Sollte es das "original" Script von http://perqafohu.com/~armendibx/oki/lol.txt sein,Zitat von tkd
nimmt es keine Manipulation an Daten vor, was jedoch nach der Installation des IRC-Bots passiert das weiss wohl nur der Bot-Operator...
Nach Root-Kits scannen wäre schon mal nicht schlecht, ausserdem hilft ein IDS-System
bei sowas wahre Wunder
Das man alle Passwörter ändert und nach neuen Usern in MySQL etc. schaut
sollte natürlich auch bereits klar sein
Zur Lösung des Problems...
... ist hier leider noch nicht viel geschrieben worden.
Wenn ich hier und da zu dem Thema gelesen habe, dann wurde mir ein Update auf Version 1.4.7 nahe gelegt. Das habe ich nun auch runtergeladen, habe aber nur die Dateien im Order /components/com_facileforms mit den neuen überschrieben, um die Daten in der Datenbank nicht zu gefährden.
Weiß jemand, ob das ausreicht?
Vielen Dank und Grüße,
Thomas
Hallo Thomas,
eigentlich kannst Du ohne Probleme FF deinstallieren und dann die neue Version wieder installieren, da die Daten in der Datenbank bei der Desinstallation nicht gelöscht werden!
Wichtig ist jetzt, dass Du die Datei "facileforms.frame.php" im Verzeichnis "/components/com_facileforms/" löscht.
Viele Grüße
Holger
eine kurze Frage: Wenn einige hier schreiben, sie seien gehakct worden. Heißt das dann, dass deren Seite und die Datenbak gelöscht worden sind??
2.) Kann man das verhindern, in dem man den Vögeln keinen Zugriff auf den administrator Ordner gibt, in dem etwa der administrator-ordner mit htaccess geschützt wird?
Meistens löschen die nix, sondern defacen, d.h. sie stellen Ihr Logo auf die startseite oder verlinken zu anderen Seiten. Das ist aber "gut" denn Du siehst sofort das was nicht stimmt. Schlimmer ist es wenn sie ein backdoor,rootkit oder ähnliches installieren und dann Deinen Server z.B. zum Spam versenden nutzen. Das muss Dir nicht sofort auffallen, und auch ein schwacher Server kann in kurzer Zeit tausende von Emails absetzten.
Jain. Der htaccess schutz verhindert nur das direkte zugreifen über die URL, skripte und serverprogramme interessiert das jedoch herzlich wenig.2.) Kann man das verhindern, in dem man den Vögeln keinen Zugriff auf den administrator Ordner gibt, in dem etwa der administrator-ordner mit htaccess geschützt wird?
Du kannst also das eindringen über die php dateien im admin verz. verhindern, aber nicht das wenn jemand Dein joomla gehackt das hat er diese Dateien verändern kann.
Das kann aber auch einhergehen, d. h. auch nach einem Defacement können Dateien auf dem Server zurückgelassen werden, die einen späteren Zugriff oder weitere Aktivitäten im Hintergrund ermöglichen.
Gruß
marvin42
Here I am, brain the size of a planet, and they ask me to take you to the bridge. Call that job satisfaction, 'cause I don't.
Ja natürlich, das ist wohl leider auch die regel das da irgendeine php-shell oder ein Bot zusätzlich installiert wird. Darum sollte man nach einem erfolgreichen Angriff ja auch alles löschen.
Beim defacing (von scriptkiddies) geht es ja meistens um die egosteigerung einiger kranker realtiätsferner subjekte die wohl sonst nirgends erfolg haben und sich und den anderen gestörten beweisen wollen das sie ganz ohne einsatz des eigenen hirnschmalzes toll mit ner maus klicken können um damit andere zu ärgern.
Der "vorteil": Dabei merkt man auch als nicht ganz so versierter Homepagebetreiber schnell das was nicht stimmt.
Wenn irgendein programm oder skript unbemerkt im Hintergund läuft und sonst nichts verändert wurde gibt es bestimmt den ein oder andern der das nicht sofort merkt. (von techniken wie rootkits mal ganz abgesehen).
Unfassbar: Retro-Kids
Der Thread ist nun ein Jahr alt und man könnte meinen, dass dieses Thema sich erledigt hätte. Weit gefehlt! In den letzten zwei Tagen haben "Hacker" mit sehr viel Zeit versucht, über FacileForms den Webserver eines Kunden von mir zu kompromitieren. Auch wenn dies hier (knock, knock, knock) keinen Erfolg hatte, befürchte ich, dass es immer noch genügend veraltete Installationen gibt. Vielleicht sind die Sicherheitslücken von vor drei Jahren wieder hochaktuell? Also: Augen auf.
Wolfgang Abbas | www.ABBAS-MEDIA.com
Oh ja, das kann ich bestätigen.
Ich bekomme seit dem Wochendende mittlerweile alle 5 Minuten einen Spameintrag, und das, obwohl ich Captcha verwende.
Das Ganze habe ich heute erst lösen können, indem ich alle Formulare von der Seite entfernt und die Komponente deaktiviert habe.
Safe Mode ist ON, Register Globals und alle anderen Dinge in jedem Unterornder über eine php.ini geregelt.
Falls jemand zwischenzeitlich eine Lösung für das Treiben dieser schwachsinnigen Spamkiddies hat - ich wäre dankbar
LG
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen