1.015 Seite gehackt...

**lostmail** · 05.04.2009 15:37

In einen Verzeichnis fand ich z.B. unter "http://www.joomlaportal.de/images/banners/" ein cgi-bin Verzeichnis welches auf eine Paypal-SpoofSeite führt.

Nach kramen in den Logfiles wann dieses Verzeichnis angelegt wurde (heute 05.04. um 08.14) kam ich auf eine Datei namens mod_congiig.php im Module-Ordner.

Hab dann die Adresse mal aufgerufen und da mam ein Hacker-Script zum Vorschein mit welchem man beliebig in der Verzeichnisse rumwühlen kann...

Wie kommt so ein Script in den Modul_ordner ? Lt. installationsanweisung Joomla soll der Module-Ordner 777 Verzeichnis-Recht haben wie einige ander Ordner auch.

ist das alleine nicht schon ein sicherheitshandicap ?

Algerischer Server:
41.209.135.24

Wie kann ich raus finden wie das Script überhaupt da rein kam (über welche Lücke) ?

**Claudia E.** · 05.04.2009 15:49

Ist das die Seite, die schon einmal gehackt wurde?

Woher hast du das denn bitte?!

Zitat von lostmail

Lt. installationsanweisung Joomla soll der Module-Ordner 777 Verzeichnis-Recht haben wie einige ander Ordner auch.

**addi** · 05.04.2009 15:50

Bei 777 ist gewährleistet, dass vom Server schreibend zugegriffen werden kann, allerdings nur über irgendein offenes Scheunentor. Wahrscheinlich eine unsichere Komponente, mit der man über die Post-Methode in solchen Ordnern einiges veranstalten kann. Register globals sind ja doch hoffentlich off. Sicherheitsrelavant erscheint mir auch noch zu sein, den legacy-Modus nicht zu nutzen.

**keraM** · 05.04.2009 15:53

Zitat von lostmail

Nach kramen in den Logfiles wann dieses Verzeichnis angelegt wurde (heute 05.04. um 08.14) kam ich auf eine Datei namens mod_congiig.php im Module-Ordner.

An dieser Stelle solltest Du auch Infos finden, wie die Datei dorthin gekommen ist.

**lostmail** · 05.04.2009 16:44

Ne - nix gefunden in den Logs - zumindest nichts auffälliges....jede Menge GETs aber von anderen IPs und auch nichts was mit dieser Datei zu tun hätte...scheint irgendwo ein Loch zu sein...nur wo ?

Hab jetzt mal alle Explorer raus gelöscht so lange ich sie nicht benötige.
Web-Passwort geändert.

Mal sehn wann wieder ne Meldung kommt...

**addi** · 05.04.2009 16:56

Es gibt ein Buch (glaube auch als ebook) zur Joomla security, außerdem auch ein Bereich im Forum.

Du kannst per .htaccess schonmal einiges unterbinden. Es kann vielleicht nicht ausgeschlossen werden, dass das Script von innen installiert wurde und gar nichts in den Logs zu finden sein kann, wenn der Logger-Demon von innen dabei mal kurz auf Halt gestellt wurde oder ein Log manipuliert wurde.

Algerischer Server? ;-)

**flotte** · 05.04.2009 17:36

Ist die Seite noch online? Wenn ja, warum?
Das Finden der Lücke ist nicht einfach. Falls die schon länger existiert kann es durchaus sein, das das Backdoor-Script nicht mehr in den aktuellen Logs zu fiinden ist. Sieh auch ins FTP-Log. Nicht selten erfolgt der Zugang über FTP. Die grundsätzliche Vorgehensseite siehe unten Signatur.

**blackice2999** · 05.04.2009 18:11

hmmm nett Paypal Spoof... klingt schon fast nach fahrlässigem Handeln die Seite noch weiter zu betreiben...

weitere Tipps zum Thema geHacked siehe Signatur.

Gruß Dennis

Thema: 1.015 Seite gehackt...

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

1.015 Seite gehackt...

Lesezeichen

Lesezeichen

Berechtigungen