Sicherheitslücke in Version 3.9.11?

  • Hallo Jungs,

    ich hatte bei einer unbekannten Joomla Seite mit aktuellen Patchstand 3.9.11 kein zugriff mehr.

    Ein Blick im SQL zeigte es wurde der Administrator Benutzername und Kennwort überschrieben. Da wir auf der Seite eigentlich keine Erweiterungen/Plugins nutzen, vermute ich einen Bot/Sicherheitslücke im Core.

    Scheinbar gibt es hier eine Lücke die ein Bot ausnutzt. Ich werde mich gleich mal an die Logs machen, auf jeden Fall hatten wir keine neuen Dateien auf dem Webspace.

    Der neue Benutzername hat in alles Instanzen immer AnonymousFox_yph stehen.

    Wenn Ihr was hört.

    lg


    Scheinbar handelt es sich hier um ein neues HackingTool namens FoxAuto V6 was es einfach schafft.

    Einmal editiert, zuletzt von Indigo66 (10. Oktober 2021 um 14:31) aus folgendem Grund: Ein Beitrag von Neotop mit diesem Beitrag zusammengefügt.

  • Scheinbar handelt es sich hier um ein neues HackingTool namens FoxAuto V6 was es einfach schafft.

    Neu nicht wirklich. Da hat es wohl vor allem Wordpress getroffen gehabt. Bzgl. Joomla ist mir nur 1 Fall bekannt. Und da war nicht einmal das Backend mittels zusätzlichem Passwortschutz über den Server abgesichert (wichtiger Grundschutz).

    Vielleicht hilft auch ein Blick in die Benutzeraktivitäten weiter. Denn möglicherweise liegt auch einfach nur irgendetwas Bösartiges auf (d)einem Rechner.