Thema: Pluginliste im Backend öffnet sich nicht

In meinem Joomla öffnet sich im Backend die Pluginseite nicht mehr.
Gemerkt habe ich dies, weil ich ein neues Plugin installiert habe und es dann aktivieren wollte.

Bei meinen Umfragen bei Joomlanern kam dann heraus, dass mir einige Updates fehlten. Ich hatte bis dato Version 1.5.14 (Wie ich erfuhr, scheint es eine häufig vorkommende Krankheit zu sein, zwar die Kundenseiten auf dem neuesten Stand zu halten, die eigenen jedoch zu vernachlässigen).

Man riet mir, ein Update zu machen, womit sich dieses Problem wohl von selbst lösen würde.

Also habe ich mir das Update auf 1.5.20 eingespielt. Dabei stellte ich fest, dass im Root meiner Joomlainstallation Dateien waren, die ich nicht kannte. Auch waren dort Ordner mit gleichem Namen, die ich nicht dort angelegt hatte.

Sogleich fiel mit ein, dass ich vor ca. 1 bis 2 Wochen Emails vom System bekommen habe, dass mein Adminpasswort zurückgesetzt werden sollte und ich dass mit einem Link bestätigen sollte. Was ich natürlich nicht gemacht habe, sondern die Nachricht ignoriert/gelöscht hab.

Hier der Inhalt:

Hallo,
es wurde die Anfrage gestellt, das Passwort Ihres Benutzerkontos Indiana's Board - Don Juan Bootcamps zurückzusetzen. Hierzu müssen Sie uns den folgenden Überprüfungscode übermitteln um sicher zu stellen, dass diese Anfrage legitim war.
Der Überprüfungscode lauten a3445004219e251486673da214a1d9a5.
Klicken Sie auf den folgenden Link um den Überprüfungscode einzugeben und mit dem Zurücksetzen Ihres Passworts fortzufahren.
url
Vielen Dank.


Zuvor habe ich einen Umzug gehabt. Also das gesamte Webspacepaket ist vom Webaccount auf einen VServer umgezogen worden durch meinen Hoster. Auf dem Ursprungswebspace fand ich solche Dateien aber nicht.

Die Dateien hatten das Datum Oktober 2009, wodurch ich zuerst keinen Verdaycht hegte, da ich mich einfach nicht meh rerinnern konnte. Erst durch das Vergleichen mit dem Originalaccount kam dann der Verdacht auf, dass da was Frisches drauf sein musste.

Ich habe dann als erstes meine miserablen Passwörter auf 16-stellig geändert.

Die Dateien habe ich schon vom Account gelöscht und als mein Joomlaner mir sagte, es seien Viren, diese auch von meinem Rechner, wo ich nachgesehen hatte, was in den tgz und ZIP Dateien war.

Aus meinem Chatfenstern konnte ich jedoch eine Liste der Namen herstellen:

Diese waren im Root: (die hab ich auch noch!)
epndomain.txt
ff_secimage.php
link_index.php

Dann gab es zwei mir unbekannte Ordner:

"Wunder_emporium"
"cheddar_bay"

und es waren im ersten Dateien und ein ekliges AVI drin.
Das zweite enthielt nur php-Dateien

Auf dem Root fand ich folgende Dateien

2009-Wunder_emporium.tgz
2009-cheddar_bay.tgz
login.srf_230seen=2003948839_eng=309329....zip

Ich kann wohl davon ausgehen, dass mein Joomla gehackt wurde.

Ob das alles aber was mit der Unmöglichkeit, meine Plugin-Seite im Backend aufuzurufen, zu tun hat, weiß ich nicht sicher. Ein Gedanke schoss mir gestern in den Kopf, dass dort irgendwas installiert sein könnte, das mit dem ganzen Hack zu tun hat und damit ich da nicht rankomme, ist die Seite nicht aufrufbar. Aber das ist nur meine Vermutung und bin überhaupt kein Spezi, was Joomla betrifft.
Ich bezeichne mich selbst immer noch als begeisterter Beginner.

Vielleicht weiß irgend jemand Rat in diesen Sachen?


edit:
Mein Kontrollzentrum sagt mir heute bei "Update nötig", dass mein Joomla veraltet sei.
Obwohl ich auf 1.5.20 erweitert habe.
Seltsam

Edit2:
Bei Youtube fand ich zum Stichwort wunder emporium folgendes:
Exploits the vulnerability in all Linux kernels since 2001. Exploit works on all kernels since 2001. Disables SELinux, AppArmor, LSM -- you know the drill.

I had planned for this exploit to be more interactive, involving a simulated russian roulette (hence the video) where there would be a 1 in 6 chance of instead of the box being compromised, it would hot reboot into FreeDOS.
Unfortunately I lack the time needed to realize this dream.

The video displayed is embedded in the exploit binary and extracted/played at runtime.

Exploit (for a possibly false-negative test of vulnerability of your own machine) is at http://grsecurity.net/~spender/wunder...

Eine Google Übersetzung brachte dies:
Nutzt die Schwachstelle in allen Linux-Kernel seit 2001. Exploit funktioniert auf allen Kerneln seit 2001. Deaktiviert SELinux, AppArmor, LSM - Sie kennen das ja.

Ich hatte geplant für diesen Exploit zu sein interaktiv in Form eines simulierten Russian Roulette (also Video), wo es eine 1 in 6 Chance anstelle der Box wäre gefährdet wird, würde es heißen Neustart in FreeDOS.
Leider fehlt mir die notwendige Zeit, um diesen Traum zu verwirklichen.

Das Video angezeigt wird, eingebettet in den Exploit binären und extrahiert / spielte während der Laufzeit.

Exploit (für eine möglicherweise falsch-negativen Test der Anfälligkeit der eigenen Maschine) an http://grsecurity.net/ ~ spender / wunder ...

Langer Rede kurzer Sinn: du bist gehackt worden, und es reicht absolut nicht, ein paar verdächtige Dateien zu löschen und ein Update aufzuspielen. Arbeite bitte unbedingt "Flottes Liste" Schritt für Schritt und Buchstabe für Buchstabe ab.

PS:
Nimm aus deinem Posting den Link zu deiner Seite bitte raus...

Und ganz wichtig - nimm die Kiste vom NETZ !
Und, so wie ich das sehe verwendest Du auf Deinem V-Server einen veralteten Kernel der Exploit ist aus mitte 2009
Weitere Info's hierzu unter http://rootadmin.co****/tag/cheddar_bay/

Grüße

Flootes Liste ist gut, Danke!

Hab es vom Netz genommen und kläre nun mit dem Hoster.

wie oben schon von joomlahosting.de gesagt: Nimm die ganze Kiste vom Netz!
Wenn dein VServer gehackt wurde, dann nützt es Dir auch nicht viel wenn Dein Joomla entfernt/bereinigt/gesperrt gesetzt wird. Du musst den Server komplett neu aufsetzen und dann dafür sorgen, das die benutze Lücke nicht noch mal ausgenutzt werden kann.