Joomla100 Support Forum
Joomla!-/CMS-Hosting => Sicherheit und Updates => Thema gestartet von: admin am 02.02.2010 13:02 Uhr
-
Hier werden künftig gefundene Hacker-Dateien mit Dateiname und Speicherort angezeigt, damit die Suche künftig etwas leichter fällt. Bei einem Kunden wurden über Trojaner auf seinem eigenen PC zu hause die Joomla-Passwörter ausgelesen, Admin-Daten verändert und danach Backdoor-Dateien auf den Server geschleust, so dass der Zugang wieder hergestellt werden kann.
Speicherort der Dateien war
/includes/application_checker.php
/includes/update.php
Diese Dateien gehören nicht zum Joomla-Core und sind somit zu löschen.
-
Alter Schwede, ganz schön viel Aufwand, um eine einzelne Seite zu hacken. Was war denn das Betriebssystem daheim?
-
Vista... :)
PS: war vielleicht gar nicht geplant, Gelegenheit macht ja bekanntlich Diebe, aber wem sag ich das. ;D
-
Jaja, Tante Gelegenheit und Onkel Vorsatz ... :-X
-
Und wieder grüßt der Hacker von einer Startseite. Gefundene Dateien:
acm.php
info.php (wenn man die nicht selbst hochgeladen hat, ist diese verdächtig wie in diesem Fall)
set.php
s.php
Alle im Root-Verzeichnis von Joomla. Lücke war vermutlich eine alte Version von Acajoom oder JBackup.
-
Und wieder mal was neues, diesmal bei einer alten Joomla 1.0-Installation, bei der noch der ExtCal installiert war (seit Jahren auf dem Index):
Im Ordner /media befand sich die Datei siyah.php, mit der dann Spammails verschickt wurden.
-
Und wieder eine Installation mit Lücke: ccNewsletter 1.0.5, im Hauptverzeichnis lagen eine r1.php, eine lfi.txt, eine bnc.txt sowie eine wfig.php....
-
Bei CKForms, was heute im Laufe des Tages hier für Unterhaltung sorgte, haben die Hacker im Ordner /administrator/includes zumindest bei einem Kunden eine fonts.php abgelegt.
-
Joomla 1.0.9 mit ExtCal und Gallery2-Bridge als Komponente wurde überraschenderweise gehackt, im Ordner /media war eine Datei: siyah.php
-
Joomla 1.0.9 mit ExtCal und Gallery2-Bridge als Komponente wurde überraschenderweise gehackt, im Ordner /media war eine Datei: siyah.php
Joomla 1.0.9 ???
Sachen gibt es....
-
Kommentar des Admins:
Ich habe doch seit Jahren nichts mehr an meiner Seite gemacht, wieso ist denn da plötzlich eine Sicherheitslücke?
-
Joomla 1.0.11 mit alter Version von Facileforms, JCE, Joomfish wurde gehackt. Im Hauptordner von Joomla waren direkt 3 Dateien zu finden:
danzel.aspx
IzraiL_b374k.php
media.php
-
Joomla 1.5.14, CKForms 1.33, Agora-Forum in Uralt-Version haben überraschenderweise einige Hacker auf den Plan gerufen.
U.a. im Ordner /html war eine cache.php zu finden, in einigen Template-Ordnern eine vitality.php, über die gespammt wurde.
Diese Installation war nicht mehr zu retten, jetzt wird alles gelöscht und neu aufgesetzt.
-
Durch eine installierte G2-Bridge kamen Hacker auf eine Seite, im Ordner /html lagen eine HALIFE.zip, die dann einige Tage später entpackt wurde.
Ergebnis waren 10.000 Spammails im Postausgang, die gelöscht werden mussten und eine c99.php, eine tmp.php, eine aaaaa.php sowie eine 404.php.
-
In /libraries/joomla haben wir jetzt bei einigen Installationen eine exporter.php gefunden. Wenn diese Datei vorhanden ist bedeutet es, dass die Installation gehackt ist.