Willkommen, Gast
Angemeldet bleiben:
10 Nov 2021
Am 10.11. findet in Liestal ein weiteres JUG statt. Schwerpunkt: Page Builder.
Mehr lesen...

THEMA:

Wie schafft es "mein" Hacker immer wieder? 17 Mai 2016 16:20 #42901

Hallo zusammen

seit einigen Wochen schlage ich mich mit einer meiner Webseiten herum, die immer wieder aufs Neue gehackt wird. Gemäss Google Webmaster Konsole geht es um die Kategorie "Gehackt: URL eingeschleust". Der Virus speichert an verschiedenen Orten Dateien und einen Unterordner:

Beispiel:
\libraries\joomla\crypt\cipher\editer.php
\libraries\joomla\crypt\cipher\list.cfg
\libraries\joomla\crypt\cipher\files\335464 und hunderte weitere Dateien mit ähnlichen Dateinamen

Lösche ich diese Dateien und den Unterordner, sind sie nach ein paar Tagen an einem anderen Ort wieder da:

\libraries\joomla\event\editer.php
\libraries\joomla\event\list.cfg
\libraries\joomla\event\files\335464 und hunderte weitere Dateien mit ähnlichen Dateinamen

Der Virus hat zur Folge, dass Google-Suchergebnisse gefälscht werden. Sucht man zum Beispiel nach dem Medikament "fluoxetine", wird als Suchergebnis www.meindedomain.ch/fluoxetine.pdf angezeigt. Man kann dieses Dokument auch öffnen, obwohl es unter der vorgetäuschten URL nicht existiert.

Ich frage mich, wie es diesem Spitzbuben immer wieder gelingt, seine Dateien hochzuladen. Was ich schon unternommen habe:

1. Sämtliche Ordner und Dateien gelöscht und durch neue (saubere) Joomla-Dateien ersetzt.
2. Die Ordnerberechtigungen überprüft, sie lauten 755. Das sollte, so viel ich weiss, stimmen.
3. Joomla war und ist immer auf dem neuesten Stand. Ich gehöre jeweils zu den ersten, die ein Update installieren.
4. Es gibt nur sehr wenige Erweiterungen: JCE Editor, ARI Image Slider, AllVideos (by JoomlaWorks), und als Template joomspirit_18. Auch hier halte ich immer alles extrem zeitnah auf dem neuesten Stand.

Alles ohne Erfolg! Nach ein paar Tagen sind die beiden oben erwähnten Dateien und der Unterordner wieder da, einfach an einem anderen Ort.

Wenn ich Google zum kombinierten Suchbegriff "editer.php list.cfg" befrage, erhalte ich keine brauchbaren Ergebnisse. Es scheint kein bekannter Virus zu sein.

Danke und Gruss
Christof

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wie schafft es "mein" Hacker immer wieder? 17 Mai 2016 16:58 #42903

Hoi Christof

Ich würde auf dem Administrator ordner ein .htaccess Verzeichnisschutz hinterlegen.
Zudem das Admintools von Akeeba installieren (verzeichnisschutz kannst auch mit dieser Komponente erstellen).

Je nach Hoster kannst in der Hosting Verwaltung z.B. Cpanel, die Seite nach Virenscannen.

Bei AllVideos gab es mal, wie ich meinte eine Version mit Sicherheitslücken. Die hast Du aktuell?
Bist Du sicher dass Du nicht noch in einem anderen Verzeichnis eine alte Weblösung installiert hast (muss nicht Joomla sein)?
Viele Grüsse

Adi Heutschi
www.adiheutschi.ch - webdesign - hosting - seo

Meine Dienste hier sind ehrenamtlich!
Umso mehr freue ich mich, wenn Du mir als Anerkennung eine 5-Sterne Rezension hinterlassen würdest: EINFACH HIER KLICKEN: bit.ly/36djavE VIELEN DANK!

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wie schafft es "mein" Hacker immer wieder? 17 Mai 2016 19:24 #42906

Ich hatte ein anderes Problem: von meiner Webseite wurden Spam-Mails verschickt. Dies lag am JCE editor. Ich habe dann den editor aktualisiert und nun hoffe ich, dass keine Spam Mails verschickt werden. Ich würde die Erweiterungen auch kontrollieren und alle updaten.

Mfg

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wie schafft es "mein" Hacker immer wieder? 17 Mai 2016 22:14 #42907

Hallo Adi

danke für Deine Antwort. Den Administrator-Ordner zu schützen kann sicher nicht schaden. Aber beachte: in meinem Fall ist der Ordner "libraries" betroffen. Da nützt es wohl nichts, wenn ich den Ordner "administrator" schütze?! Ich habe mir schon überlegt, ob ich den Ordner "libraries" auf 555 setzen soll. Aber ich hatte Angst vor ungeahnten Folgen und hab's deshalb bleiben lassen.

Ich habe schon mehrere Webseitenvirenscanner ausprobiert. Alle haben gemeldet, die Webseite sei virenfrei. Was offensichtlich nicht stimmt. Es sei denn, das was ich habe sei kein Virus im engsten Sinn.

AllVideos habe ich die 4.7.0 und das ist die neueste Version.

Nebst Joomla läuft nur noch Awstats auf diesem Hosting.

