Joomla 1.5.9 bzw. 1.5.10 GEHACKT!

**msit** · 14.05.2009 09:55

Hallo,

meine Joomla-Inst. wurde mittels BlueC.php (Enthält Erkennungsmuster des PHP-Virus PHP/C99Shell.B) auf dem 1und1-Server gehackt! (nicht nur Joomla, auch 5 andere Seiten!)

Kein Zugang mehr auf das Backend (es kommt nur noch eine leere Seite!)

Hat jemand eine Ahnung, wie ich das momentan erlaubte Registrieren (mittels FTP oder SQL) ausschalten kann???
Backup macht auch keinen Sinn, solange die Server von 1und1 nicht gesichert sind.

Ständig melden sich da jetzt irgendwelche russischen oder albanischen Spammer an!

Schnelle Hilfe wäre schön!

Martin

**N8Surfer** · 14.05.2009 10:08

Einfach mal die Suche nutzen, ergibt zB. folgendes Ergebnis

Link: http://www.joomlaportal.de/search.php?searchid=5245636

**Furyk** · 14.05.2009 10:12

wenn du per phpmyadmin noch auf die datenbank kommst, dann schalte das login-modul doch erstmal aus. findest du in der tabelle jos_modules.

@n8surfer ... der link funktioniert nicht.

**Marcus77** · 14.05.2009 10:19

Hello

wie hast du herausgefunden, welche datei den Hack ausführt ?

meine 1.5.10 er wurde "denke ich" auch gehackt, da ich nach dem WE, keine Kombonenten mehr hatte und auch meine selbst erstellten Templates weg waren

einloggen kann ich mich ganz normal

**msit** · 14.05.2009 10:23

Zitat von Furyk

wenn du per phpmyadmin noch auf die datenbank kommst, dann schalte das login-modul doch erstmal aus. findest du in der tabelle jos_modules.

@n8surfer ... der link funktioniert nicht.

Ich könnte es höchstens löschen, oder?
Bearbeiten Löschen 2 Login 1 login 0 0000-00-00 00:00:00 1 mod_login 0 0 1

Welches Template ist eigentlich zur Anzeige des Backend-Login-Schirms zuständig?
Kann ich das irgendwie restaurieren?

**flotte** · 14.05.2009 10:25

Zitat von Marcus77

meine 1.0.10 er wurde "denke ich" auch gehackt

Bitte hier nicht den Thread kaputt machen. Es geht um was anderes, nicht um ein Uralt-Joomla was man schon aufgrund der CORE-Version in 5 sec hacken kann... (da kann man nur sagen "selbst schuld" *kopfschüttel*). Lesetip 1 2

**msit** · 14.05.2009 10:26

Ich habe mehrere Seiten bei 1und1, auch mit CMSimple, und bei allen steht:
By BeyazKurt | ALBANIAN C0der
R00ted ßaby !

Daraufhin habe ich per JoomlaPack einen Backup auf meinen lokalen Rechner gezogen und der AntiVir hat sofort zugeschlagen. Gleich anschließend konnte ich mich nicht mehr anmelden...

Außer dem BlueC.php waren noch die Dateien .lesshst und .viminfo im Root der Joomla-Seite. Sprich jemand war per VIM (ist ein Editor) auf dem Server

**flotte** · 14.05.2009 10:27

@msit
Zu allererst einmal die Seite unbedingt SOFORT(!) deaktivieren. Offline-schalten reicht nicht! Am besten ein globalen .htaccess-Passwortschutz setzen.
Dann so vorgehen wie im Link in der Signatur zu lesen ist.

Du hast eine PHP-Shell auf deinem Server. Damit kann der Besucher alles auf Deiner Seite und allen anderen Seiten Deines Accounts vollumfänglich verändern.

**Furyk** · 14.05.2009 10:30

Zitat von msit

Ich könnte es höchstens löschen, oder?
Bearbeiten Löschen 2 Login 1 login 0 0000-00-00 00:00:00 1 mod_login 0 0 1

nein, in der tabelle jos_modules den wert published auf 0 setzen. oder besser noch so vorgehen, wie es flotte gesagt hat, die seite erstnal komplett abschalten.

**Marcus77** · 14.05.2009 10:36

Zitat von flotte

Bitte hier nicht den Thread kaputt machen. Es geht um was anderes, nicht um ein Uralt-Joomla was man schon aufgrund der CORE-Version in 5 sec hacken kann... (da kann man nur sagen "selbst schuld" *kopfschüttel*). Lesetip 1 2

Danke für die Antwort, jedoch bin ich aktuell bei dem Beitrag dabei, da ich auch 1.5.10 hab

Thema: Joomla 1.5.9 bzw. 1.5.10 GEHACKT!

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Joomla 1.5.9 bzw. 1.5.10 GEHACKT!

wie ausschalten?

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen