Links in der Index.php des Templates
Hallo,
bei meiner Site wird seit längerem die index.php des Templates "editiert". Es werden Links eingefügt. Teilweise sichtbar als Anhängsel am Seitenfuß, teilweise unsichtbar.
Ich hab die Datei schon mit 444 Berechtigung versehen, hilft nix.
2 Fragen:
Was ist das für ein Angriff. Wie gehen die da vor?
Was kann man dagegen tun?
Google hat mit leider noch nicht DIE Lösung gebracht...
Vielleicht kann mir jemand von euch einen Tipp geben.
Cu
Stefan
Hi,
Google vielleicht nicht, aber die Forensuche:
u.a. http://www.joomlaportal.de/sicherhei...index-php.html
hth
albatros
1.FAQ 2.SuFu 3.Google
Hilfestellungen und Lösungen können nur im Forum von allen genutzt werden. Bitte keine Supportanfragen per PN!
...und setz mich auf mein achtel Lorbeerblatt und mache was ich will.
Mein Auto ist geknackt worden. Wieso?
Genauso aussagekräftig. Mal ehrlich. Welche Joomlaversion, alle Komponenten (wirklich) aktuell?
Hast du Zugriff auf die Serverlogs? Wenn ja, schau, wo der Hacker reinkommt. Und nimm die Seite erst mal offline.
Wenn du keinen Zugriff hast, musst du dringend deinen Hoster kontaktieren.
Wer weiß, wo alles Lücken sind.
Gruß, Dennis
Zitat von finanza
Dann wird es höchste Zeit, dass du handelst.
Momentan ist dein Verhalten als grob fahrlässig zu bezeichnen, sorry.
Arbeite bitte die Tipps von Flotte ab.
Vielen Dank schon mal für eure Antworten!!
>Hast du Zugriff auf die Serverlogs? Wenn ja, schau, wo der Hacker reinkommt. Und >nimm die Seite erst mal offline.
In den Logs hab ich folgendes gefunden:
200.46.235.154 - - [06/Mar/2009:14:39:58 +0100] "GET /administrator/index.php HTTP/1.1" 200 2142 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
200.46.235.154 - - [06/Mar/2009:14:39:59 +0100] "GET /administrator/index.php HTTP/1.1" 200 2142 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
200.46.235.154 - - [06/Mar/2009:14:39:59 +0100] "POST /administrator/index.php HTTP/1.1" 200 54 "http://www.xxx.de/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
200.46.235.154 - - [06/Mar/2009:14:40:00 +0100] "GET /administrator/index2.php?option=com_templates&task=edit&cid[]=247portal-b-red&client=0 HTTP/1.1" 200 34092 "http://www.xxx.de/administrator/index.php" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
200.46.235.154 - - [06/Mar/2009:14:40:01 +0100] "POST /administrator/index2.php HTTP/1.1" 200 40133 "http://www.xxx.de/administrator/index2.php?option=com_templates&task=edit&cid[]=247portal-b-red&client=0" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
200.46.235.154 - - [06/Mar/2009:14:40:02 +0100] "POST /administrator/index2.php HTTP/1.1" 301 - "http://www.xxx.de/administrator/index2.php" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
Sagt euch das was?
Hallo Stefan,
mir sagt das nichts gutes, und für wirkliche Hilfe hab ich zuwenig Infos.
Was du jedoch sicher tun musst ist 1.) die Seite offline nehmen und nach vorherigem Backup komplett vom Server entfernen - das so sicher wie Feuer brennt
Danach die neuste Version von Joomla installieren und die Inhalte der alten Seite neu einpflegen, ist das erledigt, dann schütze den Adminordner per .htaccess mit einem STARKEN Passwort.
Du hattest bisher Glück mit eurer Seite, es lässt sich damit aktuell jedoch auch schlimmeres anstellen als nur Links einzufügen! Der Eindringling aus Panama ging bisher eher vorsichtig vor, das kann sich aber schnell ändern.
Hab alle Erweiterungen upgedatet und weitere Sicherungsmassnahmen getroffen (.htaccess usw. ). Seitdem passt das wieder.
Ich habe daraus die Lehre gezogen, es mir 2x zu überlegen ob ich einen Jommla Zusatz benötige und installieren oder nicht... Mit jeder Komponente usw. steigt der Pflegeaufwand.
Vielen Dank nochmal allen Postern!!
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen