das mit der Komponente PhpBB passiert, ist also kein alleiniges Problem von Extcal.

Ich kann koenig.ludwig nur zustimmen. Nur die index.php auszutauschen wird vielleicht nicht reichen. Du solltest (meiner Meinung nach) ein altes Backup deiner Seite aufspielen. Wichtig ist, dass Du deine Passwörter änderst, da Du nicht weißt, zu welchen Information sicht Zutritt beschafft wurde.

Und Extcal solltest Du vorerst runter nehmen. Vielleicht gibt es ja bereits eine neue Version, die diese Sicherheitslücke behoben hat.

Alex

Hallo Leute,

ich hatte vor zwei Tagen einen Angriff über extcalendar mit einem versteckten script in der textdatei c99.txt.
Beim ersten Angriff wurde "nur" die configuration.php überschriben.

Danach habe ich alles gesichert (zum glück), alle PW geändert und Joomla auf 1.0.10
umgestellt.

Ebenfalls habe ich das in der extcalendar.php den Eintrag "defined( '_VALID_MOS' ) or die( 'Direct Access to this location is not allowed.'..." vorgenommen und die betroffene Global Variable einfach gelöscht.

Den Admin Bereich habe ich seit Beginn mit .htaccess geschützt.

So, jetzt dachte ich, alle sei "relativ" sicher. Denkste!

Vor ein paar Stunden wurden durch die gleiche Art und Weise fast alle Dateien auf meinem FTP gelöscht! Hierbei handelt es sich um ca. 2,5 GB!! (So Hacker, jetzt kannst du Dich freuen)

Also: Entfernt Extcalendar, sofern es keine Lösung gibt!!!
In das Verzeichnis "components" wurden auch noch modifizierte php und html dateien eingefügt!

Ich bin gerade dabei, wieder alles aufzubauen - und dass kann dauern.

Wenn jemand neue Infos hat - besonders was den extcalendar anbelangt (schließen der Lücke), dann schreibt das bitte.

So - weiter gehts....

Gruß