Sicherheitslücke in Version 3.9.11?

Neotop · 9. Oktober 2021

Hallo Jungs,

ich hatte bei einer unbekannten Joomla Seite mit aktuellen Patchstand 3.9.11 kein zugriff mehr.

Ein Blick im SQL zeigte es wurde der Administrator Benutzername und Kennwort überschrieben. Da wir auf der Seite eigentlich keine Erweiterungen/Plugins nutzen, vermute ich einen Bot/Sicherheitslücke im Core.

Scheinbar gibt es hier eine Lücke die ein Bot ausnutzt. Ich werde mich gleich mal an die Logs machen, auf jeden Fall hatten wir keine neuen Dateien auf dem Webspace.

Der neue Benutzername hat in alles Instanzen immer AnonymousFox_yph stehen.

Wenn Ihr was hört.

lg

Scheinbar handelt es sich hier um ein neues HackingTool namens FoxAuto V6 was es einfach schafft.

firstlady · 9. Oktober 2021

Die 3.9.11 liegt ja nun schon ziemlich lange zurück. Da hast du einige Sicherheitsupdates verschlafen.
Bei jeder Freigabe wird angegeben, ob es ein Sicherheitsupdate ist - mehr kann ein System nicht tun, leider, wenn Benuter dann das update nicht einsetzen.

JoomlaWunder · 9. Oktober 2021

Zitat von Neotop

Scheinbar handelt es sich hier um ein neues HackingTool namens FoxAuto V6 was es einfach schafft.

Neu nicht wirklich. Da hat es wohl vor allem Wordpress getroffen gehabt. Bzgl. Joomla ist mir nur 1 Fall bekannt. Und da war nicht einmal das Backend mittels zusätzlichem Passwortschutz über den Server abgesichert (wichtiger Grundschutz).

Vielleicht hilft auch ein Blick in die Benutzeraktivitäten weiter. Denn möglicherweise liegt auch einfach nur irgendetwas Bösartiges auf (d)einem Rechner.