 Willkommen auf dem Portal für Mediengestalter
|
|
|
| Autor |
Nachricht |
immerIch
Threadersteller
Dabei seit: 19.10.2010
Ort: #mein{display:block}
Alter: 35
Geschlecht: 
|
Verfasst Mi 20.06.2012 11:50
Titel [Info] Joomla-Seite gehackt, was tun? |
  |
|
Hallo zusammen,
heute morgen kam ich ohne böses zu denken in die Agentur, wollte mir gerade mein Käffchen aus der Küche abholen, da wurde ich doch gefragt, ob ich wüsste, wer das "HighTech Brazil HackTeam" sei.
Einen Blick auf die betroffene Kunden-Webseite (basierend auf Joomla 1.7.x), verriet mir dann, was los war.
Nun gut. Der Tatsache, dass diese spaßige Gemeinschaft einen Link zu ihrem Twitter-Account hinterlassen hat, entnehme ich, dass unser Kunde kein Einzelfall ist.
Wer jetzt also auf dem gleichen Problem hockt, dem kann ich evtl. einen Lösungsweg erläutern.
Nun, was haben unsere 3 Freunde der Sonne (ja, laut der Hacker-Seite sind es 3: "No/One","Otrasher" und "CrazyDuck") denn nun alles verbrochen?
Fakt ist: Weder die Startseite der Joomla-Installation, noch jegliche Administrationsseite können aufgerufen werden, es erscheint immer nur die besagte Hack-Seite.
Also flux per FTP die augenscheinlich veränderten Dateien öffnen und nachsehen.
In erster Linie sind folgende Dateien betroffen:
- index.php im Joomla-Root-Verzeichnis
- index.php im Template-Verzeichnis
- index.php im Admin-Verzeichnis
- index.php im Admin-Template-Verzeichnis
Diese müssen wieder durch den Ursprünglichen Inhalt ersetzt werden.
Da es aber trotzdem, vorallem im Admin-Panel zu aufrufen der Hack-Seite kam, habe ich weiter gesucht und bin fündig geworden.
Joomla verwendet als "Ordnerschutz", damit Ordner nicht einfach aufgerufen und die Dateien gesehen werden können auf einen einfachen Trick. Jegliche Joomla-Ordner beinhalten eine (leere) index.html, die einfach eine weiße Seite zeigt, statt die Dateien auflistet.
Und genau diese index.html-Seiten beinhalten auch wieder das Markup der Hacker-Seite.
Das wäre ja nicht so schlimm, wenn es 1-2 index.html-Dateien wären. Aber wie oben geschrieben, beinhaltet jeglicher Ordner und Unterordner von Joomla eine dieser index.html-Datei, und jede, wirklich jede hat dieses bescheuerte Markup drin.
Um jetzt nicht jede index.html zu öffnen, leeren und abspeichern zu müssen, erstellt man einfach schnell eine Php-Datei mit folgendem Inhalt( nicht umbedingt schön, aber hilft ):
| Code: |
<?php
$hide = array('index.php');
$out = '';
function scan($folder){
global $hide, $out;
if($content = opendir($folder)){
$out .= "<ul>\n";
while(false !== ($file = readdir($content))){
if(is_dir("$folder/$file") && $file != "." && $file != ".." && !in_array($file, $hide)){
scan("$folder/$file");
} elseif($file != "." && $file != ".." && !in_array($file, $hide)){
if($file == "index.html"){
$f = preg_replace("/\.\//i","",$folder);
$path = $f."/".$file;
$fp = fopen($path,'w');
fclose($fp);
}
}
}
closedir($content);
$out .= "</ul>\n";
}
return $out;
}
echo scan('.');
|
Ins Root-Verzeichnis laden und im Browser aufrufen.
Jetzt sollte wieder alles beim alten sein.
Zum Schluss:
Admin-Passwort ändern nicht vergessen!
Gruß
|
|
| |
  |
 |
immerIch
Threadersteller
Dabei seit: 19.10.2010
Ort: #mein{display:block}
Alter: 35
Geschlecht:
|
Verfasst Mi 20.06.2012 13:13
Titel
|
|
|
UPDATE!
