LinkBack URL
About LinkBacksNicht zwingend.Zitat von slowman2008
Über unsichere Erweiterungen kommst Du auch an das Passwort des Admin (genauer: den Hash) und kannst Dich damit im Backend einloggen.
Schon wird im Weblog der Aufruf des Admin-Templates protokolliert.
Moin,
also habe mal die Logfiles gescannt, die um die Tatzeit lagen.
Habe auch nur die POST angesehen. (Post heißt was genau?)
Anbei mal die Logs zur Tatzeit (Domain habe ich ausgetauscht).
Was fällt mir auf.
1. Jede Logzeile beginnt ja mit der URL. Massig logs fangen auch damit an.
Im Tatzeitbereich fängt die URL aber anders an. "XN--......de" Das scheint der FTP Zugang zu sein? Kann das sein? Was dort passierte seht Ihr unten. Sieht aus wie eine Template Änderung.
Die Zugriffe ab 14 Uhr war ich.
xn--DOMAIN.de anon-217-232-95-109.t-dialin.net - - [17/Jul/2010:10:47:28 +0200] "POST /index.php HTTP/1.1" 301 - "http://www.xn--DOMAIN.de/index.php?option=com_content&view=section&layout=b log&id=3&Itemid=8" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; GTB6.5; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"
xn--DOMAIN.de anon-77-29-15-22.ip.invalid - - [17/Jul/2010:12:02:30 +0200] "POST /index.php?option=com_user&task=requestreset HTTP/1.1" 301 - "http://www.xn--DOMAIN.de//index.php?option=com_user&view=reset" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)"
xn--DOMAIN.de anon-77-29-15-22.ip.invalid - - [17/Jul/2010:12:02:45 +0200] "POST /index.php?option=com_user&task=confirmreset HTTP/1.1" 301 - "http://www.xn--DOMAIN.de/index.php?option=com_user&view=reset&layout=confir m" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)"
xn--DOMAIN.de anon-77-29-15-22.ip.invalid - - [17/Jul/2010:12:02:54 +0200] "POST /index.php?option=com_user&task=completereset HTTP/1.1" 301 - "http://www.xn--DOMAIN.de/index.php?option=com_user&view=reset&layout=comple te" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)"
xn--DOMAIN.de anon-77-29-15-22.ip.invalid - - [17/Jul/2010:12:03:05 +0200] "POST /administrator/index.php HTTP/1.1" 301 - "http://www.xn--DOMAIN.de/administrator/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)"
xn--DOMAIN.de anon-77-29-15-22.ip.invalid - - [17/Jul/2010:12:03:24 +0200] "POST /administrator/index.php HTTP/1.1" 200 11242 "http://www.xn--DOMAIN.de/administrator/index.php?option=com_templates&task=edit&cid[]=bvgbh2010&client=0" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)"
xn--DOMAIN.de anon-77-29-15-22.ip.invalid - - [17/Jul/2010:12:03:29 +0200] "POST /administrator/index.php HTTP/1.1" 301 - "http://www.xn--DOMAIN.de/administrator/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)"
xn--DOMAIN.de anon-77-29-15-22.ip.invalid - - [17/Jul/2010:12:03:43 +0200] "POST /administrator/index.php HTTP/1.1" 200 7671 "http://www.xn--DOMAIN.de/administrator/index.php?option=com_templates&client=0&task=edit_ source&id=bvgbh2010" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)"
xn--DOMAIN.de anon-77-29-15-22.ip.invalid - - [17/Jul/2010:12:03:46 +0200] "POST /administrator/index.php HTTP/1.1" 301 - "http://www.xn--DOMAIN.de/administrator/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)"
xn--DOMAIN.de anon-77-29-15-22.ip.invalid - - [17/Jul/2010:12:03:59 +0200] "POST /administrator/index.php HTTP/1.1" 200 20183 "http://www.xn--DOMAIN.de/administrator/index.php?option=com_installer" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:14:37:45 +0200] "POST /administrator/index.php HTTP/1.1" 200 4432 "http://www.xn--DOMAIN.de/administrator/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:14:38:15 +0200] "POST /administrator/index.php HTTP/1.1" 200 4432 "http://www.xn--DOMAIN.de/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
xn--DOMAIN.de anon-80-136-228-222.t-dialin.net - - [17/Jul/2010:14:43:03 +0200] "POST /administrator/index.php HTTP/1.1" 200 4432 "http://www.xn--DOMAIN.de/administrator/" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; de; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:14:49:57 +0200] "POST /administrator/index.php HTTP/1.1" 200 4432 "http://www.xn--DOMAIN.de/administrator/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:14:50:17 +0200] "POST /administrator/index.php HTTP/1.1" 200 4432 "http://www.xn--DOMAIN.de/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:14:50:26 +0200] "POST /administrator/index.php HTTP/1.1" 200 4432 "http://www.xn--DOMAIN.de/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:14:50:34 +0200] "POST /administrator/index.php HTTP/1.1" 200 4432 "http://www.xn--DOMAIN.de/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:14:55:36 +0200] "POST /administrator/index.php HTTP/1.1" 301 - "http://www.xn--DOMAIN.de/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:14:57:58 +0200] "POST /administrator/index.php HTTP/1.1" 301 - "http://www.xn--DOMAIN.de/administrator/index.php?option=com_menus&menutype=menue_oben&tas k=edit&cid[]=1" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:14:58:34 +0200] "POST /administrator/index.php HTTP/1.1" 301 - "http://www.xn--DOMAIN.de/administrator/index.php?option=com_content&task=edit&cid[]=86" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
xn--DOMAIN.de anon-77-11-19-157.mediaWays.net - - [17/Jul/2010:15:06:45 +0200] "POST /administrator/index.php HTTP/1.1" 200 17563 "http://www.xn--DOMAIN.de/administrator/index.php?option=com_templates&task=edit&cid[]=khepri&client=1" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
Hmm, mit diesem Fragment kann man so gut wie nichts anfangen, ein paar GET hätten auch gut getan. Das kann man als Laie aber nicht wissen.
