+ Antworten
Ergebnis 1 bis 8 von 8

Thema: Joomla Angriff über /administrator/index.php

  1. 03.05.2011 20:03 #1
    SteffenA
    SteffenA ist offline
    Neu an Board
    Registriert seit
    03.05.2011
    Beiträge
    2
    Bedankte sich
    2
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard Joomla Angriff über /administrator/index.php

    Hallo,

    ich habe heute einen Nachricht von meinem Webspace-Provider bekommen, dass meine Joomla-Seite von außen angegriffen wurde.

    Folgende Datei wurde als Einfallstor benutzt: ./administrator/index.php

    Folgende Dateien wurde hinzugefügt oder verändert:
    ./templates/Blau6/index.php
    ./templates/beez/index.php
    ./bra4.php
    ./mailer.php
    ./lisence.php
    ./5885d80a13c0db1f998ca054efbdf2c29878a4...<gekürzt> ....zip
    ./5885d80a13c0db1f998ca054efbdf2c29878a4...<gekürzt> .../*

    Laut den Angaben des Providers handelte es sich um einen "Remote File Inclusion" Angriff.

    Die Beschreibung zu dieser Sicherheitslücke bezieht sich aber auf Joomla 1.5.5.

    Ich benutze aber die Version 1.5.20. Diese ist zwar auch nicht mehr aktuell. Laut changelog wurden aber keine Sicherheitslöcher gestopft.

    Die Analyse der Log-Files zeigt, dass über mehrere Tage immer wieder per GET und POST auf die Seite /administrator/index.php zugegriffen wurde. Scheinbar wurden so die benötigten Dateien hochgeladen. In den letzten beiden Tagen wurden dann reichlich E-Mails verschickt.
    Ein Vergleich zwischen einem sauberen Backup und dem aktuellen Stand zeigte keine weiteren Auffälligkeiten außer den oben genannten Dateien. Auch der Vergleich der Datenbank-Dumps zeigt keine Manipulationen.

    Die Seite ist relativ einfach aufgebaut und besteht nur aus den folgenden Komponenten:
    - Joomla 1.5.20 deutsch + ReadMore-Link
    - selbsterstelltes Template mit Artisteer 2.5 (Template-Generator)

    Was kann da passiert sein?
    Gibt es eine unbekannte Sicherheitslücke?
    Kann das Problem durch das Template entstanden sein?

    Viele Grüße
    Steffen
    Zitieren Zitieren
  2. 03.05.2011 22:08 #2
    keraM
    keraM ist offline
    Gute Seele des Boards Avatar von keraM
    Registriert seit
    12.03.2006
    Ort
    Dresden
    Beiträge
    10.592
    Bedankte sich
    152
    Erhielt 2.558 Danksagungen
    in 2.360 Beiträgen

    Standard

    Von .20 bis .23 sind 3 Versionsupdates vergangen. Sicherheitslücken wurden in allen 3 Updates gefixt.
    http://www.joomla.org/announcements/...-released.html
    http://www.joomla.org/announcements/...-released.html
    http://www.joomla.org/announcements/...-released.html
    Gruß keraM
    Joomla-FAQ: --> Klick!
    Support per PN: --> Klick!
    Zitieren Zitieren

  3. Erhielt Danksagungen von:

    SteffenA
  4. 03.05.2011 22:14 #3
    progandy
    progandy ist gerade online
    Hat hier eine Zweitwohnung Avatar von progandy
    Registriert seit
    25.06.2007
    Beiträge
    1.939
    Bedankte sich
    13
    Erhielt 640 Danksagungen
    in 577 Beiträgen

    Standard

    Hmm, da habe ich gleich eine Frage. Heißt dein Admin-Account immer noch admin und/oder hast du ein einfaches Passwort gewählt? Dann könnte es auch sein, dass einfach dein Adminpasswort gefunden wurde.
    Suche und FAQ helfen bei Problemen oft weiter!
    Zitieren Zitieren

  5. Erhielt Danksagungen von:

    SteffenA
  6. 03.05.2011 22:59 #4
    SteffenA
    SteffenA ist offline
    Neu an Board
    Registriert seit
    03.05.2011
    Beiträge
    2
    Bedankte sich
    2
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Zitat Zitat von keraM Beitrag anzeigen
    Von .20 bis .23 sind 3 Versionsupdates vergangen. Sicherheitslücken wurden in allen 3 Updates gefixt.
    Danke für den Hinweis. Ich hatte mich auf die CHANGELOG.PHP verlassen. Dort konnte ich keine Einträge zu Sicherheitslücken finden.

