Seite gehackt (Joomla 3.9.24 / Joomshaper 3.7.8) aktuelle Lücken bekannt?

    Hallo liebe Community,

    ich kämpfe seit 2 Tagen gegen einen Hack meiner Seite und habe das Problem das ich nicht weiter komme.


    Die Seite wird misbraucht als Scam Seite, 5 unterschiedliche Bank Loginpages werden dargestellt.


    1. Tag

    Ich habe eine ZIP im Root von Joomla gefunden und ein zusätzliches Verzeichnis in dem die Scam Login Seiten stehen.

    Ich habe in den Logs nichts gefunden und habe den Zugriff erstmal mittels Firewall gesperrt damit die Leute nicht ihre Daten eingeben und dann den Haufen gelöscht.

    Updates kontrolliert, alles aktuell.


    2. Tag

    In der Nacht wurde wieder die Datei hochgeladen, ich habe jetzt diverse Plugins und Komponenten abgeschaltet die ich a: nicht brauche b: evtl. alt waren. Habe den Upload beschränk in der Größe, habe eine Datei erstellt die so heisst wie seine Verzeichnisse ...

    16:00 4 Dateien um die größenbeschränkung zu umgehen, zusätzlich habe eine unzip.php gefunden .. vermutlich habe ich ihn dirket bei der erneuten Einrichtung gestört. Zusätlich war diesmal noch ein weiteres Verzeichnis drauf .. für ne andere Bank.


    Sind euch zZ 0-Days bekannt? In den Zips sind vorkonfigurierte "Unterseiten" er scheint also hochladen und ausführen zu können .. und löschen wie man der Datei sieht die ich erstellt hatte um das Verzeichnis zu verhindern. Hoster ist wint.global



    mfg .. Robin Pe

    Analyse von https://website-bereinigung.de/


    Frontend

    Die corazon.php ist noch vorhanden und sieht ... arg merkwürdig aus


    Einmal editiert, zuletzt von Indigo66 () aus folgendem Grund: 2 Beiträge von Robin_Pe mit diesem Beitrag zusammengefügt.

    Hallo Robin,


    ich würde mir das gern mal im Detail, ohne Kosten, direkt anschauen.

    Gehackte Joomla Seiten sind mittlerweile absolute Einzelfälle und fast immer liegt es nicht an Joomla selbst, sondern am "Drumherum". Sehr unsichere Passwörter, vormals brach liegende WordPress Installationen o.ä..


    Wenn du ein mal, warum auch immer, ungebetene Gäste auf deinem Webspace hast, ist der Zug natürlich abgefahren und du musst erst mal alle Hinterlassenschaften (Schaddateien/Backdoors) entfernen.


    In der Log Analyse tauchen einige Dateien auf, die eigentlich nicht dort hingehören.


    20x /administrator/includes/corazon.php 200

    11x /administrator/cache/com_jcomments/wp-sys.php 200

    3x /language/nl-NL/wp-sys.php 200

    22x /language/nl-NL/includes.php 200


    Ich empfehle auch mit einer erweiterten .htaccess zu arbeiten, ähnlich der von joomla-security.de, um sämtliche Joomla Verzeichnisse abzusichern. O.g. Aufrufe sind dann gar nicht mehr möglich.

    Außerdem solltest du das /administrator Verzeichnis mit einem .htaccess Passwortschutz versehen.


    Meld dich gern, dann kriegen wir das schnell wieder in den Griff.



    Gruß


    Pascal

    Hi kitepascal,

    erstmal vielen Dank für deine sehr hilfreiche Seite!

    Leider war ich beim ersten Angriff etwas blöd und habe mich nicht an die Reihenfolge:


    1. Offline schalten

    2. IST Zustand sichern

    3. Untersuchen

    4. Bereinigen


    gehalten :(


    Jcomments habe ich direkt gelöscht, genauso ein Galierie PlugIn deaktiviert, leider, im nachhinein gesehen.


    Das mit der htaccess ist ein guter Tipp, werde ich umsetzen.


    Jetzt ist die Frage, ich habe eine Sicherung der Seite (nicht die Datenbank, nur die httpdocs) in diesem Zustand:


    Nach 2tem Angriff. Jcomments war schon weg aber die corazon.php war noch vorhanden. Diverse andere Dateien auch noch da, weil vermutlich grad die Einrichtung lief. EDIT2: (Die Scamseiten sind auch noch drauf)

    Wenn der Stand trotzdem interessant ist, kanns du gerne drauf... würde ich dann in dem Zustand wieder einspielen.


