Hallo Jungs,
ich hatte bei einer unbekannten Joomla Seite mit aktuellen Patchstand 3.9.11 kein zugriff mehr.
Ein Blick im SQL zeigte es wurde der Administrator Benutzername und Kennwort überschrieben. Da wir auf der Seite eigentlich keine Erweiterungen/Plugins nutzen, vermute ich einen Bot/Sicherheitslücke im Core.
Scheinbar gibt es hier eine Lücke die ein Bot ausnutzt. Ich werde mich gleich mal an die Logs machen, auf jeden Fall hatten wir keine neuen Dateien auf dem Webspace.
Der neue Benutzername hat in alles Instanzen immer AnonymousFox_yph stehen.
Wenn Ihr was hört.
lg
Scheinbar handelt es sich hier um ein neues HackingTool namens FoxAuto V6 was es einfach schafft.