    Zitat Zitat von progandy Beitrag anzeigen
    Hmm, da habe ich gleich eine Frage. Heißt dein Admin-Account immer noch admin und/oder hast du ein einfaches Passwort gewählt? Dann könnte es auch sein, dass einfach dein Adminpasswort gefunden wurde.
    Volltreffer! Es gab noch einen "admin" Account, der eigentlich gar nicht benutzt wird. Das Passwort war auch nicht wirklich schwierig. Das Datum des letzten Logins passt zu den Angriffen. Sehr fahrlässig von mir... Danke für den Hinweis.
    Zitieren Zitieren
  7. 04.05.2011 07:42 #5
    Joe Sixpack
    Joe Sixpack ist offline
    Hat hier eine Zweitwohnung Avatar von Joe Sixpack
    Registriert seit
    28.03.2007
    Ort
    Schweizer Berge
    Beiträge
    1.704
    Bedankte sich
    250
    Erhielt 474 Danksagungen
    in 420 Beiträgen

    Standard

    das ganze /administrator Verzeichnis gehört grundsätzlich per .htaccess geschützt. Hierbei wählt man mit Vorteil ein anderes Login als für das Joomla-Login.
    Du suche Template? Klick me hard.

    Von Vögeln und röhrenden Hirschen.
    Zitieren Zitieren
  8. 07.05.2011 23:39 #6
    kira12
    kira12 ist offline
    War schon öfter hier
    Registriert seit
    27.08.2008
    Ort
    Dresden
    Beiträge
    117
    Bedankte sich
    21
    Erhielt 4 Danksagungen
    in 4 Beiträgen

    Standard

    noch eine kleine Anmerkung, bei der .htaccess sind Username und Passwort mind. 20 Zeichen lang und sehen _beide_ wie folgt aus:

    BjhPYH@Hg1tS8spEu62ZKI4OnG_aUFNQbvqA7!Dw2

    natürlich für Username und Passwort verschiedene Werte nehmen ;-)

    Gruß ré
    www.menny.de
    Zitieren Zitieren
  9. 08.05.2011 07:43 #7
    Orpheus2510
    Orpheus2510 ist offline
    Moderator Avatar von Orpheus2510
    Registriert seit
    17.10.2006
    Beiträge
    14.144
    Bedankte sich
    164
    Erhielt 3.392 Danksagungen
    in 3.062 Beiträgen

    Standard

    Alle Sicherheitsmaßnahmen auf dem Webspace nützen aber nichts, wenn der heimische PC mit einem Keylogger bestückt ist und Angreifer die Zugangsdaten über diesen ausspähen. Also auch das Arbeitsgerät mal gründlich auf Malware checken.
    Gruß, Orpheus2510
    Kein Support per PN! | Tutorial Migration J1.5 --> J2.5 | Joomla braucht dich!
    Zitieren Zitieren
  10. 08.05.2011 21:04 #8
    jamfx
    jamfx ist offline
    Moderator Avatar von jamfx
    Registriert seit
    06.04.2006
    Ort
    Berlin
    Beiträge
    3.657
    Bedankte sich
    292
    Erhielt 819 Danksagungen
    in 770 Beiträgen

    Standard

    Hi,
    mit den AdminTools kannst du ganz einfach dein Backend per .htaccess schützen. Des weiteren kannst du noch zwei weitere Sicherheitsprobleme beheben. a) das Standard-Tabellenpräfix von jos_ aus ABCD_ ändern... und b) dem Standard-ID-62-Admin eine geringere ID zuweisen. Auch hierüber werden Angriffe initiiert.

    Gruß
    JamFX
    www.nik-o-mat.de -> Freie Software, Joomla-Tipps & Übersetzungen
    www.akeebabackup.de ->AkeebaBackup Joomla Umziehen, Sichern, Wiederherstellen [Videoanleitung]
    nik-o-mat bei Twitter | Google+ | Facebook
    Zitieren Zitieren
+ Antworten
« Vorheriges Thema | Nächstes Thema »

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln