PHP/C99Shell.B

**derbermoe** · 24.01.2008 20:53

Hallo zusammen,

ich habe bis vor kurzem ein Joomla CMS (neueste Version) betrieben, welches dann aber offenbar einem fiesen Hack zum Opfer fiel:
Mein Provider hosteurope sperrte mir den Webspace mit der Aufforderung, das Problem zu beheben: Daraufhin habe ich die Seite erstmal gelöscht.

Ich habe jetzt einen Datenbankabzug und das Webverzeichnis - ein Virenscan fördert den Virus PHP/C99Shell.B zutage (/joomla/cache/nl.php).

Ich habe mir jetzt überlegt, die Seite offline in Betrieb zu nehmen, falls man die Seite irgrndwie säubern kann. Anschließend würde ich gerne auf Joomla 1.5 wechseln, die Pony ML-Komponente aktualisieren sowie die Schreibrechte auf dem FTP eventuell anpassen (die waren vorher eventuell zu sorglos gesetzt).

Dazu habe ich jetzt ein paar Fragen:

1. Wie nehme ich die Seite offline in Betrieb (Stichwort Datenbank, liegt als sql-Datei vor)?
2. Besteht überhaupt die Möglichkeit, den Schadcode zu lokalisieren und unschädlich zu machen?
3. Würde ein Upgrade auf Joomla 1.5 die Sicherheit entscheidend erhöhen oder was ist hier das wesentliche Sicherheitsrisiko?

Ich hoffe, ihr könnt mir ein wenig helfen, weitere benötigte Infos stelle ich bei Bedarf gerne zur Verfügung!

PS: Echt traurig, dass aus mutmaßlich purer Langeweile einfach so eine Webseite angegriffen wird. Seit 2001 war meine Seite nun online aber naja...

**flotte** · 24.01.2008 21:32

Zitat von derbermoe

1. Wie nehme ich die Seite offline in Betrieb (Stichwort Datenbank, liegt als sql-Datei vor)?

Hier im Forum findest Du massenweise Hilfen, wie man ein Joomla umzieht und z.B. auch lokal in Betrieb nimmt. Sei so gut und suche danach. Man muss ja nicht immer dieselbe Laier runterrattern.

Zitat von derbermoe

2. Besteht überhaupt die Möglichkeit, den Schadcode zu lokalisieren und unschädlich zu machen?

Ja, z.B. im Vergleich mit einem sauberen Backup VOR dem Befall.

Zitat von derbermoe

3. Würde ein Upgrade auf Joomla 1.5 die Sicherheit entscheidend erhöhen oder was ist hier das wesentliche Sicherheitsrisiko?

Joomla 1.5 wird aktuell deutlich sicherer sein, weil die unsicheren Komponenten, über die es vermutlich infiziert wurde nicht mehr funktionieren.

Im Umkehrschluss: Finde die Lücke und Dein "altes" Joomla wird ebenfalls sicher sein!

**derbermoe** · 25.01.2008 08:07

Danke für die schnelle und kompetente Antwort!

1. Ok ich werde das mal hier recherchieren, das sollte nicht so schwer sein.

2. So wie es aussieht, hat hosteurope den Befall erst spät gemerkt und somit sind mutmaßlich alle Sicherungen, die ich habe, ebenfalls infiziert.
Ich habe aber noch ein paar mehr oder weniger aktuelle Dateisicherungen, so dass ich zumindest die befallene nl.php ersetzen könnte. Was ist das überhaupt für eine Datei? Oder wurde diese vielleicht extra eingeschleust? Muß eventuell auch die Datenbank bereinigt werden (hiervon besitze ich eher keine aktuelle Sicherung)?

3. Ich denke, ein Upgrade wird aufgrund meines Wissensstandes die einzige Möglichkeit sein, eine ggf. vorhandene Sicherheitslücke zu schließen.

**flotte** · 25.01.2008 09:00

zu 2) und 3):
Die c99-Shell ist eine eigene Datei. Dein Virenscanner sollte Dir sagen, welche das ist.
Damit wird dem Angreifer eine Shell zur Verfügung gestellt, über die es möglich ist alle Files und Verzeichnisse beliebig zu manipulieren. Man kann also niemals wissen, ob mit dem Entfernen der einen Shell-Datei alle weiteren Backdoors beseitigt sind (meistens ist das aber so).
Ein Upgrade auf eine neue 1.0.x-Version oder eine Migration auf 1.5 wird das Problem nur lösen, wenn Du dabei diese Datei(en) nicht mitkopierst. Sehr gerne werden die Files auch als Bilddatei getarnt.
Lade alle Files runter und durchsuche sie komplell nach bestimmten Schlüsselwörter. Z.B. nach "wget", "system", "passthru". Das geht mit modernen Editoren per Mausklick über komplette Verzeichnisstrukturen oder auch mit der Suchfunktion im Windows.
Damit findest Du potentielle Kandidaten von untergeschmuggelten fragwürdigen Files.

**derbermoe** · 28.01.2008 08:21

So die betroffene Datei habe ich entfernt (war im Cache-Verzeichnis, welches ich bei der Gelegenheit direkt geleert hab). Habe auch nach den von dir genannten Schlagwörtern gesucht, da habe ich nichts gefunden.

Eine Frage zum Cache: Gibt es da auch sicherheitsrelevante Einstellungen, die man beachten sollte?

Anschließend habe ich alle Schreib- und Leserechte so angepasst, wie es allgemein empfohlen wird und die configuration.php auf chmod 444 gesetzt.

Alle Komponenten, die ich nicht mehr benötige, habe ich rausgeschmissen und die Seite wieder online geschaltet. Mal schauen, ob es jetzt noch Probleme gibt.

Mit dem Upgrade auf Joomla 1.5 muss ich warten, bis auch die Ponygallery ML bzw. deren Nachfolger kompatibel wird, denn das ist die Hauptkomponente meiner Seite.

Vielen Dank für die Tipps!

**flotte** · 28.01.2008 09:54

Zitat von derbermoe

Alle Komponenten, die ich nicht mehr benötige, habe ich rausgeschmissen und die Seite wieder online geschaltet. Mal schauen, ob es jetzt noch Probleme gibt.

Das ist gut, aber das wichtigste ist das die Lücke gefunden wird.
Gleiche alle Komponenten-Versionen mit den gängigen bekannten unsicheren Versionen ab:
http://www.joomla-downloads.de/siche...meldungen.html
http://www.joomlaos.de/Security.html

**derbermoe** · 17.02.2008 11:32

Danke nochmals! Die Seite ist wieder online und die Sicherheitslücke (Event-Komponente) ist entfernt.

Thema: PHP/C99Shell.B

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

PHP/C99Shell.B

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen