Thema: Hackercode in /administrator/components/com_fireboard/images/

Hallo zusammen,

es gibt einen Hacker, der speichert seine scripts in Joomla bevorzugt in /administrator/components/com_fireboard/images/

Da ich Bot-Trap verwende, werden geblockte Bot's in einer Log-Datei festgehalten. Beim Studium derer fiel mir auf, dass ein Bot unterwegs ist, der fast immer auf dieses Verzeichnis zugreift, aber jeweils andere Webseiten dazu benutzt. Diese Joomla Installationen sind lediglich Wirte für die Scripte. Die Seiten selber laufen einwandfrei. Nur die Betreiber dieser Wirts-Seiten wissen offenbar nichts von alledem.

Im Joomla Verzeichnis /administrator/components/com_fireboard/images/ sollten sich nur PNG-Bilder befinden. Der Hacker versteckt dort seine Scripts im *.txt Format, die der Bot dann abruft. Die Datei myid.jpg ist in Wirklichkeit ebenfalls ein txt File und auch zu löschen.

Nach intensiver Suche fand ich eine infizierte Webseite ohne Joomla. Dort verwendete er ein anderes Verzeichnis und der Direktzugriff offenbarte mir dann alle 7 Scripts. Darunter auch sein "Multifunctionbot", der nach kurzer Analyse des Codes auch Rechenaufgaben zu lösen scheint. Gewissenhaft wie er ist, dokumentiert er seinen Code sogar.

Wenn ihr also *.txt dateien im /administrator/components/com_fireboard/images/ Ordner findet, wisst Ihr jetzt, was los ist. Auf jeden Fall sofort löschen und das Einfallstor finden, wo der Einbruch stattfand.

PS: Der Bot kommt bis zu 7 Mal direkt hintereinander. Aber immer über verschiedene IP-Adressen und greift direkt auf "com_registration" zu.

Gruss
Andy

Wer immer noch Fireboard installiert hat, gehört mit einem nassen Handtuch erschlagen.

Und wenn der Hacker dieses Verzeichnis extra generiert? Dann muss ja nicht zwingend die Komponente installiert sein. Aber schön unauffällig, da es ja ein gültiges Verzeichnis ist.

Zitat von mont-bit

Und wenn der Hacker dieses Verzeichnis extra generiert

Dann liegt da ein Verzeichnis zu einer Komponente, die der Admin nie installiert hat. Wer sich überhaupt ein bißchen um das kümmert, was auf seiner Site passiert, merkt dann was.

Das Problem sind eher die Webmaster, die nicht den Hauch einer Vorstellung haben, was hinter den Kulissen passiert und kaum den eigenen Browser richtig bedienen können. Die merken aber sowieso erst was, wenn der Hoster die Seite als Spamschleuder abschaltet. Bei denen ist völlig egal, wie der Ordner heißt.

Hallo,

ich behaupte jetzt mal, wenn dieser spezielle Ordner bei mir auftauchen würde, dann würde mir das auffallen.

Dennoch bin ich immer dankbar, wenn ich solche "Anregungen" hier im Forum finde. Ich bin bestimmt kein absoluter Profi, daher habe ich Angst davor, gehackt zu werden - im Gegensatz zu anscheinend vielen anderen hier. Ich weiß nicht unbedingt, wo sich etwas bösartiges verstecken kann, noch kann ich mit Logdateien etwas anfangen. Ich lese halt viel in diversen Foren bezüglich Sicherheitslücken und versuche halbwegs up-to-date zu sein. Der Joomla-Core wird täglich auf Aktualität geprüft und die Plugins/Module mindestens einmal in der Woche (okay, das kann schon zu spät sein...).

Kurzum: Bitte auch weiterhin hier und in den anderen Foren sicherheitsrelevante Tips schreiben! Das hilft zumindest den ernsthaft interessierten Nutzern :-) Für die, die immer noch mit 1.5.0 unterwegs sind und meinen, die Welt sei in Ordnung, werden aber solche Hinweise sicher nichts bringen...

Gruß,
Mitch

Die Betreiber der Seite wissen garantiert nicht, dass auf ihrer Site eingebrochen wurde. Die Webpräsenz läuft und es funktioniert alles, ohne dass je eine Fehlermeldung erscheint.

Ich vermute mal, dass es im Interesse der Hacker ist, dass diese Webpräsenzen weiterhin fehlerfrei ihren Dienst tun, damit ihre Scripts möglichst nicht entdeckt werden. OK, der Zugriff auf die Scripts erhöht auch wieder den Traffic. Doch bis das richtig zu Buche schlägt bei Scripten, die gegen 50 kb gross sind?

