Hacking mit eval Base

**flotte** · 24.10.2011 17:27

Zitat von Jorge-Wedding

da haben wir 30 seiten logfiles in dem sich niemand auskennt und auf unseren Server haben wir mind 5 domains
....

Wichtige Seiten und auch ein eigener Server? Dann wäre es sinnvoll, entsprechendes KnowHow einzukaufen.

Zitat von Jorge-Wedding

...oder bräuchten einen Server der schon von vorherein solche Angriffe abwehren kann.

Wie soll ein Server Sicherheitslücken in Scripte abwehren?
Natürlich gibt es bestimmte Szenarien die abgefangen werden können - auf verschiedenen Ebenen, aber wenn ein Script einfach schrottig ist und ihr es einsetzt und keiner die Ahnung hat das zu erkennen, dann besteht Handlungsbedarf.

...ehrlich gesagt von der Pixlie Galerie bis zur xmap und Videogalerien und idoblog und ajaxchat ...

Wenn ich idoblog nur lese, weiss ich schon was vermutlich passiert ist...

**bth6020** · 28.12.2011 07:38

ich hab selbiges problem. in sehr, sehr vielen Dateien steht am Anfang der Datei

<?php eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk... .."));

kann mir jemand einen tipp geben wonach ich in den log-files ausschau halten muss damit ich den einstiegspunkt vom bösen script finde? mein hoster kann mir gott sei dank ein datenbackup von vor einigen tagen einspielen. ich möchte aber wissen wo die offene tür steht, quasi.

danke im voraus

**keraM** · 28.12.2011 08:55

Um den Einstieg zu finden, müsstest Du den Zeitraum des ersten Hacks eingrenzen und dann im Web-Log in diesem Zeitraum nach POST-Anweisungen suchen.
Kann aber auch sein, daß Du dort gar nix findest, weil der Hack von einem mit Trojaner/Keylogger verseuchten PC ausging. Von dort wurden die FTP-Zugangsdaten gestohlen. Anhaltspunkte könntest Du also im FTP-Log finden.

**bth6020** · 28.12.2011 09:13

danke keraM

wäre das

66.197.196.21 - - [22/Dec/2011:05:02:12 +0100] "POST /images/post.php HTTP/1.1" 200 14 "-" "-"
66.197.196.21 - - [22/Dec/2011:05:02:13 +0100] "POST /images/post.php HTTP/1.1" 200 7 "-" "-"
66.197.196.21 - - [22/Dec/2011:05:03:06 +0100] "POST /images/post.php HTTP/1.1" 200 14 "-" "-"
66.197.196.21 - - [22/Dec/2011:05:03:07 +0100] "POST /images/post.php HTTP/1.1" 200 7 "-" "-"

so ein hinweis?
mein hoster hat mir den ungefähren zeitpunkt genannt?

**flotte** · 28.12.2011 10:51

Damit hast Du auf jeden Fall schon mal eines der Schadcode-Scripte gefunden. Die Datei post.php hat zu 100% im Imageverzeichnis nichts zu suchen. Ich hoffe die Seite ist längst gesperrt.

Weiterer Anhaltspunkt ist nun das Datum der Datei und die IP 66.197.196.21. Filter das Log danach, um zu sehen was allein diese IP alles aufgerufen hat. Alles was Du findest liefert neue Anhalstpunkte. Es ist nicht möglich einen Analyseweg hier konkret vorzugeben, weil das immer unterschiedlich sein kann.
EInes ist aber sicher: Dein Joomla ist gehackt und muss sofort(!) vom Netz.

**bth6020** · 28.12.2011 13:16

hallo flotte, ja ist mal vorerst alles gesperrt. mache mich jetzt schritt für schritt daran.
danke euch!

**faro02** · 15.02.2012 12:48

Zitat von Jorge-Wedding

köntest Du das etwas genauer erklären ?

Ich finde Deine Beiträge zum aus der Haut fahren.
Du möchtest, dass Dir hier geholfen wird. Jedoch gibst Du nichts Preis. Keine Joomlaversion, keine Module und erwartest, dass Du hier ne Abhandlung bekommst. Du selbst hast angeblich ein Skript bekommen, mit welchem Du den Schaden begrenzen kannst, aber Du schweigst.
Das bringt hier wirklich niemanden weiter.

schönen Tag Faro02

Thema: Hacking mit eval Base

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Ich dreh jetzt durch

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen