Werde die Auflistung überarbeiten, sobald ich durch bin...
Beiträge von lowrhine
-
-
Mit WinMerge noch weitere Dateien entdeckt die da nicht hingehören.
Abgleich erfolgte zum mit einer sauberen Installation und zur Sicherheit nochmal mit dem Inhalt des Full-Package-Ordners.
Tipp: Beim FTP-Download mit Filezilla unter "Transfer" einen Haken setzen bei "Änderungszeitpunkt der übertragenen Dateien beibehalten", dann lassen sich schon anhand der Timestamps Dateien identifizieren, die nicht zu irgendeinem Updatezeitpunkt erzeugt / geändert wurden und daher aus der Masse hervorstechen:
\libraries\joomla\exporter.php
\media\editors\codemirror\mode\jade\variant_cmup.php
\media\editors\tinymce\curl_multi_addn_handle.phpEdit: Quelle, die den Exploit erklärt: https://www.fasterjoomla.com/i…e-injection-cve-2015-8562
-
Davon rate ich ab, da so die DB nicht mit upgedatet wird.
Ein Überschreiben per FTP sollte erst nach einem regulärem update übers Backend bzw. Installer gemacht werden.Ok, das habe ich nicht bedacht, danke für den Hinweis.
Habe nun via "Erweiterungen --> Erweiterungen --> Datenbank --> Button "reparieren" die Datenbank aktualisiert. -
Moin und "gut's Neues".
Meine Joomla-Website bei domainfactory (gehört auch zu Hosteurope) war bzw. ist eventuell ebenfalls infiziert, email von df kam um 2 Uhr.
Bin selbst schuld, da Joomla zulange nicht aktualisiert.
Wie auch immer, df hat im Stammverzeichnis der Joomla-Installation eine Datei namens infiziert.txt angelegt, die erste Hinweise auf gefundenen Schadcode liefert.
Meine Vorgehensweise bis jetzt - nur in Kürze, da noch verkatert, wer Felher findet darf sie behalten
(Quelle: https://www.fc-hosting.de/joomla/tips-joomla-gehackt.php )
1. per FTP das komplette Verzeichnis heruntergeladen und mit Virenscanner geprüft (ergebnislos)
2. alle in der infiziert.txt beanstandeten Dateien per FTP gelöscht EDIT: hier bin ich auch auf die simplepie.lib.php gestossen
3. upgradepaket von Joomla 3.4x auf 3.48 geladen, entpackt und per ftp hochgeladen (mit überschreiben)
4. per upload einer datei namens clean.txt die seite und adminoberfläche wieder zugänglich gemacht, möglicherweise df-spezifische prozedur
5. als erstes den durch einen hack angelegten neuen superuser entfernt
6. cache gelöscht, da einige beanstandete dateien in cache-ordnern lagen
6. passwörter geändert für ftp-zugang, sql-datenbank, kundenmenü und joomla-superuser
7. per myphpadmin die datenbank als Excel-datei exportiert für weitere Analysen.Werde nun noch mit Winmerge die heruntergeladenen Dateien vergleichen mit denen einer anderen, sauberen Installation, um eventuell noch vorhandene Backdoor-Scripte zu identifizieren und zu löschen.
Komplette Neuinstallation versuche ich zunächst zu vermeiden...
Frohes Schaffen also noch - bei Fragen bitte fragen.