Angriff über wysiwygpro-Editor
Wir haben ein (vermutlich neues) Angriffsmuster entdeckt.
Joomla wird infiltriert über
mambots/editors/wysiwygpro/document.php
Darüber werden Files installiert (im entdecken Fall):
/images/stories/genom.php.xl
/images/stories/gg.php
Damit hat der Angreifer eine Möglichkeit installiert diverse index.php's zu überschreiben und vermutlich auch eine Shell (wir tippen auf antichat shell).
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
hi Uwe
nur über den wysiwygpro oder generell über die editoren? hatte mal so etwas ähnliches in der 1.0 Serie wo aber ein ganzen BOT netz mehrfach verschlüsselt war (sehr raffiniert gemacht), nicht NUR in dem Editor, das war auch mein vorzeitiger Grund auf 1.5 umzusteigen.
Gruß Achim
Behandle deine Mitmenschen genau so, wie du gerne behandelt werden möchtest.
www.cybergurke.de | www.filmanleitungen.de | www.joomla-tutorials.de | www.easy-joomla.org
so wie es aussieht über die document.php des oben genannnten Editors.
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
Gibt es da auch Quellcode? Wahrscheinlich nicht, wegen Kommerzialisierung.
Angriffsmuster?
Du meinst den Quellcode der document.php ?
Ja der ist verfügbar. Ich persönlich kenne den Editor ehrlich gesagt gar nicht.
Hab jetzt noch mal im Backkup nachgesehen (Software ist ja bereits entfernt). Scheint sich um Version "WP 2.2.12.1" zu drehen.
Der Hersteller hats wohl auch im Juli korrgiert, wie ich gerade recherchiert habe:
http://www.wysiwygpro.com/index.php?id=428
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
Ich hätte zur Analyse gerne gewusst, wie das genaue Angriffsmuster aussieht. Vielleicht
auch eher per PM, da natürlich immer interessant ist, wie es genau funktioniert, damit
man etwas dagegen tun kann, bzw. erst gar nicht solche Lücken im System entstehen.
Wenn eh schon korrigiert ist, dann ist es ja schon weitgehend behoben, wenn die Updates
denn gemacht wurden. Trotzdem wäre das "WIE" schon spannend.
laut Log ergibt sich folgendes Bild:
Erster Upload von Dateien über document.php ins Verzeichnis /images/stories. Wahrscheinlich eine Uploadfunktion für Bilder. Dabei ist dann z.B. eine Shell (c99madshell) und ein kleines Script, womit diverse Dateien überschrieben werden, was ich hier auszugsweise veröffentliche:
Der Angreifer muss dann nur eine einzige URL aufrufen, um diverse Files immer wieder überschreiben zu können. An der IP-Aktivität (Russland) kann man erkennen, das er dies auch regelmäßig tut...<?
Error_Reporting(E_ALL & ~E_NOTICE);
$file=array('/components/com_content/content.php','../components/com_content/content.php','../../components/com_content/content.php','../../../components/com_content/content.php','index.php','../index.php','../../index.php','../../../index.php');
foreach($file ...
...
... fopen...
... fwrite...
fclose($fp); }
}}
$file=array('templates','../templates','../../templates');
foreach($file...
...
Gruß! Uwe
fc-hosting.de
. . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen