überschriebenen dateien
Hallo,
mein 1blu server wurde am Sonntag von jemanden "aufgebrochen"
viele html und php Dateien wurden mit folgendem Inhalt überschrieben:
**hackerwerbung entfernt**
-----------------------------
hatte joomla 12 installiert. und ein paar Komponetenn wie zb. googlemaps und fckeditor
Die Datenbank wurde nicht überschrieben.
Hat schon jemand die gleiche Erfahrung gemacht
Liegt es am Joomla oder sind jemanden ein paar Sicherheitslecks bei apache-server bekannte ?
Geändert von flotte (02.10.2007 um 20:51 Uhr) Grund: Hackernennung entfernt
Dein Joomla wurde gehackt... entweder durch dein eigenes Verschulden (unsicheres oder veraltetes Joomla oder Komponenten) oder durch die deines Webanbieters (1blu). Da musst du schon selber ein wenig Detektiv spielen und die logfiles auswerten.
Herausforderungen sind dazu da um an ihnen zu wachsen.
Problem gelöst? Dann markiere den Thread mit GELÖST!
Ist das deine Seite ?
**hackerwerbung entfernt**
Geändert von flotte (02.10.2007 um 20:52 Uhr)
(Sofern dir meine Antwort geholfen hat, drücke einfach LINKS den "DANKE" - BUTTON)
danke für die Antworten.
nein. es ist nicht meine. Aber sie wurde auch so gehackthab die auch vorhin gefunden
Warum muss man hier noch Werbung für diesen "xxxxx" machen?
Falls es Dein eigener Server sein sollte (ließt sich so) dann such mal nach der Ursache und nimm den Server vom Netz - zumindest die betroffene Domain,
falls der Schaden nur auf diese begrenzt ist.
In den aktuellen Apache Versionen sind keine Lücken enthalten - zumindest keine bekannten. Die wenigsten solcher Angriffe erfolgen über Lücken im Apachen. Da gibt es einfachere Methoden.
Poste mal die Ausgabe von phpinfo, die verwendeten Joomla Komponenten mit Versionen und einige Details zum Server. (Dienste die laufen, Konfiguration dieser, Apache/php installation usw)
Sonst dürfen wir hier alle raten....
Falls Du Plesk nutzen solltest - da gab es "vor kurzem" eine Lücke für die aber mitlerweile ein Patch vorhanden ist. Leider ist die Informationspolitik von SWSoft so ziemlich das Letzte - nur die Info es gab eine Lücke aber kein Wort über Details, was genau passieren kann. Gleiches gilt für die Galieren zoom und expose (bei expose wurde zeitnah informiert u. gepatch - bei zoom nicht), sowie einige andere Kompoenten die hier im Forum gepostet wurden.
Geändert von flotte (02.10.2007 um 20:52 Uhr)
Bei mir das gleiche, auch 1blu und auch Sonntag ca. 12.23.
ich wollte jetzt die access.logs ansehen, stellte aber fest, daß mein September Log den letzten Eintrag vom 29.09 hat.
Einträge vom 30.9 fehlen komplett.....sehr seltsam.
Könnte es sich um ein 1blu Problem handeln?
Zudem stellte ich fest, das bei einer, auf dem gleichen Server liegenden "MyPHPfaq" Test-Installation, ebenfalls diverse Index Dateien überschrieben wurden..
Wie sollte jetzt die weitere Vorgehensweise sein?
mfg
So wie sie immer ist und 10 mal am Tag erklärt wird!Wie sollte jetzt die weitere Vorgehensweise sein?
Joomla Löschen - Backup einspielen - Angriffsflächen beseitigen
Das lesen:
http://help.joomla.org/component/opt...26/Itemid,268/
und das:
http://help.joomla.org/component/opt...86/Itemid,268/
und das:
http://forum.joomla.org/index.php/board,296.0.html
Hilfe gibt es unter Angabe von: Hoster, Joomla Version, Installierte Komponenten, PHPInfo, Problembeschreibung
Joomla 1.5 Anleitung - CHMOD Verzeichnisse 755 | Dateien 644 | 777 du wirst gehackt!
Info: Privat Support nur gegen Vorkasse
Wenn und falls tatsächlich Logfile Einträge fehlen dann hast Du ein gewaltiges Problem. (oder Dein Hoster). Logiles sind normalerweise "root:root".
Was heißt "auf dem gleichen Server"?
Im gleichen Vhost? (gleicher Webspace)?
Dann wäre das nichts ungewöhnliches, wenn aber ein anderer
Vhost / Webspace gemeint ist dann hast Du/Dein Hoster ebenfalls ein
noch größeres Problem.
Die Vorgehensweise wäre erst mal alles vom Netz zu nehmen (sichern! - dann komplett löschen) und nach der Ursache suchen.
Wenn Du die hast gehts weiter.
ist tatsächlich so, der letzte Eintrag im September Log stammt vom 29.9.2007-17.30 UHR, das wars dann...Zitat von chw
gleicher Webspace, es handelt sich hier lediglich um ein Webhosting Paket, nicht um einen Vserver/Vhost.Was heißt "auf dem gleichen Server"?
Im gleichen Vhost? (gleicher Webspace)?
Dann wäre das nichts ungewöhnliches, wenn aber ein anderer
Vhost / Webspace gemeint ist dann hast Du/Dein Hoster ebenfalls ein
noch größeres Problem.
Die Dateien liegen alle unterhalb des verzeichnisses "www" (1BLU)
gesichert ist alles, komplett löschen auch nicht das Problem....aber die UrsacheDie Vorgehensweise wäre erst mal alles vom Netz zu nehmen (sichern! - dann komplett löschen) und nach der Ursache suchen.
Wenn Du die hast gehts weiter.
ohne Logfiles wahrscheinlich rel. aussichtslos, zumindest für mich
Wenn du keine Log Files hast bleibt dir nichts anderes übrig als die Komponenten die du installiert hast mit der Liste die ich gepostet habe zu vergleichen.
Hilfe gibt es unter Angabe von: Hoster, Joomla Version, Installierte Komponenten, PHPInfo, Problembeschreibung
Joomla 1.5 Anleitung - CHMOD Verzeichnisse 755 | Dateien 644 | 777 du wirst gehackt!
Info: Privat Support nur gegen Vorkasse
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen