Thema: Webseite gehackt??!

Hallo Joomla gemeinde!
Gestern nacht oder heute früh war, so wie es aussieht irgendwer auf meinen webseiten und hat einige änderungen gemacht. Auf beiden hab ich joomla 1.0.13 installiert.
Auf der ersten Seite hat derjenige content veröffentlicht (der schon exisierte abeer auf unpulished gestellt war) und einige Seiten als frontpage eingestellt.

Auf der zweiten seite waren die ganzen php dateien gelöscht, welche in dem hauptordner von joomla lagen, unteranderem die configuration.php . (im gleichen ordner wo die module, media,.... liegen)

jetzt ist natürlich eine Frage zu klären:
Hatte derjenige unsere Joomla passwörter?
Kann man durch die sicherheitslücke, was vor kurzem in Joomla 1.0.13 entdeckt wurde dateien auf dem ftp löschen bzw. content verändern?

Mal davon abgesehen, steh ich gerade ratlos im raum, wie ich meine configuration.php wiederherstelle, denn das $mosConfig_password der datenbank ist verschlüsselt
Wenn ich joomla auf dem gleichen webspace versuche zu installieren und dann die configuration.php übernehme (leicht verändert) wird das nciht klappen, denn ich habe nur eine datenbank zur verfügung....hilfe!! ;-/

Kann man durch die sicherheitslücke, was vor kurzem in Joomla 1.0.13 entdeckt wurde dateien auf dem ftp löschen bzw. content verändern?

Nö. Die wurde nur gefixt, weil die Entwickler zu viel Freizeit haben ...
Na was denkst du denn, warum "Sicherheitslücken" durch updates/patches geschlossen werden?

Jedenfalls kann man nicht so einfach sagen, was genau passiert ist. Da bliebe nur das Studium diverser Logfiles. Beim Shared hosting hast du aber evtl keinen Zugriff auf alles. Könnte ja außerdem sein, dass tatsächlich jemand ein Passwort kannte oder erraten hat.

denn das $mosConfig_password der datenbank ist verschlüsselt

Verschlüsselt wird da normalerweise nix, sondern gehashed. Wenn man also die Hash-Funktion kennt (dürfte md5() sein) und evtl noch das "Salz" ("encryption key" bei Joomla?) kann man das Passwort normalerweise ersetzen.

Wenn ich joomla auf dem gleichen webspace versuche zu installieren und dann die configuration.php übernehme (leicht verändert) wird das nciht klappen, denn ich habe nur eine datenbank zur verfügung....hilfe!! ;-/

Versteh i net?
In einer Datenbank kannst du bei Bedarf x-Dutzend Joomlas haben. Jede brauch nur ihren eigenen "table prefix". Das eine Joomla benutzt dann zb "jos_users", ein anderes "mos_users", das nächste "hui_users" usw.

Hatte derjenige unsere Joomla passwörter?

Ich persönlich würde mir evtl mal die Frage stellen, ob alle in "uns" auch vertrauenswürdig sind? Oder ggfs ob alle in "wir" technisch kompetent und zuverlässig sind. Was du beschreibst klingt nämlich eher wie "ups, jetzt habe' ich aber Sch.. gebaut. Besser ich erzähl's keinem" als wie ein "Hack".

Schau Dir halt mal Deine Log Dateien an.

Also die Sicherheitslücke war deiner meinung nach nicht drann schuld?


Das mit der Präfix und der Datenbank -- ist das das, was ich in der installation angebe, wenn ich das datenbankpasswort, und den datenbanknamen angebe? der punkt ganz unten? also du sagst, wenn ich den ändere, kann ich locker die gleiche datenbank verwenden?

Also wegen den anderen Mitarbeitern, es hilft mir noch einer - Aber der ist Kompetent genug, dass er nicht versehentlich content als frontpage angibt, zusätzlich menüpunkte published..und wenn er es versehentlich tut, dann weis er auch wie er es rückgängig machen kann. Ausserdem vermute ich, dass derjenige mit dem admin account drinnen war, weil ein content gelockt war und ich den nur mit dem admin account wieder "öffnen" konnte. Das admin passwort ist ein passwort, was wir oft hernehmen, und was sich aber von unseren beiden account passwörtern unterscheidet.

ist es möglich, dass man nur durch aufrufen von irgendwelchen joomla dateien die passwörter rausbekommt?

zu den log files.
Auf der zweiten seite, wo die daeien gelöscht wurde, haben wir keine log, denn es ist webspace von 1 und 1 und dort hab ich schon angerufen, der kann mri keine auskunft geben.
auf der ersten seite, wo die contents geändert wurden, hab ich ne log datei, die schau ich auch grad durch. (ist ein virtueller server von server4you mit plesk)

Gibt es noch logdateien von joomla die relevant wären?

Die frage lässt sich schnell beantworten, auf Deinen Seiten wurde was verändert und weder Du noch jemand anderst der offiziell Zugriff auf die Dateien hat ist es gewesen.

Wenn ein Systemfehler ausgeschlossen werden kann (so wie Du schreibst würde ich sagen -ja) dann war es jemand anderst.

Wie hat er es geschafft?
Passwörter erraten? Möglich aber sehr sehr unwarscheinlich
Über eine Sicherheitslücke? Die wahrscheinlichste Variante

Meistens sind es veraltete Komponenten die als Einfallstor dienen.
Schau mal nach ob welche installiert waren bei denen Lücken bekannt sind.

