Schadcode eingeschleust in com_sexycontact

  • Hallo liebes Forum,
    als ich heute morgen meine Webseiten überprüft habe, musste ich feststellen, dass drei meiner Websites nicht mehr zu erreichen waren.
    Als ich die Mails abgerufen habe hatte ich ne nette Mail vom Provider.
    Seite aus Sicherheitsgründen offline gesetzt ,Konto gesperrt > Schadcode vorhanden.
    Der Provider lieferte mir eine Liste mit besagten Dateien.

    Code
    1. ./.../components/com_sexycontactform/fileupload/files/zxcvbnm.php./.../components/com_sexycontactform/zxcvbnm.php./www/.../images/zxcvbnm.php./www/.../zxcvbnm.php


    Als ich der Sache nachging und eine bestimmte php Datei überprüfte war dort dieses zu finden...


    Code
    1. [SCHADCODE ENTFERNT]


    Das Modul Sexycontact wurde jetzt entfernt und auch die Dateien gelöscht, meine Seiten sind auch wieder online.


    Nun zu meiner Frage :
    Wie wurde dieser Code eingeschleust ?
    Joomla war aktuell, zum Joomla Zugang habe ich noch einen Verzeichnisschutz für den Admin angelegt und dachte ich wäre sicher.... nono .
    Der FTP- Zugang wurde nicht gehackt, ich denke sonst hätten die alle Dateien gelöscht.


    ...hat jemand ne Erklärung und einen Vorschlag wie ich das verhindern kann.
    Na ja zum Abschluss sind sie nicht gekommen denn ich hatte ne "In Bearbeitung" Seite vom Provider und nicht den



    Code
    1. entfernt!


    ....Spruch von der Crew als Startseite.

  • Schadcode wird eher selten über das Backend oder einem FTP-Benutzer eingeschläust.
    Wie in Deinem Fall war es eine Erweiterung mit einer Sicherheitslücke im Code die ausgenutzt wurde. Also mit einer entsprechendes PHP- oder Javascript die Dein Formular ausgeführt hat bzw. hochgelden werden konnte. Felder zum Code eingaben waren ja da.


    Verhindern kannst Du das nur, indem Du immer darauf achtest ob eine Sicherheitlücke für Joomla oder einer Erweiterung die Du nutzt gefunden wurde und ob es dafür einen Patch oder ein Update gibt, wo diese geschlossen wurde.


    Hier http://vel.joomla.org/index.php/live-vel und hier Joomla! gehackt - was tun? kannst Du Dich informieren.


    BTW: Da es sich bei Deiner Frage um Sicherheit geht, habe ich Deinen Threade ins passende Unterforum verschoben.
    Außerdem ist es fahrlässig hier Schadcode zu posten. Diesen habe ich gelöscht!

  • Hallo und willkommen,


    wenn alles aktuell war, gibts auch noch die Möglichkeit von installierten Erweiterungen/Templates aus dubiosen Quellen.


    Beliebt scheint es leider zu sein, kostenpflichtige Erweiterungen/Templates von Warenzseiten zu herunterzuladen.
    Davon kann ich nur abraten.


    Sonst würde mir grad nichts einfallen wo es herkommen könnte, aber vielleicht weiß ja noch einer was

  • Die Sicherheitlücke ist schon seit letzten Jahr bekannt und betrifft mehrere Scripte.
    http://seclists.org/oss-sec/2014/q4/585
    http://www.exploit-db.com/exploits/34922/
    Exploid-Anleitungen findet man auch bei youtube...


    Du musst das gesamte Web+Logs untersuchen. Die Schadcoderfiles sind oft weit verstreut und hochgeladene Shells und Filemanger wurden nicht selten schon für Folgehacks mißbraucht.