Wenn ihr auf euren Seiten AcyMailing in egal welcher Edition in der Version 6.5 oder höher einsetzt oder eingesetzt habt, solltet ihr dringend prüfen ob die Seite gehackt ist. AcyMailing hatte von Version 6.7.0 bis 8.5.0 eine schwere Sicherheitslücke, die beliebige Code-Ausführung erlaubt hat. Die Lücke wurde im Februar gemeldet, im März dann gefixt - der Fix war aber fehlerhaft und die Lücke weiter ausnutzbar. Ab spätestens Mitte April gab es automatisierte Angriffe, der erste Patch der die Lücke zumindest abmildert war erst Mitte Mai verfügbar.
Wenn ihr die Seiten checkt, achtet besonders auf:
* Dateien mit dem Namen thumbnail_*.php (z. B. thumbnail_999.png?.php); gängige Angriffsmuster schreiben diese Dateien nach media/com_acym/images/thumbnails, diese Dateien können aber auch überall sonstwo auf dem Webspace abgelegt worden sein
* Die häufigsten Angriffsmuster schreiben Backdoor-Dateien in die folgenden Verzeichnisse (XXX sind zufällige Buchstaben - das Datum dieser Dateien kann älter als Mai sein)
- /api/includes/xxx.php
- /Komponenten/com_ajax/xxx.php
- /layouts/joomla/icon/xxx.php
- /media/com_XXX/xxx.php
- /media/com_tags/js/xxx.php
- /Vorlagen/System/xxx.php
* Sucht auf dem Webspace nach Dateien, die $_COOKIE enthalten, da häufige Angriffsmuster Hintertüren geschrieben haben, die zusätzlichen, in Cookies platzierten Code auswerten - etwaige Findings müssen dann aber einzeln ausgewertet werden, weil es auch viele legitime Nutzungen von $_COOKIES gibt