Webserverhack? Beim Superuser mit der gerinsten ID wurde pro Web Loginname und Kennwort geändert.

    Hallo Joomlacommunity,
    wir haben einen ungewöhnlichen Hack auf einem unserer Webserver festgestellt.
    Alle Superuseraccounts wurden auf "abdo" geändert und das dazugehörige Kennwort verändert.


    Es scheint, als sei alles über die Datenbank gelaufen?
    Kali zeigt auf einigen älteren Webs durchaus Lücken an, aber auf den neueren 3.8.0 mit keinen gefährdeten Plugins etc. wurden die Superuser ebenfalls geändert?


    Die Error- und Accesslogs zeigen nichts bemerkenswertes an.


    Wenn man abdo und joomla googelt kommt auch ein Youtubevideo mit Hinweis auf Kali, mehr aber auch nicht.


    Es handelt sich um die verschiedensten Joomla-Installationen, verschiedene Templates, verschiedene Core-Versionen usw.


    Scheint mir eher ein SQL-Hack auf die Datenbank?

    Hallo kitepascal,


    jede Installation hat ihre eigenen Benutzer, Kennwörter und Datenbanken.
    Der einzige "gemeinsame Weg" ist der Rootzugang oder eben eine Sicherheitslücke in Bezug auf SQL.
    Es wurden Scripte in eine 2.5.28er Version geladen, können dadurch alle Webs unter Linux / Plesk komprimitiert werden?


    Alles ist auf dem aktuellsten Patch-Stand.

    Zitat von mediabw

    Es wurden Scripte in eine 2.5.28er Version geladen, können dadurch alle Webs unter Linux / Plesk komprimitiert werden?


    Normalersweise nicht, wenn es in Plesk unterschiedliche "Abonnements" mit jew. eigenem System-/(FTP) User sind. (Das meinst du hoffentlich mit "webs"?)
    Wenn dem so ist, gibt es offenbar ein weitreichenderes Sicherheitsproblem, dem nachgegangen werden sollte.

    Nun hast du einen Timestamp, mit dem du den Server nach Dateien gleichen Datums durchsuchen kannst, und, ganz wichtig, auch die Log-Dateien des Servers analysieren kannst. Als Einfallstor genügt eine einzige unsichere Erweiterung, die in einer Joomlainstanz verbaut wurde. Da du schreibst, dass dort viele 2.5er im Einsatz sind, und Agenturen wie eure dazu neigen, bewährte Erweiterungen mehrfach zu verbauen, ist die Wahrscheinlichkeit sehr hoch, dass die Instanzen alle einem einzigen Hack zum Opfer gefallen sind.


    Zusammengefasst: Lücke finden und schließen, alle Instanzen bzw den kompletten Server (auch die Joomla 3.x) auf Schadcode untersuchen und bereinigen, und die 2.5er ggf auf 3.x migrieren. Eventuell vorhandene Backups auf Schadcode prüfen. Keine kleine Aufgabe, ich kenne solche Szenarien, aber sie ist machbar. Habt ihr denn eure Kunden schon informiert, und wie gehen die damit um?