Thema: mod_mainmenu.php Hack Verständnisfrage

Moin.

Zitat von RasCas

Jetzt meine Frage, ist die dort dargestellte Veränderung - Einfügen von Code zum Nachladen eines Trojaners allein mit einer Sicherheitslücke in Joomla machbar?

Also ohne ftp Zugang?

Leider ist die Antwort: Ja.
Bedingt durch die bisher schon angesprochene Luecke in einigen Komponentendateien, also das Fehlen der VALID_MOS Ueberpruefung, ist/war es moeglich per URL der mosConfig_... einen anderen Wert zu uebergeben. Da diese Variable meist in includes verwendet wird, wird hier versucht eine externe Datei zur Ausfuehrung unterzuschieben. Sofern dann noch Shellzugriffe fuer PHP bzw. passthrough/fopen und Co moeglich sind, kann man ohne FTP vom angesprochenen Server aus eine Datei "nachladen" und mit den Rechten des Webspace/Servers abspeichern.

Da bei Dir wohl die Schreibrechte auf die Dateien bestanden wurde entweder schlicht die betreffende Datei ausgetauscht od. ueber das nachgeladene Script gepatcht.

Man kann nun hingehen und schauen ob alle Komponentenfiles diese VALID_MOS Abbruchpruefung enthalten, einen entsprechenden mosConfig... in der URL verbietenden htaccess Block bauen, und/oder alle Files des Space im Normalzustand nur zum Lesen freigeben.

Gruss
Phil.