*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Gefundene Hacker-Dateien - Nachschlage-Beitrag
« am: 02.02.2010 13:02 Uhr »
Hier werden künftig gefundene Hacker-Dateien mit Dateiname und Speicherort angezeigt, damit die Suche künftig etwas leichter fällt. Bei einem Kunden wurden über Trojaner auf seinem eigenen PC zu hause die Joomla-Passwörter ausgelesen, Admin-Daten verändert und danach Backdoor-Dateien auf den Server geschleust, so dass der Zugang wieder hergestellt werden kann.

Speicherort der Dateien war

/includes/application_checker.php
/includes/update.php

Diese Dateien gehören nicht zum Joomla-Core und sind somit zu löschen.
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline driet

  • *
  • 732
  • Volle Kanne, Hoschi!
    • Profil anzeigen
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #1 am: 03.02.2010 16:53 Uhr »
Alter Schwede, ganz schön viel Aufwand, um eine einzelne Seite zu hacken. Was war denn das Betriebssystem daheim?
Problemlösungswahrsager, Glaskugelmethode

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #2 am: 03.02.2010 17:05 Uhr »
Vista... :)

PS: war vielleicht gar nicht geplant, Gelegenheit macht ja bekanntlich Diebe, aber wem sag ich das.  ;D
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline driet

  • *
  • 732
  • Volle Kanne, Hoschi!
    • Profil anzeigen
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #3 am: 04.02.2010 23:23 Uhr »
Jaja, Tante Gelegenheit und Onkel Vorsatz ...  :-X
Problemlösungswahrsager, Glaskugelmethode

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #4 am: 08.02.2010 09:46 Uhr »
Und wieder grüßt der Hacker von einer Startseite. Gefundene Dateien:

acm.php
info.php (wenn man die nicht selbst hochgeladen hat, ist diese verdächtig wie in diesem Fall)
set.php
s.php

Alle im Root-Verzeichnis von Joomla. Lücke war vermutlich eine alte Version von Acajoom oder JBackup.
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #5 am: 11.02.2010 11:26 Uhr »
Und wieder mal was neues, diesmal bei einer alten Joomla 1.0-Installation, bei der noch der ExtCal installiert war (seit Jahren auf dem Index):

Im Ordner /media befand sich die Datei siyah.php, mit der dann Spammails verschickt wurden.
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #6 am: 20.02.2010 11:30 Uhr »
Und wieder eine Installation mit Lücke: ccNewsletter 1.0.5, im Hauptverzeichnis lagen eine r1.php, eine lfi.txt, eine bnc.txt sowie eine wfig.php....
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #7 am: 29.03.2010 22:50 Uhr »
Bei CKForms, was heute im Laufe des Tages hier für Unterhaltung sorgte, haben die Hacker im Ordner /administrator/includes zumindest bei einem Kunden eine fonts.php abgelegt.
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #8 am: 20.04.2010 16:16 Uhr »
Joomla 1.0.9 mit ExtCal und Gallery2-Bridge als Komponente wurde überraschenderweise gehackt, im Ordner /media war eine Datei: siyah.php
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline liether

  • *
  • 139
  • Bernd
    • Profil anzeigen
    • Uetersen Badminton
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #9 am: 20.04.2010 17:45 Uhr »
Joomla 1.0.9 mit ExtCal und Gallery2-Bridge als Komponente wurde überraschenderweise gehackt, im Ordner /media war eine Datei: siyah.php

Joomla 1.0.9 ???
            Sachen gibt es....

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #10 am: 20.04.2010 18:41 Uhr »
Kommentar des Admins:

Ich habe doch seit Jahren nichts mehr an meiner Seite gemacht, wieso ist denn da plötzlich eine Sicherheitslücke?
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #11 am: 27.05.2010 20:20 Uhr »
Joomla 1.0.11 mit alter Version von Facileforms, JCE, Joomfish wurde gehackt. Im Hauptordner von Joomla waren direkt 3 Dateien zu finden:

danzel.aspx
IzraiL_b374k.php
media.php
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #12 am: 20.07.2010 10:34 Uhr »
Joomla 1.5.14, CKForms 1.33, Agora-Forum in Uralt-Version haben überraschenderweise einige Hacker auf den Plan gerufen.

U.a. im Ordner /html war eine cache.php zu finden, in einigen Template-Ordnern eine vitality.php, über die gespammt wurde.

Diese Installation war nicht mehr zu retten, jetzt wird alles gelöscht und neu aufgesetzt.
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re:Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #13 am: 06.08.2010 07:28 Uhr »
Durch eine installierte G2-Bridge kamen Hacker auf eine Seite, im Ordner /html lagen eine HALIFE.zip, die dann einige Tage später entpackt wurde.

Ergebnis waren 10.000 Spammails im Postausgang, die gelöscht werden mussten und eine c99.php, eine tmp.php, eine aaaaa.php sowie eine 404.php.
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung

*

Offline admin

  • *****
  • 6.311
  • Support Joomla100
    • Profil anzeigen
    • 100 Prozent Joomla-Hosting
Re: Gefundene Hacker-Dateien - Nachschlage-Beitrag
« Antwort #14 am: 25.05.2016 09:53 Uhr »
In /libraries/joomla haben wir jetzt bei einigen Installationen eine exporter.php gefunden. Wenn diese Datei vorhanden ist bedeutet es, dass die Installation gehackt ist.
Vollkasko-Versicherung für Ihre Homepage?
http://www.joomla100.com/service/vollkasko-versicherung