Thema: .htaccess, viele index.html und index.php injected

Joomla FAQ 2.6

Nun ist es schon 2 Mal passiert, das die Seite durch eine injection gehackt wurde.
...
Grundsätzlich könnte mir das zwar egal sein, ...

Deine Kunden vertrauen Dir ihre persönlichen Daten und Bankinformationen an, und Dir ist es egal, wenn die Site gehackt wird und diese Informationen in unberechtigte Hände gelangen?
Na Hut ab.

Hallo und willkommen im Forum.
Vielleicht erst einmal die FAQ dazu befragen (allgemein Abschnitt 2 und speziell Abschnitt 2.6). Das wichtigste ist, die Lücke anhand der Logfileanalyse zu finden und zu schließen. Das Backup einfach wiederherzustellen reicht natürlich nicht. Wenn Du einmal erfolgreich gehackt wurdest, stehst Du für weitere Angriffe erst mal ganz oben auf der Liste. Von welcher Joomla und VM Version sprechen wir denn, mit den letzten Updates wurden in VM auch diverse Injection Lücken geschlossen?

EDIT: Hallo keraM, mehr Text braucht auch mehr Zeit

Erst mal Danke für die beiden Antworten.
@ Laki: mit der Logfileanalyse meinst Du wahrscheinlich das Logfile des Servers.
Wie schon erwähnt hab ich mir die neueste Version von der Virtuemartseite gezogen. Nun aber in einer Updateanfrage gesehen das es schon wieder die Version 1.19 gibt. Soweit ich das beurteilen kann basiert das ganze auf Joomla 1.5.
@ keraM: Mein erster Gedanke auf Deinen Kommentar war: "was ein blöder Kerl" kann noch nicht mal einen Konjunktiv erkennen. Zitiert einfach Satzteile aus dem Zusammenhang raus OHNE irgendeinen Hintergrund zu kennen.

Hier der Hintergrund für Dich:
Der Shop ist 1. noch nicht offiziell online, nicht freigegeben und in einer Testphase. 2. wäre ich ja wohl kaum hier wenn mir das alles schnurz wäre. und 3.bin ich hier um zu lernen weil ich eben verantwortungsvoll mit den Daten umgehe und bevor ich den Shop für die Allgemeinheit freigebe, möchte ich sicher sein das so etwas nicht in der täglichen Benutzung passiert.
So und nun darfst Du Deinen Hut wieder aufsetzen.
Trotzdem Danke für en Hinweis auf 2.6
Liebe Grüße
Grün

Ja, die logfiles des Servers sind gemeint. Aber bitte lasse Dir von jemanden dabei helfen, die Analyse ist nicht gerade für Anfänger geeignet.

Zitat von Gruen

Soweit ich das beurteilen kann basiert das ganze auf Joomla 1.5.

Sorry, aber wenn Du das selbst installiert hast, solltest Du wissen, um welches System es sich handelt. Speziell ging es um die Subversion, also das nach dem 1.5.? Auch hier gilt es wie bei allen eingesetzten Scripten/Erweiterungen, immer auf die aktuellste Version zu setzen, da oft auch mit den Updates Sicherheitslücken geschlossen werden.

Zu Deinem Konjunktiv, tatsächlich begründest Du dies damit, dass es leicht wieder herstellbar ist und nicht die Sorge um die Daten der Kunden, da kann so ein Eindruck wie von KeraM schon mal entstehen, nix für ungut. Das der Shop nicht "offiziell" online ist, war zu dem Zeitpunkt nicht zu erkennen, btw, für die Hacker war er online "genug". Zukünftig soltest Du eine .htaccess zum Schutz der Installtion vorschalten.

Hallo,
Ok dann will ich keinen weiteren "Streit" oder Unannehmlichkeiten schüren, und gehe jetzt einfach zu den Fakten über.

Erst mal Danke für die Hilfe. (Dann noch Infos für Euch: Anfänger bin ich vielleicht bei Joomla - sonst ist meine Erfahrung nicht gerade klein)
Zum Serverlogfile.
Ich kann den Zeitraum wann das Malheur passiert ist ziemlich genau eingrenzen. Im Logfile sind das mal gerade 2000 Zeilen wobei das sich reduziert auf 5 Zugriffe (ip-Adressen) 2 davon bin ich selber und die anderen 3 ordne ich eigentlich meinem Bekannten zu. Warum?
Ok
Zeilen 3506 - 5217 eine IP und zugriff durch Opera (damit arbeite ich selber) die Uhrzeit passt für mich, ip passt auch = telekom
Zeilen 5218 - 5390 eine IP und zugriff durch iPad (passt zum Bekannten), ip = IDKom in Ulm
Zeilen 5391 - 5448 eine IP und zugriff durch iPhone (passt zum Bekannten), ip = telekom
Zeilen 5449 - 5487 eine IP und zugriff durch iPhone (passt zum Bekannten), ip = telekom
Zeilen 5488 - 5640 eine IP und zugriff durch Opera (damit arbeite ich selber) die Uhrzeit passt für mich, ip passt auch = telekom

Danach habe ich dann die Nachricht bekommen das kein Zugriff mehr besteht.
Und Jetzt????
Ich kann die betreffen Zeilen (oder das ganze File) gerne zur Selbstkontrolle irgendwo posten - dann aber bitte eine Info wo.