    Was noch existiert ist:

    20x /administrator/includes/corazon.php 200

    22x /language/nl-NL/includes.php 200 (sehr ähnlich der corazon.php)

    EDIT2: Die Scamseiten an sich.

    und das unzip.php ... ich hab nur absolut keinen Plan wie er irgendwas davon auf den Server eingespielt hat .. wie gesagt, jcomments war schon weg, Galerie auch. Aber die Reste noch da .. es ärgert mich das ich selber Spuren verwischt habe.


    Schon vorher weg waren:

    11x /administrator/cache/com_jcomments/wp-sys.php 200

    3x /language/nl-NL/wp-sys.php 200


    EDIT: Die Zugriff am 15.12.2020 aus Indonesien als Admin machen mich noch stutzig, ich war das nicht. Passwort Hack? Auch wenn das SEHR merkwürdig wäre da das Passwort und der Username extrem sind und nicht "Admin" "Admin" und wirklich nirgens wiederverwendet.

    Ja, am 15. 12. war definitiv jemand aus Indonesien in deinem Backend unterwegs und hat Dateien bearbeitet.


    Daher unbedingt den /administrator Passwortschutz umsetzen.

    Bzw. am besten direkt die gesamte verknüpfte Domain dicht machen, bis alles passt.


    Wenn du kein Feature im Hosting Panel hast, kannst du das ganz leicht hiermit machen:
    https://wissen.gn2.de/wissen/w…r-mit-passwort-schuetzen/

    Hochladen nach

    /administrator/xssen.php

    Im Browser aufrufen.. Und geführt den Passwortschutz einstellen.



    Wie gesagt - meld dich gern und wir machen aus deinem Webspace Fort Knox.

    Der aktuelle Zustand ist untragbar für die Öffentlichkeit. Du stehst in der Verantwortung, wenn jemand Schaden nimmt.


    Auf gut Glück ohne Erfahrung herumzubasteln und im Grunde alles öffentlich zugänglich zu lassen, ist eine sehr schlechte Idee.



    Gruß


    Pascal


    Wie bereits mehrfach erläutert: Nicht offline schalten, sondern mittels .htaccess sperren!

    Sämtliche Zugangsdaten ((FTP, Datenbank, Joomla) ändern!


    Kann es sein, dass du außerhalb deiner Webseite noch anderes auf dem Server liegen hast? (paralleles Verzeichnis, übergeordnetes Verzeichnis)

    Manchmal wird vom Hoster eine Art "Hilfsdomain" angelegt, die direkt auf /html bzw. /hdocs verweist. Für diese lege ich grundsätzlich ein eigenes Verzeichnis an, stelle dieses als Zielverzeichnis für die "Hilfsdmomain" ein und setze dann eine .htaccess / .htpasswd rein.


    Aus reiner Neugier:

    Wie bist du darauf aufmerksam geworden? Hat dich der Hoster nicht informiert und die Seite gesperrt?

    Und waren Joomla und die Drittanbieter-Erweiterungen immer aktuell?

    Gemieteter Webspace mit Hosting und Update des reinen Joomlas, aktuell 3.9.24, um die PlugIns musste ich mich kümmern (was ich auch getan habe, akribisch. Neben dem Joomla lief von meiner Seite nix zusätzlich drauf.


    Ich merks mir für die nächste übernahme der Webseite mit dem sperren.

    Sorry, aufmerksam bin ich drauf geworden durch 4 Dinge gleichzeitig:


    -Cloudflare hat als ersten ne Mail geschrieben

    -RSA hat ne Mail geschrieben

    -Hoster hat ne Mail geschrieben und Seite gesperrt

    -betroffene Bank hat ne Mail geschrieben


    Nach ca. 1,5 Stunden war die Seite erstmal weg vom Netz.

    Danach wurde meinerseits halt leider vergessen den IST Zustand zu sichern und eine (schlechte) aufräumaktion gestartet.

    Einmal editiert, zuletzt von Indigo66 () aus folgendem Grund: Ein Beitrag von Robin_Pe mit diesem Beitrag zusammengefügt.

    Mein großer Dank gilt allen die sich beteiligt haben, aber mein besonderer Dank gilt kitepascal.

    Er hat nicht nur die Installation abgesichert sondern nah Absprache den Umzug der Domain und des Inhalts mit gemacht, weg von dem Hoster der gerne mal in die Knie ging.


    Vielen Dank! Jetzt mit einem fast responding Server der vermutlich NICHT aus einem Raspberry Pie Gen.1 besteht der per WLan 11b an Nachbars Telekom Router angebunden ist, kann ich mich auch mal wieder mit ein wenig Spass an die Pflege begeben und Fehler suchen die ich mir ins Design eingebaut habe :)


    Danke auch liebes Forum :)


    Zu weiteren Fragen rund um den Hack beantworte ich gerne alles was ich rausbekommen konnte .. oder gebe auf Nachfrage an erfahrene Mitgliede auch die Dateien raus die ich sichern konnte.