Mal ehrlich, wieviele schauen sich die Verzeichnisse Ihrer Installation genauer an? Wenig bis sehr wenig. Normalerweise erst, wenn irgend ein Schaden auftaucht oder Joomla nicht mehr läuft.

Diese Hacker sind darauf bedacht, dass Joomla ja schön weiterläuft, denn es dient als Wirtsystem, damit ihre Bots auch immer schön auf die Scripte zugreifen können. Im Gegenzug "belohnen" sie uns mit Fake Anmeldungen und Spam.

Ich will mit meinem Beitrag auch mal solche sensibilisieren, deren Homepage anstandslos läuft. Vielleicht befällt den einen oder anderen ein mülmiges Gefühl, wenn sie diesen Beitrag lesen und sie kontrollieren endlich Mal ihre Installation. Mit jedem Anwender, den ich mit diesem Artikel wachgerüttelt habe und der seine Installation überprüft, habe ich einen möglichen Wirt ausgeschaltet.

Zitat von mont-bit

Mal ehrlich, wieviele schauen sich die Verzeichnisse Ihrer Installation genauer an?

Das mache ich auch nicht, jedenfalls nicht bis in größere Ordnertiefen ohne besonderen Grund. Aber wenn ich zufällig mal in so einen Ordner reinsehe, fallen mir sofort Ordner auf, die dort nichts zu suchen haben.

Ich kontrolliere aber regelmäßig die Logdateien zumindest auszugsweise. Ich will wissen, welche Erweiterungen besonders attackiert werden und wer bei mir seinen Spam abladen will. Und da fallen mir erfolgreiche Zugriffe auf Erweiterungen, die ich nicht installiert habe, sofort auf.

Ich will mit meinem Beitrag auch mal solche sensibilisieren, deren Homepage anstandslos läuft.

Vernünftig. Vielleicht fällt dabei ja sogar jemandem auf, daß er immer noch eine ungenutzte Fireboard-Leiche nicht deinstalliert hat. Ich fürchte nur, genau diese Leute werden diesen Thread hier nicht lesen.

Ich kontrolliere aber regelmäßig die Logdateien

Genau dort ist mir aufgefallen, dass Inhalte von anderen Webseiten benutzt werden. Ich wollte wissen, was dort abgerufen wird und mittels Push in die Registrierung meiner Website geschrieben werden sollte. Gleich mehrere solcher Versuche hintereinander innert sehr kurzer Zeit und mein Misstrauen war vollends geweckt.

So begann meine sehr aufschlussreiche und interessante Recherche auf fremden Servern und Scripten. Auf jeden Fall suche ich weiter in dem Sumpf und sammle jede Information. Vielleicht wird daraus brauchbares Material für Internetfahnder. Jede Fundstelle wird notiert und die gefundenen Dateien aufgelistet.

Interessant ist auch, dass der Zugriff mit dem Browser auf die Ordner jeweils mit einem Access denied quittiert wird, aber die Dateien problemlos in der Linux Konsole und Gedit per Direktzugriff geladen werden können.

Apropos Fireboard: Ich bin diesbezüglich nicht UpToDate. Kannst Du mich aufklären, was es mit diesen J1.0 Forum auf sich hat? OK, vielleicht würde ich mit der Suche fündig, aber wenn Du schon so darüber "wetterst", kannst Du mir sicher ein paar Infos zukommen lassen.

Zitat von mont-bit

Auf jeden Fall suche ich weiter in dem Sumpf und sammle jede Information. Vielleicht wird daraus brauchbares Material für Internetfahnder. Jede Fundstelle wird notiert und die gefundenen Dateien aufgelistet.

Sammeln ist sinnlos. Dazu sind die Bots zu kurzlebig. Wenn, dann mußt du die Informationen zeitnah durchreichen. Ich habe nur keine Ahnung, an wen. Nationale Fahnder haben gegen die weltweit verteilten Netze keine Chance.

Apropos Fireboard: Ich bin diesbezüglich nicht UpToDate. Kannst Du mich aufklären, was es mit diesen J1.0 Forum auf sich hat?

Die Entwicklung wurde mit bekannten Sicherheitslücken eingestellt. Nachfolger ist Kunena. Wer tatsächlich noch Simpleboard, Joomlaboard oder Fireboard einsetzt, sitzt auf einem Pulverfaß.

Zitat von Joomla-Hilfe

Die Entwicklung wurde mit bekannten Sicherheitslücken eingestellt.

Und das bereits vor über zwei Jahren... Und trotzdem tauchen auch heute noch (selten, zugegeben) Fragen zum FB hier auf.
Ich geb dir mit dem nassen Handtuch absolut Recht, frage mich aber auch, warum man noch immer diese "Leiche" bei Joomlaos downloaden kann.