Thema: aab.zip in Joomla Root Verzeichnis (?)

Ich bin gerade etwas irritiert, da in einer vollständig neuen Joomla Installation heute morgen eine aab.zip ins Root Verzeichnis gelegt wurde. Keiner außer mir hat Zugriff auf den FTP. Onkel Google bringt nur HInweise auf rapidshare und ähnliches, da bin ich aber nicht unterwegs. Es gibt KEINE 777 Rechte nirgendwo auf dem FTP, der lokale Rechner ist sauber (vor 2 Tagen komplett neu aufgesetzt).

Auf der Seite hat sich nichts getan, keine Veränderung. Allerdings kann ich "verborgenes" nicht gänzlich ausschließen.

Hat jemand eine Idee was das sein könnte?

Was sagen denn die Logs von Web und FTP?
Was verbirgt sich in dem zip-File? Nein , nicht hier als Attachement anhängen, sondern reingucken und den Fund beschreiben.

Zitat von keraM

Was sagen denn die Logs von Web und FTP?
Was verbirgt sich in dem zip-File? Nein , nicht hier als Attachement anhängen, sondern reingucken und den Fund beschreiben.

Ich fürchte die Antwort hat sich von selbst ergeben :-( Eben hat mein Webhoster angerufen, das von meinem Account eine Spamflut ausging und die Server IP deshalb auf die Spam Blacklists gesetzt wurde. Das ganze soll seit heute morgen sein, die Datei wurde 11 Uhr schlagmichtot auf den Server gelegt, woher die auch immer gekommen sein mag......

Ich check trotzdem mal die Logs.
Die Datei selbst hab ich in einer VMWare Umgebung mal gecheckt, 6 Verzeichnisebenen und etwa 2 MB an PHP Dateien unter anderem send und smtpirgendwas.php.

Zitat von keraM

Nein , nicht hier als Attachement anhängen, sondern reingucken und den Fund beschreiben.

Wofür hältst du mich?!

Ok, das war die Antwort auf die zweite Frage.
Jedoch ist die erste Frage, "Wie kam das Ding auf den Webspace?", noch nicht beantwortet. Dazu ist die Auswertung der Logs notwendig.
Nur so kann man die Lücke finden und schließen.

Zitat von keraM

Ok, das war die Antwort auf die zweite Frage.
Jedoch ist die erste Frage, "Wie kam das Ding auf den Webspace?", noch nicht beantwortet. Dazu ist die Auswertung der Logs notwendig.
Nur so kann man die Lücke finden und schließen.

ICh hab etwa 4000 der ca. 12.000 Zeilen im Logfile durch. Dabei wurde zunächst die global.php offenbar eingeschleust, danach wurden einige GET Befehle ausgeführt, meist im Zusammenhang von den Kommandos her mit PhocaDownload (aktuellste Version). Von daher vermute ich dort die Sicherheitslücke. Allerdings hatte ich diese deinstalliert, wenn auch die Einträge aus der Datenbank nicht entfernt, manuell überprüft. Ich werde die Jungs von Phoca mal direkt anschreiben und weiter berichten.

p.s.: Wie kann ich den "Profis" die Zeilen aus dem Logfile zeigen / schreiben ohne Schaden anzurichten?

Zitat von keraM

"Wie kam das Ding auf den Webspace?"

Nachdem ich etwa 3/4 der Logs durchhabe, konzentriert sich das ganze immer mehr auf die Phoca Guestbook (aktuelle Version) und die (deinstallierte, aber nicht sauber aus der Datenbank entfernten) Phoca Download, ebenfalls in der aktuellsten Version.

Dazu gab es offenbar noch XSS Angriffe (da mach ich mich grad schlau was das im Detail ist) und Versuche über JavaScript Code einzuschleussen. Die meisten Zeilen haben Verweise auf die Phoca Komponenten. Ich habe die Logfiles mit einer Mail eben an Phoca selbst geschickt, mal sehen was die daraus machen.

Der Verdacht liegt aber nahe mit der Guestbook Komponente:
Etwa 2 Stunden, bevor die Spamflut mit 15 Mails / Sek. (!) losging, gab es einen Spameintrag ins Gästebuch trotz Captcha. hieroglyphen und Kram, etwa zeitgleich wurden 3 Dateien erstellt und abgelegt:
- ips.txt mit der localhost IP und der IP der Webseite selbst
- global.php -> vermutlich ein Trojaner, zumindest hat der Virenscanner verrückt gespielt und diesen als Trojaner auch identifiziert.
- eine nela.php die zigfach aufgerufen wurde und auch als Trojaner identifiziert wurde.
- die anfangs erwähnte abb.zip im Root Verzeichnis mit ca. 7 Verzeichnisebenen und etwa 2-3 MB an php scripten.

Frage an dieser Stelle:
WIE versendet Phoca Guestbook die Benachrichtigungen bei neuen Einträgen? Per PHPMAILER (der auch hier zum Spammen genutzt wurde) oder per SMTP bzw. aus den Joomla Einstellungen?