Nach Hack Neuinstallation und Log-Analyse

TJo · 5. März 2016

Hallo und guten Morgen, liebe Forum-Gemeinde,

Enviroment: PHP 5.6.17 (CGI), Joomla 3.4.8

Nachdem ich per E-Mail von meinem Hoster darüber informiert wurde, dass Schadcode in einige Dateien infiziert wurde, habe ich unsere Seite zugemacht und eine komplette Neuinstallation, inkl neuer Datenbank, angestoßen.

Zuvor jedoch habe ich:
- meinen Rechner auf Schadcode durchsuchen lassen (ohne Befund, also nichts via FTP)
- mal ein bis zwei Tage gewartet und mir danach die access-Logfiles des Server angetan. Hier bin ich auf folgende Einträge gestoßen:

212.22.85.106 - - [04/Mar/2016:20:36:54 +0100] "POST /includes/defines.php HTTP/1.1" 200 - "http://DOMAIN.TLD/includes/defines.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
212.22.85.106 - - [04/Mar/2016:20:38:06 +0100] "POST /libraries/jyaml/vendor/phpImage/src/phpThumb/file.class.php HTTP/1.1" 404 2893 "http://DOMAIN.TLD/libraries/jyaml/vendor/phpImage/src/phpThumb/file.class.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
217.29.58.168 - - [04/Mar/2016:20:33:49 +0100] "POST /components/com_weblinks/views/form/tmpl/edit.php HTTP/1.1" 404 2893 "http://DOMAIN.TLD/components/com_weblinks/views/form/tmpl/edit.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
217.29.58.168 - - [04/Mar/2016:20:40:37 +0100] "POST /libraries/vendor/joomla/session/Joomla/Session/class.config.php HTTP/1.1" 404 2893 "http://DOMAIN.TLD/libraries/vendor/joomla/session/Joomla/Session/class.config.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
66.225.241.137 - - [04/Mar/2016:20:36:11 +0100] "POST /libraries/vendor/joomla/di/src/ContainerAwareTrait.php HTTP/1.1" 200 - "http://DOMAIN.TLD/libraries/vendor/joomla/di/src/ContainerAwareTrait.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
66.225.241.54 - - [04/Mar/2016:20:41:13 +0100] "POST /libraries/vendor/psr/log/config.sqllib.php HTTP/1.1" 404 2893 "http://DOMAIN.TLD/libraries/vendor/psr/log/config.sqllib.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
80.78.242.231 - - [04/Mar/2016:20:31:01 +0100] "POST /components/com_mailto/views/memcache.config.php HTTP/1.1" 404 2893 "http://DOMAIN.TLD/components/com_mailto/views/memcache.config.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
80.78.242.231 - - [04/Mar/2016:20:32:33 +0100] "POST /layouts/libraries/cms/html/bootstrap/addtab.php HTTP/1.1" 200 - "http://DOMAIN.TLD/layouts/libraries/cms/html/bootstrap/addtab.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
80.78.242.231 - - [04/Mar/2016:20:33:10 +0100] "POST /administrator/components/com_config/view/component/html.php HTTP/1.1" 404 2893 "http://DOMAIN.TLD/administrator/components/com_config/view/component/html.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
80.78.242.231 - - [04/Mar/2016:20:42:19 +0100] "POST /administrator/components/com_config/model/field/filters.php HTTP/1.1" 404 2893 "http://DOMAIN.TLD/administrator/components/com_config/model/field/filters.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"
91.227.68.134 - - [04/Mar/2016:20:31:50 +0100] "POST /components/com_content/views/form/tmpl/joomla.memcache.php HTTP/1.1" 404 2893 "http://DOMAIN.TLD/components/com_content/views/form/tmpl/joomla.memcache.php" "Mozilla/5.0 (Windows; U; MSIE 9.0; Windows NT 9.0; en-US)"

Aktuell sind die Files der Neuinstallation unverändert... Ich vermute mal, dass die Änderungen über eine veraltete Installation oder durch eine Migration aus dem letzten Jahr angestoßen wurden.

Nahezu alle ausgewiesenen IP-Adressen stammen nach RIPE-Abfrage aus RU und haben gezielt die vorherstehenden Aufrufe vollzogen.

Soviel zum aktuellen Stand bei mir.

HTH,
TJ

SniperSister · 5. März 2016

Wahrscheinlichstes Szenario: du bist über die Dezember-Lücke gehackt worden bevor du das 3.4.6 Update eingespielt hast. Bei dem Hack wurden Backdoors hinterlegt die dann jetzt erst reaktiviert und ausgenutzt wurden.