Ungewöhnliche Passwortabfrage im Backend in com_installer

    Moin Moin !
    Hallo zusammen,


    nachdem ich nun sehr lange still war und mehr mit anderen Dingen beschäftigt war wollte ich heute "mal eben" jemandem helfen seine Seite wieder funktionsfähig zu machen.
    Die Seite ist aktuell Joomla 3.5.6 und wird mit php 5.6 betrieben. Alles so wie es sein soll.
    Die Dateien des Joomla Core´s sind intakt und nicht kompromitiert. ( habe ich auf gleichheit geprüft. Alle )


    Plugins die nicht zum Core gehören wurden deaktiviert.


    Gehe ich nun im Backend in den Installer und markiere eine Komponente , ein Plugin und klicke au Deinstallation dann erscheint eine leere weisse seite mit einem Eingabe Feld für ein Passwort.
    Gebe ich dort "irgendwas" ein , lande ich wieder in der com_installer in der Liste in der ich vorher war.


    Bild der Meldung habe ich angehangen.
    Code dazu sieht so aus :

    Code
    <pre align=center><form method=post>Password: <input type=password name=pass><input type=submit value='>>'></form></pre>


    Mir fehlt im Moment die passende Idee. irgendwo kommt diese Frage ja her. Habe ich da evtl. etwas verpasst in den letzten Monaten ?


    Vielleicht wisst ihr mehr und könnte mir auf die Sprünge helfen.

    So. habe nun alles gefunden und beseitigt.
    Da sehr viele Komponenten und Module installiert waren war es eine Fleissarbeit.


    Letztendlich wird auch dieser Verein in Zukunft anders "acht" geben.
    Vielen Dank für Eure Anregungen.


    Letztendlich hattet ihr beide Recht.
    Das hochsetzen des Errorlevels ergab einen Teil der infizierten Dateien und das prüfen auf Shells etc. einen anderen.
    Letzlich habe ich nun alles sauber.
    Alle Dateien entsprechen denen des Originals und es gibt keine zusätzlichen Dateien ;)

    Noch wichtiger ist, die Lücke zu finden, wie der Angreifer seine Dateien hinterlegen konnte. Sonst kann es nur wenige Stunden dauern und alles ist wieder voller Schadcode. Eventuell liegt das Problem ja auch beim Kunden auf dem Rechner in Form eines Keyloggers. Wird dieser nicht gefunden und entfernt, sind selbst alle neu angelegten Passwörter wieder ausgespäht.

    Zitat von faro

    Noch wichtiger ist, die Lücke zu finden, wie der Angreifer seine Dateien hinterlegen konnte. Sonst kann es nur wenige Stunden dauern und alles ist wieder voller Schadcode. Eventuell liegt das Problem ja auch beim Kunden auf dem Rechner in Form eines Keyloggers. Wird dieser nicht gefunden und entfernt, sind selbst alle neu angelegten Passwörter wieder ausgespäht.


    Danke für Deinen Hinweis. Das ist mir absolut klar. Dafür habe ich gesorgt.