Auch hier hat es mal wieder einen erwischt.

**krombacher_lite** · 01.04.2008 02:01

Soooo auch von meinem Kunden wurde eine Webseite gehackt.

Eigentlich muss ich fast schon sagen selber schuld. Joomla war 1.0.12 und Virtuemart auch auf diesem Stand.

Ich hatte ihn schon mehrfach darauf hingewiesen daß das gemacht werden müsste.
Es wurde aber immer wieder herausgezögert.

Dann kam der Tag X.

Server versendete Mails mit der Domain als Absenderadresse.

Ok dann habe ich alles überprüft und festgestellt das es nicht nur die Updates von Joomla und Virtuemart waren, dein es war auch kein mod_rewrite mehr aktiv und die Configuration.php war auch beschreibbar.
Das kam daher, da das Web auf dem Server mal verschoben oder umgezogen wurde und diese Einstellungen vergessen wurden.

nun habe ich das komplette web geleert und alles neu aufgespielt und eingerichtet. Also alles neu eingerichtet. Kein Backup!

Es lief nur Joomla 1.0.15 und der Virtuemart. Nach dem aufspielen habe ich die configs schreibgeschützt und auch mod_rewrite eingeschaltet und register globals ausgeschalten.
Dann die DB von der alten installation übernommen und wieder für das Netz freigegeben.
Ach ja die Shop Bilder wurden noch in die neue Installation kopiert. Sonst wurde von der alten Installation nichts übernommen.
Das ging gut von heute Mittag bis heute Nacht. Da ging es wieder los.

Nach Aussagen des Webhosters werden momentan nur von diesem Web emails versendet.
Ich habe ihm aber geraten den Server neu aufzuspielen, da auch noch andere Webs davon betroffen sein könnten bzw der Server selbst infiziert.

Was mir auch aufgefallen ist, es wurde auf diesem Server nicht mehr die aktuellste Confixx Version benutzt.

Nun woran könnte es gelegen haben? Die offensichtlich falschen Einstellungen die ich oben erwähnt habe? Was mir aber ein Rätzel ist, denn bei der neuen Install wurden diese Einstellungen alle vorgenommen.
Könnte es am etwas älteren Confixx liegen?

Oder könnte es daran liegen, daß der webserver php als modul ausführt und nicht als CGI?

Joomla wurde mit einem CMS Installer installiert. Also alle Daten gehörtem wwwrun. Alle änderungen wurden über den Extplorer vorgenommen. Da es über FTP ja nicht mehr geht.

Oder kann es an einem Sicherheitslücke allgemein von Joomla bzw Virtuemart sein? Was ich beim ersten hack nicht vermuten würde.

Wäre euch dankbar wenn Ihr eure Gedanken dazu vielleicht kurz niederschreiben würdet.
Klar ist mir auf jeden Fall, daß da bestimmt viel Eigenverschulden dabei ist.

Vielen dank
Krombacher_lite

**flotte** · 01.04.2008 19:58

Trotz des langen Postings keine sinnvollen Informationen, auf deren Basis man eine Aussage machen kann. Nicht einmal das konkrete Problem wird genau genannt. Scheinbar wird Spam mit Deiner Domain verschickt... mehr kann ich nicht rauslesen.

Nach Aussagen des Webhosters werden momentan nur von diesem Web emails versendet.
Ich habe ihm aber geraten den Server neu aufzuspielen, da auch noch andere Webs davon betroffen sein könnten bzw der Server selbst infiziert.

Auf Basis welcher Erkenntnisse gibst Du diesen Rat?

Was sagen die Logs?
Welche Lücke wird benutzt falls Emails über das Joomla verschickt werden?
Wurde überhaupt schon mal in die Logs gesehen oder reicht es ein veraltetes Confixx als mögliche Ursache zu verdächtigen? Wenn ja, warum?

Lies mal die anderen Postings und Berichte über Anfragen was man tun soll, wenn eine Seite Besuch bekommen hat.

Thema: Auch hier hat es mal wieder einen erwischt.

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Auch hier hat es mal wieder einen erwischt.

Lesezeichen

Lesezeichen

Berechtigungen