Seite gehackt

**cult** · 09.04.2008 15:47

Hallo,

ich will hier keine Disskusion los treten wegen Sicherheitslücken jedoch scheint es meine Seite erwischht zu haben. Ich habe Joomla 1.0.15 installiert und nur die Notwenigensten Rechte zugriffsrechte vergeben.

Wenn ich meine Domain aufrufe scheint es so als wenn meine Seite geladen wird jedoch sieht man in der Statuszeile das auf http://##########/adv598.php zugegriffen wird was definitiv nichts mit meiner Seite zu tun hat. Ausserdem versucht man eine Remotzugriff her zu stellen. Da mein Viruswarner den Angriff erkennt breche ich den Vorgang gleich ab und habe aber trotzdem schon 8 Viren auf meine System.

Nun zu meiner Frage. Wie kann man sich so ein "scheiss" auf die Homepage einfachen. Habe ich die Chance auf Rettung meiner Seite und den Virus/Trojaner los zu werden?

Wäre für Hilfe, die mich in meiner momentanen Lage weiterbringt, sehr dankbar.

Cult

**jacxx** · 09.04.2008 15:50

http://forum.coppermine-gallery.net/...1671.msg250202

**Taka** · 09.04.2008 16:02

...zugegriffen wird was definitiv nichts mit meiner Seite zu tun hat. Ausserdem versucht man eine Remotzugriff her zu stellen. Da mein Viruswarner den Angriff erkennt breche ich den Vorgang gleich ab und habe aber trotzdem schon 8 Viren auf meine System.

Na dann werden sich bestimmt viele freuen, dass Du deine Virenschleuder mit ihnen teilen willst indem Du den verseuchten Link hier veröffentlichst

**cult** · 09.04.2008 16:37

Coopermin Gallery habe ich auf meiner System nicht installiert.
Ich habe eben gesehen das meine configuration.php gestern Abend 19.25 Uhr zuletzt geändert wurde. Das ist die einzige Datei. Habe aber gestern nicht an meiner Seite gearbeitet. Habe mir nun den Quelltext angeschaut, konnte aber nichts ungewöhnliches feststellen.

**jacxx** · 09.04.2008 16:47

Such mal hier und im Gelöst Forum nach geeigneten Security Maßnahmen...

**sponge** · 09.04.2008 16:49

was hast du denn alles für Komponenten im Einsatz und welche Versionen davon?
Was sagen die Logs?

**eternals** · 09.04.2008 18:11

ja, d.h. wohl alle security maßnahmen hier durchlesen, daten löschen, datensicherung einspielen und alles sicher konfigurieren.

u.a. adminordner schützen, chmod 444 für indexen und configuration, unsichere komponenten entfernen bzw. erst gar nicht nutzen usw.

Vor allem aber takas verkehrsregeln beachten.

Viel Glück

eternals

**cult** · 10.04.2008 07:52

Zitat von sponge

was hast du denn alles für Komponenten im Einsatz und welche Versionen davon?

Ich habe Joomla 1.0.15 drauf.
Dann noch Joomfish_1.8.2 / letterman_1_2_4 / JCE Editor / joomlaxplorer 1_6_2
Zugriffsrechte habe ich so verteilt wie Sie bei der Installation angegeben werden.

(Was ich bis jetzt festgestellt haben ist das ein fremder Quelltext in meiner configuration.php war und auch noch in der index in Joomfish. Habe den Quelltext entfernt aber Seite ist immernoch infiziert :-( )

**rickkp** · 10.04.2008 11:31

Da nun meine Weltreise beendet ist (leider) werde ich mal wieder meinen Senf hier zum besten geben.

@taka Die Umleitung hätte ich gerne in meiner Signatur

@cult

Zugriffsrechte habe ich so verteilt wie Sie bei der Installation angegeben werden.

Ich gehe jetzt mal davon aus dass du auf Grund von einem wahrscheinlichen wwwrun bzw www-data <-- Forum durchsuchen für Erklärung - Problem die Zugriffsrechte auf 777 gesetzt hast.

Dadurch war es einem Angreifer Möglich auf deine Dateien zuzugreifen.

Folgende Vorgehensweise ist DRINGEND anzuraten!

ALLES (Dateien und Datenbank) sichern!
ALLE DATEIEN von deinem Webspace LÖSCHEN!
Die Sicherung der Datenbank auf möglichen schadhaften Code durchsuchen!
Ein SAUBERES BACKUP deiner Dateine einspielen (Kein Backup --> PROVIDER nach sauberem Backup fragen)

Nachdem du deine Seite SAUBER wieder aufgesetzt hast folgendes beachten!
KEIN VERZEICHNIS UND KEINE DATEIEN MIT 777!
Verzeichnis MAX 755
Dateien MAX 644

wwwrun Problem --> entweder JExplorer nutzen oder deinen Provider bitten deinen Account auf z.B. SuPhP umzustellen

Die htaccess.txt in .htaccess umbenennen!

ALLE Komponenten entweder auf eine SICHERE Version updaten oder wenn kein SICHERES Update vorhanden --> ENTFERNEN!
Per FTP nachschauen ob auch wirklich alle Dateine der unsicheren Komponente entfernt wurden!

**jacxx** · 10.04.2008 11:37

Warum nicht suphp?

Ja..weshalb eigentlich nicht?

Deshalb! http://www.rz.uni-karlsruhe.de/rz/sy...www/suphp.html

Thema: Seite gehackt

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Seite gehackt

Lesezeichen

Lesezeichen

Berechtigungen