Anscheinend sind die feinen Herren nicht nur über sämtliche index.html-Dateien sondern auch über sämtliche index.php-Dateien rübergebügelt. Also auch die der Komponenten und Templates, also dort auch umbedingt nachschauen.
|
|
| |
|
|
|
Anzeige
|
|
|
snuwie
Dabei seit: 06.07.2010
Ort: -
Alter: -
Geschlecht:
|
Verfasst Mi 20.06.2012 13:18
Titel
|
|
|
|
Schonmal in den FTP Log geschaut? Da müsstest du alle geänderten Dateien sehen.
|
|
| |
|
|
aUDIOfREAK
Dabei seit: 04.04.2002
Ort: Ansbach
Alter: 44
Geschlecht:
|
Verfasst Mi 20.06.2012 13:21
Titel
|
|
|
viel wichtiger wäre es zu ergründen, über welche sicherheitslücke die überhaupt auf den server bzw. ins joomla gekommen sind und sich schreibrechte auf dem server verschafft haben. habt ihr die aktuellste version von joomla laufen mit allen sicherheitsupdates? wenn ja, würde ich mal zu den joomla entwicklern kontakt aufnehmen - evtl. ist es auch eine noch nicht bekannte lücke, über die die angreifer eindringen konnten. auch ein blick in die logfiles des servers könnte evtl. aufschluss geben, wie die sich zugang verschafft haben...
Zuletzt bearbeitet von aUDIOfREAK am Mi 20.06.2012 13:23, insgesamt 1-mal bearbeitet
|
|
| |
 |
|
top
Moderator
Dabei seit: 25.11.2003
Ort: Hedwig Holzbein
Alter: 52
Geschlecht:
|
Verfasst Mi 20.06.2012 14:17
Titel
|
|
|
Ein einfacher Weg könnte auch der Anruf beim Provider-Support sein. Vielleicht haben die ein zeitnahes Backup welches dir den Stand von vor dem Angriff wieder herstellt.
Damit ist natürlich nicht das Sicherheitsloch gestopft. Ein Backup der gehackten Seite scheinst du ja schon gemacht zu haben. Da kannst du dich in aller Ruhe auf die Suche machen.
Du solltest auch sämtliche Passwörter ändern. Also von Backend-Usern/Admins, FTP-Passwort und auch die Zugangsdaten zur Datenbank (welche du in Joomla natürlich eintragen musst.)
Und nicht nur Joomla selbst aktualisieren sondern auch mal nach den zusätzlich installierten Modulen googlen ob es da bekannte Sicherheitlücken gibt.
Des weiteren könnte es auch sein, dass auf dem Webspace noch irgendwelche alten Scripte gammeln die nichts mit der Seite zu tun haben. (Wie z.B. eine alte Installation von MySQLDumper die man mal vor Ewigkeiten ausprobiert und vergessen hat...  )
Wenn bei dem Webspace noch weitere Domains mit anderem Inhalt sind, könnte unter Umständen auch eine von diesen Seiten betroffen sein. Also nicht nur serverpfade/meineseiten/www.gehackte-seite.tld/http/ prüfen, sondern auch serverpfade/meineseiten/www.andere-seite.tld/http/
|
|
| |
|
|
Marcus77
Dabei seit: 28.02.2011
Ort: Austria
Alter: 46
Geschlecht:
|
Verfasst Mi 18.07.2012 08:55
Titel
|
|
|
Der beitrag ist zwar schon etwas Älter
Aber lösche alles, nachdem du geschaut hast was alles im EInsatz ist, Module Plugins usw...
und lade es NEU rauf, ev gleich mit 2.5.x !
mit der bestehenden DB verbinden und Admin PW ändern !
zugleich eine .hatess erstellen zum gesamten Schutz
richten der gehackten Seite kannst da vergessen !
|
|
| |
|
|
bacon
Dabei seit: 24.10.2007
Ort: -
Alter: -
Geschlecht: -
|
Verfasst Mi 18.07.2012 10:09
Titel
|
|
|
|
Vor allem vor dem Hintergrund, dass der Betreff wahrscheinlich in den google hits recht weit oben landen wird. Das ist tatsächlich bei aller Liebesmüh völliger Quatsch, die einzig sichere Möglichkeit ist, auf eine höhere Version zu migrieren, die hoffentlich die meisten bekannten Sicherheitslücken schließt.
|
|
| |
|
|
fyll
Dabei seit: 20.09.2003
Ort: Augsburg
Alter: 39
Geschlecht:
|
Verfasst Mi 18.07.2012 10:45
Titel
|
|
|
Etwas sehr Ähnliches hatten wir auch mal.
Da lag es aber nicht daran, dass wir bekannte CMS' einsetzen und somit automatisch jedem Angreifen Tür und Tor öffnen, sobald eine Sicherheitslücke bekannt wird, als vielmehr daran, dass der Rechner meines Chefs verseucht war und da dann sämtliche index.* abgeändert und hochgeladen wurden.
|
|
| |
|
|
| |
|
|
| Ähnliche Themen |
Automatissches Backup - Joomla Seite (Filesystem, Database)?
Websites gehackt
joomla: Migration 1.5 auf 2.5
joomla installation
Joomla Untermenü?
Joomla Problem
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
|