Danke und Gruss
Christof

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wie schafft es "mein" Hacker immer wieder? 17 Mai 2016 22:25 #42908

Hi Crimle
Nicht ganz einfach. Aber ich würde mal das access.log checken, und zwar genau den Zeitpunkt, an dem diese Dateien erstellt wurden. Das Erstellungsdatum von Dateien liefert dir ja u.A. ein FTP-Programm (Filezilla z.B.), oder auch der Dateimanager vom Hosting (falls vorhanden).

Muss nicht, könnte aber, mit etwas Glück, einen Anhaltspunkt liefern, wo und wie 'eingebrochen', resp. diese Dateien erstellt werden.

Bist Du sicher dass Du nicht noch in einem anderen Verzeichnis eine alte Weblösung installiert hast (muss nicht Joomla sein)?

Richtig Adi: Ein altes Joomla, Wordpress, Moodle, Standalone-Galerie, oder was auch immer....alles was nicht aktuell ist, muss mindestens entweder aus dem Web-Root verschwinden oder dann halt htaccess-geschützt sein.

Denn wer sich einmal in der (aktivierten) Umleitungs-Komponente die URL's anschaut, mit denen versucht wird zu 'connecten', sieht schnell, dass da alle möglichen Erweiterungen, CMS, Gallerien und sonstiges (sogar phpMyAdmin) einfach mal in's Blaue hinaus 'gesucht' werden!

Zieht euch mal diese Liste rein, ihr werdet staunen, was da mit URL's alles ver- und gesucht wird.

Good luck
Roger

[Edit]
Mit folgendem Script, einem Scanner für Joomla-Installationen, habe ich auch schon Übeltäter aufgespürt:
github.com/btoplak/Joomla-Anti-Malware-Scan-Script--JAMSS-
Einfach die jamss.php ins Webroot kopieren, gemäss Anleitung aufrufen, und dann die angezeigten Resultate durchsehen. Ist zwar etwas aufwand, da nicht wenige 'false positives' mit dabei sind, z.B. von Editoren oder Mailer. Aber einen Versucht ist es allemal wert ;)
Tu das was du kannst, mit dem was du hast, da wo du bist

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wie schafft es "mein" Hacker immer wieder? 17 Mai 2016 22:27 #42909

Hallo Mondi85

Dein Rat ist ja lieb gemeint. Aber ich schrieb doch bereits, dass JCE und alle anderen Erweiterungen auf dem neusten Stand sind. Konkret: JCE ist auf 2.5.16, alle JCE-Plugins sind ebenfalls aktuell. Das selbe gilt für den ARI Image Slider.

Gruss
Christof

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wie schafft es "mein" Hacker immer wieder? 17 Mai 2016 22:34 #42910

Hallo Tribal6

danke Dir! Wo finde ich die Datei access.log? Im Ordner "logs" habe ich nur:
error.php
joomla_update.php

Ich habe mit Sicherheit keine andere Weblösung auf diesem Hosting! Vor längerer Zeit habe ich mal Awstats eingerichtet. Immerhin ist er mit .htaccess und .htpasswdpasswortgeschützt. Den Ordner könnte ich aber schon löschen, falls Du meinst, das bringt was.

Ja, die Umleitungs-Komponente habe ich mir auch schon (kopfschüttelnd) angeschaut. Was da alles versucht wird... unglaublich!

Gruss
Christof

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wie schafft es "mein" Hacker immer wieder? 17 Mai 2016 22:45 #42911

Wo die Zugriffs-Logs sind, ist je nach Hoster unterschiedlich. Frag doch sonst einfach mal nach.

Oder eben, mal das Script ausprobieren. Hat mir z.B. schon php Dateien in den (Un-)Tiefen eines grossen /images Ordners aufgespürt, und die waren glaub sogar als .gif 'getarnt :woohoo:
Tu das was du kannst, mit dem was du hast, da wo du bist

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wie schafft es "mein" Hacker immer wieder? 17 Mai 2016 23:41 #42912

Wenn über das hosting spam verschickt wurde, unbedingt FTP Zugang passwort ändern. Da über diesen account auch mails verschickt werden können. Falls du filezilla verwendest, den pc nach viren scannen.

Der htaccess schutz auf dem Administrator ordner bringt in jedemfall schutz. Die drittkomponenten welche lücken haben oder hatten (jce) sind über dieses Verzeichnis so zugänglich.
Viele Grüsse

Adi Heutschi
www.adiheutschi.ch - webdesign - hosting - seo

Meine Dienste hier sind ehrenamtlich!
Umso mehr freue ich mich, wenn Du mir als Anerkennung eine 5-Sterne Rezension hinterlassen würdest: EINFACH HIER KLICKEN: bit.ly/36djavE VIELEN DANK!

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wie schafft es "mein" Hacker immer wieder? 18 Mai 2016 08:40 #42913

Wo die Zugriffs-Logs sind, ist je nach Hoster unterschiedlich. Frag doch sonst einfach mal nach. Oder eben, mal das Script ausprobieren. Hat mir z.B. schon php Dateien in den (Un-)Tiefen eines grossen /images Ordners aufgespürt, und die waren glaub sogar als .gif 'getarnt :woohoo:

Die Anfrage an den Provider läuft... Das besagte Script habe ich soeben ausprobiert. Aber es überfordert mich in jeder Hinsicht.

We found 1654 suspicious malware code spots in 590 different files!

Da wird mir schwindlig, wenn ich das alles durchlesen müsste. Aber danke, es war einen Versuch wert.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • Seite:
  • 1
  • 2
  • 3