http://de.wikipedia.org/wiki/Hyperte...nsfer_Protocol(Post heißt was genau?)
Eine Analyse des Hacks und die Wiederherstellung des Webs ist hier im Forum nicht möglich. Dazu benötigt man
a) jemanden, der sich damit auskennt (joomlajobs.de)
b) die vollständigen Logs des Web und FTP
c) Zugriff auf die Installation
Der Umstand, daß keine Backups existieren, macht die Lage nicht unbedingt einfacher.
Im Grunde hat der Verein nicht viele Möglichkeiten
a) alles löschen und komplett neu anfangen, dabei auf sichere Erweiterungen achten
b) etwas Geld in die Hand nehmen und einen Profi mit der Wiederherstellung beauftragen
Egal wie man sich im Verien entscheidet, auf jeden Fall sollte die Seite bis zur Klärung vom Netz genommen werden. Das ist Punkt 1 der oben bereits genannten Liste. Sonst kann es ganz schnell ganz teuer werden.
Hei,
OK. Also neu Aufsetzen und die Komp. sowie Module installieren ist ja kein Ding.
Bilder der Gallerien etc. ist auch kein Ding. Halt Arbeit.
Was aber ätzend ist, wäre der Verlust der ganzen Artikel. Ich habe die DB nach dem Hack gesichert. Kann man die 1:1 wieder zurückspielen oder könnte sich auch in der DB etwas befinden, dass den Jungs wieder ermöglicht reinzukommen?
Ja, auch die DB kann Schadcode enthalten.
Die Artikel kannst Du mit Copy&Paste (ist halt Arbeit) übertragen.
Dazu altes Web lokal installieren (xampp).
- Artikel aufrufen, Strg+a, Strg+c,
- tauglichen Editor (pspad, notepad++) aufrufen, Strg-v, speichern als Plain-Text (UTF-8 ohne BOM) damit alle unerwünschten Formatierungen und mglw. versteckter Schadcode verschwinden bzw. sichtbar werden
- wieder Strg+a, Strg+c
- Wechsel ins Zielweb, neuen Artikel erstellen, Strg+v, speichern
Wenn Du identische Extensions installierst, spielst Du mit hoher Wahrscheinlichkeit die Lücke wieder mit drauf, solange Du sie nicht gefunden hast. Eine Frage der Zeit, bis die Site wieder gehackt wird.
Bisher habe ich einige Dutzend Sites repariert bzw bereinigt, ab und zu hab ich auch "verseuchte" Inhalte in der DB gefunden. Die Hacks / Cracks sind vielfältig, und es gibt keine allumfassende Lösung, es muß individuell vorgegangen werden, je nach Analyse.
Das "planlose" Herumdoktorn an einem kompromittierten System ist nicht zielführend, vielleicht sollte sich der Verein wirklich kompetente Hilfe suchen. Die ist übrigens gar nicht mal so teuer, bei im Schnitt 6 Stunden Aufwand inkl. Backups & Sicherheitsprävention bei einer mittelgroßen Installation.
Joomla kaputt? Gehackt? Migration mißlungen? Datensalat?
www.joomla-notdienst.de - Soforthilfe & Webentwicklung
Einsteiger- FAQ - bitte lesen!
Hei,
ich doktore ja nicht. Ich setzte neu auf und richte wieder alles neu her. Es sind auch nicht viele Komp. im Einsatz. Alles sind von joomlaos und dort steht ja oft auch ein info, wenn was unsicher ist. Ich will halt versuchen die ganzen Beiträge zu sichern, damit das nicht neue getippt werden muss.
Die letzte Komp. die eingesetzt wurde war RW_Cards. Vieleicht war es ja das
Ein "vielleicht" hat keinen Platz im Thema Sicherheit, deshalb ist ja die Analyse der Logfiles zwingende Basisarbeit.
Joomla kaputt? Gehackt? Migration mißlungen? Datensalat?
www.joomla-notdienst.de - Soforthilfe & Webentwicklung
Einsteiger- FAQ - bitte lesen!
Darauf kannst Du nicht vertrauen. Pominentes Beispiel aus jüngster Vergangenheit ist CK Forms. Da steht nix von unsicher oder so. Jedoch sind seit 30.06.(!) zwei schwere Sicherheitslücken bekannt.
Auch auf der Seite von CK Forms wird der Download weiterhin angeboten, im dortigen Supportforum keine Reaktion vom Entwickler.
Was ich damit sagen will, guck lieber auf die Seiten der Hacker (exploit-db.com) oder professionellen Security Unternehmen (secunia.com).
Berechtigungen
Zitieren
Lesezeichen