Thema: Joomla 1.5.20 gehackt (keine Erweiterungen!)

Hallo allerseits,

ich möchte mal ein Log eines Hacks auf ein Joomla 1.5.20 zeigen, bei dem ich nicht so recht weiss was passiert ist. Das Joomla hat keinerlei Erweiterungen von Drittanbietern - stellt also die aktuell als sicher geltende Version dar. Dennoch wurde es gehackt. Es wurde eine Shell installiert.
Hier ein anonymisiertes Log aller POST Anweisungen und aller sonstigen Einträge. Ein FTP-Zugriff gab es nicht. Mich würde interessieren, ob es bereits ähnliche Erfahrungen anderer User gibt

Scheint sich um dieses Plugin zu handeln: http://extensions.joomla.org/extensi...te-access/4201

Gruß

Ja korrekt, das sind keine CORE-Dateien. Diese wurden über den Angreifer installiert. Siehe "com_installer" Aufruf. Diese Files (banip/dd usw) waren vor dem Angriff nicht vorhanden.
Es konnte sich also jemand ohne augenscheinliche Probleme einloggen:

[01/Oct/2010:18:20:10 +0200] "GET /index.php?option=com_user&view=reset&layout=confir m HTTP/1.1" 200 6236 "-" "Mozilla/3.0 (compatible; Indy Library)"
[01/Oct/2010:23:30:18 +0200] "GET /administrator/index.php HTTP/1.1" 200 4253 "-" "-"
[01/Oct/2010:23:30:21 +0200] "POST /administrator/index.php HTTP/1.1" 303 - "-" "-"
[01/Oct/2010:23:30:22 +0200] "GET /administrator/index.php HTTP/1.1" 200 17157 "-" "-"

Zitat von Joomla-Hilfe

Ich sehe ständig solche Versuche in den Logs. Sie zielen darauf ab, mit zufällig generierten Passwörtern am Login vorbeizukommen. Bei ausreichend vielen Versuchen steigt natürlich die Wahrscheinlichkeit, daß einer tatsächlich trifft.

Dann sollte das generierte Passwort wohl am besten 10-20 Stellen besitzen statt nur 6-8

PS: hast du den Benuzternamen des Admin geändert? Damit wird die Hürde auf jeden Fall größer.

Zitat von progandy

Dann sollte das generierte Passwort wohl am besten 10-20 Stellen besitzen statt nur 6-8

PS: hast du den Benuzternamen des Admin geändert? Damit wird die Hürde auf jeden Fall größer.

Da hat uns in dieser Woche der Dozent bei einem IT Seminar, im Zusammenhang mit W-LAN erzählt, das Passwörter ab einer Länge von32!!! Zeichen als sicher gelten.

Ich habe bereits vor längerer Zeit alle Adminnamen geändert und die Passwörter alle auf eine Länge von 16 Zeichen eingestellt.

Bisher hatte ich glücklicherweise noch keine Probleme.

Tach zusammen.
Handelte es sich denn um eine direkte Neuinstallation von 1.5.20 oder ein von < 1.5.6 hochgepatchte Version? Dann könnte beim Update ausgerechnet das/die verwundbaren() File(s) nicht überschrieben worden sein, augenscheinlich aber alles auf aktuellem Stand gewesen sein (ich weiß ja, dass Du bei Dir kein wwwrun-Problem hast, aber FTP-Übertragungsfehler schließt das trotzdem wohl nicht aus, oder?). So wäre der Hack weiterhin über die bekannte Lücke möglich gewesen. Nur mal so herumgesponnen

Ich weiss nicht wie das Web entstanden ist, ob durch hochpatchen oder direkt Installation. Zum Zeitpunkt des Hacks war es ein V1.5.20. Das ist es ja was mich beunruhigt.
Vorrausgesetzt das Joomla ist noch sicher und die Dateien alle aktuell in der Version 1.5.20, kann es eigentlich nur über das Abfangen der Email zustande gekommen sein. Das würde auch den relativ großen zeitlich Abstand der erste PW-Reset-Anfrage und den folgenden Aktionen erklären.