Die Lücke in der 1.0.13 von joomla könnte dazu genutzt werden um Adminzugang zu erlangen. Dazu muss aber ein Admin auf der Website angemeldet sein und gleichzeitig in seinem Browser noch eine andere, vom Hacker veränderte Seite offen haben. Also auch ein recht unwarscheinliches Szenario.

Was es genau war wirst Du nur über die Logfiles herausfinden.
Bis dahin mach eine komplette Kopie der Dateb und Datenbank und lösche alles über ftp.
Dann änderst Du alle Passwörter und begibst Dich in den "lokalen" Dateien auf Fehlersuche. Das alles Löschen ist wichtig weil
a) Es gibt schon vie zuviele Spamschleudern und "gehackte" Server die andere Server "angreifen"
b) Du offensichtlich zu wenig Ahnung hast und nicht in der Lage bist zu beurteilen ob eine Datei nun "verseucht" ist oder nicht.
c) Das blose darüberkopieren eines neuen joomla keine Dateien überschreibt die der "Hacke" zusätzlich angelegt hat. Somit hat er danach wieder vollen Zugriff.

Am wichtigsten ist es die Ursache des ganzen zu finden, sonst bist Du hier dauergast.

Relevante logs sind erstmal die access_log und error_log.
Daneben alles was so unter var/logs liegt - oder wo auch immer Du Deine Logfiles speicherst.
Anmerkung: Als Serverbetreiber solltest Du das aber wirklich wissen.

Edit: An Deiner Stelle würde ich auch den (V) Server untersuchen ob es jemanden gelungen ist mehr Rechte zu erlangen als die die er haben sollte.

ist es möglich, dass man nur durch aufrufen von irgendwelchen joomla dateien die passwörter rausbekommt?

Im Klartext werden "nur" das MySQL Passwort und die FTP Zugangsdaten (falls man sie eingtragen hat) eingetragen. Benutzerpassörter werden als Hash in der Datenbank gespeichert und sind somit nicht wirklich gefährdet (sofern sie elementaren Sicherheitsanfroderungen genügen).
Je nachdem was FTP-User und MySQL User dürfen, hat man dann natürlich weitere Löcher.

So, ich weis jetzt folgendes. um 9.11 heute morgen hat sich einer mit einer best. ip bei uns im administrationsbereich eingeloggt, siehe hier:
IP-ADRESSE GEÄNDERT - - [01/Mar/2008:09:11:53 +0100] "GET /administrator HTTP/1.1" 301 338 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12"

IP-ADRESSE GEÄNDERT - - [01/Mar/2008:09:11:54 +0100] "GET /administrator/ HTTP/1.1" 200 2115 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12"

IP-ADRESSE GEÄNDERT - - [01/Mar/2008:09:12:07 +0100] "POST /administrator/index.php HTTP/1.1" 200 54 "http://www.meine url.de/administrator/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12"

IP-ADRESSE GEÄNDERT - - [01/Mar/2008:09:12:07 +0100] "GET /administrator/index2.php HTTP/1.1" 200 35746 "http://www.meine url.de/administrator/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12"

so, diese IP Adresse ist eine ip adresse von STRATO, dadurch haben wir herausgefunden, dass sie natürlich (wer hätte es gedacht ;-) ) zu einer homepage url gehört -- diese IP wurde (als v-server) VON MEINER ARBEIT gemietet. also bin ich hergegangen, da ich weis, dass wir splesk auf unseren V-Servern haben, und bin mit dem Port 8443 draufgegangen --- SIEHE DA unser LOGO von der ARBEIT.

so, jetzt weis ich, dass jemand über diese IP auf MEINE Homepage am SAMSTAG morgen, wenn keiner bei mir in der ARBEIT sitzt gegangen ist.
Da ich weis, dass das linux server sind, kann man mit Putty eine Tunenlverbindung herstellen, und somit mit dieser IP (von dem V-Server) Surfen.
Da ich nur eine Person aus meiner Arbeit weis, die das weis bzw. der das BEWUSST ist, und diese Person schon mehrmals auf meinem PC in der Arbeit war, und geschaut hat, wo ich gesurft habe, und er sich mit joomla auskennt, und ich gestern in meinem Firefox eingestellt hab, dass er die passwörter nicht mehr löschen soll, nachdem ich diesen Beende, vermute ich dass er es war.

So, was meint ihr dazu?
Erst mit Chef reden (bin nur Azubi) und dann eventuell Anzeige erstatten?
Oder gleich Anzeige erstatten?

Anmerkung: Als Serverbetreiber solltest Du das aber wirklich wissen.

Jeder fängt mal klein an, oder nicht? ;-)

LOL

btw: Ein Anzeige "aufgeben" tut man bei der Zeitung zB. "Erstatten" kann man zB bei Polizei. Auf jeden Fall richtig wäre "Strafantrag stellen"

Abgesehen davon ist so ein Verhalten natürlich tatsächlich schon kriminell und strafbewehrt (§303b StGB, jedenfalls bei Vorsatz).
Ob du zuerst mit deinem Chef redest oder nicht, hängt wohl von den Gesamtumständen ab und das musst du selbst entscheiden. Wichtig wäre ggfs noch, ob das private surfen am Arbeitsplatz bei euch in der Firma erlaubt/geduldet ist oder nicht. Hat aber nur was mit dir und deinem Chef zu tun und nix mit der grundsätzlichen Strafbarkeit der vorliegenden Tat.

Mmh, warum kann sich jemand anderes auf deinen Account einloggen am Arbeitsplatz? Wenn das bekannt ist warum speicherst du da solche Passwörter?