Thema: php.ini in fast jedem Verzeichnis

Ich habe hier eine gehackte Joomla Installation die ich retten soll. Was mir auf Anhieb beim Backup aufgefallen ist, in fast jedem Verzeichnis liegt eine php.ini Datei. Das seh ich so zum allerersten Mal

Das Joomla selbst ist aktuell (1.5.22), das Sprachpaket (nur englisch installiert) ist allerdings 1.5.15. Könnten hier Sicherheitslücken übrig geblieben sein, die nicht gefixt wurden mit den normalen Updates?

Als Erweiterungen sehe ich allenfalls ArtForms und den JCE Editor sicherheitskritisch, eventuell hat auch an den Rechten in der Verzeichnisstruktur etwas nicht gestimmt. Die Impressum-Komponente von neolegal war immer sauber, was anderes ist mir nicht bekannt. Habt ihr vielleicht noch eine Info hierzu die wichtig ist?

Zitat von djmugge

Ich habe hier eine gehackte Joomla Installation die ich retten soll. Was mir auf Anhieb beim Backup aufgefallen ist, in fast jedem Verzeichnis liegt eine php.ini Datei. Das seh ich so zum allerersten Mal

Das muss ja nicht an Joomla liegen, ein geknacktes FTP Passwort oder eine andere Lücke auf dem Server ist auch möglich. Da hilft dann nur die Analyse der Log-Files.

Zitat von triton10

Der Hoster hatte dem Nutzer geraten diese Datei dann möglichst oft zu platzieren.
Gruß

Das war aber nicht 1und1 oder? Bislang wurde nur der Admin Account übernommen, aber noch kein (offensichtlicher) Schaden angerichtet.

In der php.ini steht (zumindest soweit ich sie bislang durch habe) nur eine Zeile drin

Code:

register_globals = off

moin,
nun, um ganz sicher zu gehen...

mache eine komplette neuinstallation, wenn nicht soooo viele Inhalte, dann schauen ob verwendete Extensionen neuere gibt installieren einrichten und den content manuell wieder per drag/drop oder so einfügen/erstellen. NEOLEGAL braucht kein mensch. Weniger ist eben manchmal mehr und eine statische Seite für Impressum/AGB usw. reicht völlig aus. Dann alles testen und man kann dann sicher sein das es sauber ist, bei Gehackten Installationen, gerade wenn man nicht so viel weiß über die Thematik empfiehlt es sich, da alles andere frickelei ist und man nie weiß woran man ist....geht auch schneller und man gleizeitig etwas aufräumen...
Das immer wieder nur meine Meinung

Zitat von cybergurk

moin,
nun, um ganz sicher zu gehen...

mache eine komplette neuinstallation, wenn nicht soooo viele Inhalte, dann schauen ob verwendete Extensionen neuere gibt installieren einrichten und den content manuell wieder per drag/drop oder so einfügen/erstellen. NEOLEGAL braucht kein mensch. Weniger ist eben manchmal mehr und eine statische Seite für Impressum/AGB usw. reicht völlig aus.

Ich teile grundsätzlich deine Meinung, keine Frage. Zumal man den Schadcode manchmal nicht finden kann. Allerdings ist die Seite hier sehr aufwendig erstellt worden, zumindest optisch und es hängt sehr viel hinten dran. Da zögert man zumindest was das komplett neu machen angeht.

Zitat von Skodi

ok - das dürfte mit dem hack nichts zu tun haben...

Da hat jemand klugerweise register_globals ausgeschaltet - offensichtlich nicht mehr.

Was sprechen denn die access und ftp-logs ?

Da bin ich noch dran. Die Logs sind auffällig gross für einen Zeitraum von nur 6 Wochen.