Grüße
Grün

PS: Joomla ist 1.5.22 und Virtuemart 1.1.8 (Installationspaket von http://www.virtuemart.de/) wobei ich gesehen habe das Virtuemart inzwischen ein Update auf 1.1.9 hat. Und ein Gutes hat das ganze Desaster auch. Hätte ich das ganze total abgeschottet in einer gesicherten Testumgebung gemacht wäre das jetzige Problem nie aufgetaucht und dann wären mir später wirklich Kundendaten abhanden gekommen und dan was keraM bemängelte wäre eingetreten. Insofern läuft es noch ganz gut, da es noch eine Phase ist in der nichts wichtiges verloren geht.

Zitat von Gruen

Anfänger bin ich vielleicht bei Joomla - sonst ist meine Erfahrung nicht gerade klein

Mag ja sein, wir kennen Dich bisher nur Du Deine Äußerungen hier und wollen nichts unterstellen.

Zitat von Gruen

Ich kann den Zeitraum wann das Malheur passiert ist ziemlich genau eingrenzen.

Mal doof gefragt, wodurch? Auch Zeitstempel von eingeschleussten Dateien lassen sich manipulieren.

Zitat von Gruen

Im Logfile sind das mal gerade 2000 Zeilen
...
Danach habe ich dann die Nachricht bekommen das kein Zugriff mehr besteht.
Und Jetzt????

Möglicherweise hatte der Hacker auch Zugriff auf das Logfile und hat dementsprechend die eigenen Zugriffe gelöscht. Oder eben, Du hast doch etwas übersehen. Deswegen, lass Dir helfen.

Zitat von Gruen

Ich kann die betreffen Zeilen (oder das ganze File) gerne zur Selbstkontrolle irgendwo posten - dann aber bitte eine Info wo.

Sorry, aber die Analyse wird sich hier vermutlich keiner antun, da ist neben einigem Wissen viel Zeit nötig, dass werden die meisten nur gegen entsprechende Enlohnung duchführen. Aber vielleicht hilft der Hoster dabei (oder hast Du einen eigenen Server?).

Btw, evt. wurden auch nur die FTP-Zugangsdaten von einem Trojaner auf dem eigenen PC geloggt, dann finden sich entsprechende Hinweise im FTP-Log und auf Deinem PC Kommt auf jedenfall häufiger vor in letzter Zeit.

EDIT: Joomla ist inzwischen auch längst bei 1.5.23, wobei damit glaube ich keine gravierende Lücke geschlossen wurde (Gerade keine Lust, nachzusehen )

Zitat von Gruen

Ihr macht es neuen Mitgliedern nicht gerade einfach.
Auch richtig das Ihr nichts über mich wisst als die wenigen Posts. - Es liegt an mir das Vertrauen zu erarbeiten.

Naja, so schlimm wirds doch hoffentlich nicht sein

Zitat von Gruen

Aber mal zu dem Zeitraum in dem die Intrusion war. Ich weiß genau daß das zwischen dem 4. und 5. um 10:40 pasiert ist. Also ist es für mich logisch im Logfile nach der entsprechenden Zeit und den Einträgen vorher zu schauen oder?

Naja, ich fragte woher Du das weiß, und Du schreibst, ich weiß es einfach. Wenn Du meinst, dass passt so...

Zitat von Gruen

Und helfen lassen tue ich mir natürlich. Das ist ein Grund warum ich weiterfrage und nicht schon lange weg bin.

Ich meinte eher jemand, den Du damit beauftragst, notfalls gegen Geld. Hier im Forum kann man einige Tipps geben, eine Fernanalsyse ist meist aber nicht machbar und wie auch schon gesagt wird sich kaum so jemand finden. Deswegen bin ich hier jetzt auch raus, sorry (Nicht das der falsche Eindruck ensteht, ich will kein Geld und mach sowas auch nicht, da lass ich Profis ran, da ich keiner bin).

Zitat von Gruen

Damit ich aber im Logfile vielleicht doch noch etwas finde . Gibt es Eurer Erfahrung nach Hiweise oder immer wieder aufteuchende Besonderheiten nach denen man suchen kann die im Logfile auf ein eindringen hinweisen?

Hier mag bitte jemand von den Serverspezis antworten.

Zitat von Gruen

arbeite ich sehr viel mit Brain.exe

Eine sehr gute Vorgehensweise, finde ich gut