Seite gehackt? (U just got owned)
Hallo!
Ich selbst arbeite mit Joomla 1.0.8.
Eine Freundin von mir mailte mich heute hilfesuchend an, daß ihre Introseite bei Mambo 4.5.3 nicht mehr käme.
Auf der URL erscheint nun: U just got owned
http://www.wolfsangel.com/
Gibt man jedoch http://www.wolfsangel.com/index.php ein, kommt wenigstens der Rest der Seite.
Kann mir jemand sagen, was da los ist? Wurde die Seite gehacked? wie kann man das wieder wegbekommen?
Danke für Hilfe
Geändert von cathunter43 (23.06.2006 um 09:10 Uhr)
Michael P.
Mein Verein
Ich hab mir das gerade mal angesehen und ich denke, das sie nicht gehackt wurde, sondern nur eine Datei namens index.htm per ftp hochgeladen wurde.
Da die Endung .htm meistens vorrangig ist, bei joomla aber .php angesprochen wird, schaltet sich diese Seite einfach vor.
Lösung: index.htm löschen und Server absichern!!!
Das ist blos eine index.html Datei die dort abgelegt wurde. Die sollte sich per ftp wieder löschen lassen. Aber damit ist das Problem noch nicht gelöst. Offensichtlich gibt es bei dieser Installations oder bei den Dateirechten ein Sicherheitsproblem. Evtl. sollte da mal auch die Mambo-Installation auf eine aktuellere Version upgedated werden.
Ist die Datenbank auch beschädigt?? Ist diese noch in Ordnung oder ein Backup eingespielt worden, müsste es eigentlich reichen die betroffenen Dateien mit den Dateien aus der Joomla Installation zu überschreiben. Eigentlich könnteste dann auch gleich auf die 1.0.9 wechseln.
Edit: Man bin ich langsam!! Schon 2 Post dazwischen! Da liegt aber anscheinend echt nur eine index.htm im FTP Verzeichnis... Löschen...Fertig
Geändert von jason808 (22.06.2006 um 14:49 Uhr)
Hallo!
Mann, seid ihr aber schnell! Vielen dank erst mal
Wie gesagt, das ist Mambo 4.5.3. Ein neueres gibts net.
Ich hatte ihr schon lang empfohlen, daß das auf Joomla upgedatet wird.
Aber das werde ich wohl machen müssen.
Auf der Seite sind auch jede Menge Module/Componenten installiert, die ich nicht kenne.
U.a. Arcade-Spiele, wo ich nicht weiß, was das auf der Seite soll.
An sonsten ist da auch recht viel huddel im Backend.
Vielleicht hat sie sich irgend einen suspektes Modul installiert
Ans Backend komme ich. Aber für den Zugang über ftp brauche ich erst noch die Daten.
Auf meinen Seiten habe ich immer JoomlaXPlorer laufen, da kommt man auch an alles ohne ftp.
Werd mich het abend mal drum kümmern, wenn ich wieder zu Hause bin.
Aber nun so einfach auf Joomla updaten ist mir momentan zu gewagt.
Erst muß der Fehler/Hack gefunden werden.
Mittlerweile habe ich die Introseite lokalisiert.
Sie hat die URL http://www.wolfsangel.com/wolfsangel/index.htm
und von da aus läuft die Seite auch normal.
Michael P.
Mein Verein
Komische index.html
Das Bild kommt nach dem schließendem body-tag. Ich dachte immer hacker sind auch html-cracks?Code:<html> <head> <meta **********="Content-Type" content="text/html; charset=windows-1252"> <title>Owned :-)</title> </head> <body text="#FFFFFF" bgcolor="#000000"> </body> <center><img src="owned.jpg"></center> </html>
Auf alle Fälle liegt auf dem Server auch noch eine jpg-Datei owned.jpg.
Wer weiss was da noch für Dateien raufgebeamt wurden.
Ich bin auch mal gehackt worden. Da waren dann auch vermeintliche jpg-Dateien dabei, die dann eine php Datei generiert haben.
Auf alle Fälle überprüfen, welche Dateien neu auf dem Server sind (und in Unterverzeichnissen!) bzw. kürzlich geändert wurden. Das kann man per ftp ja feststellen.
Manches was auf den ersten Blick harmlos aussieht, kann sich im nachhinein als tückisch erweisen!
du hast schon mal auf Mamboserver nachgeseh'n gibt schon längstWie gesagt, das ist Mambo 4.5.3. Ein neueres gibts net
die 4.5.4 und mal abgeseh'n von eurer index.htm
gibt es bei allen derzeitigen Versionen noch andere Sicherheitslücken
http://www.mamboserver.com/
Also ich bin mit meinen Seiten nach 4.5.3 nach Joomla umgestiegen. Danach hab ich mich nicht mehr um Mambo gekümmert.
Nur glaube ich, daß es nun wenig sinn macht, irgendwas upzudaten oder einzuspielen, bevor ich den Schaden nicht feststellen und ggf. beseitigen konnte.
Z.B. finde ich u.a. auch nicht die Stelle, wo man diese Intoseite angibt.
Dort würde ich dann erst mal schauen, ob man nicht die ursprüngliche Seite wieder definieren kann.
Edit: Gerade sah ich daß das ja noch Mambo 4.5.2 ist :(
Geändert von cathunter43 (22.06.2006 um 15:35 Uhr)
Michael P.
Mein Verein
Sag mal, liest du die Postings eigentlich auch?
Da muss eine Datei mit dem namen index.htm oder .html sein. Die musst du löschen.
Angegeben werden muss dafür gar nichts da Dateien mit der Endung .htm/.html von Apache zuerst ausgeführt werden (bevor dann die index.php) an die Reihe kommt.
Öhm...Zitat von upstream.li
Eigentlich ja.
Aber das kann ich aber doch erst machen, wenn ich per ftp zugreifen kann.
Dazu muß ich zu Hause sein und auch erst noch den ftp-zugang bekommen.
Der JoomlaXPlorer ist dort ja nicht installiert. Und ich will die Seite momentan nich noch zusätzlich zumüllen.
Michael P.
Mein Verein
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Meine Joomla Seite :
Lesezeichen