Nochmals in der Sache...
Leider zu früh gejubelt. Die Seite lief nur kurz ohne Probleme. Danach war der alte Schad behaftete Zustand wieder da. Alle Backups (STRATO) nützen nichts, da offensichtlich der Hack schon lange implementiert ist. Man sucht sich ja nicht selbst bei Google und so blieb die Sache bis zum Zeitpunkt der Kundeninformationen im Verborgenen.
Nachdem ich mich etwas intensiver damit beschäftigt habe, bin ich sicher, dass es sich nur um einen klassischen Fall von „SQL-Injection“ handeln kann. Als Einfallstor kommen eigentlich aus meiner Sicht nur folgende Faktoren in Betracht:
1. Lücken in Joomla selbst
- URL-Parameter
- Cookiewerte
2. Verspätet Updateinstallation, zum Schließen der Lücke (leider versuchen Kunden oft einen Wartungsvertrag der Seite auszuschließen)
3. Dritt-Module, die hier im speziellen Fall wären:
- ARI-Imagesslider (Banner)
- BreezingsForms (Formulareditor)
- Easybook Reloadet (Gästebuch)
Aufgrund des Musters des Angriffes, kann sicher der ARI Imagesslider ausgeschlossen werden. Durch die hexadezimale Codierung des Schadcodes schließe ich darauf, dass es sich nur um eine persistente oder nicht persistente „SQL-Injection“ handelt. Ich vermute deshalb Lücken in BreezingForms oder Easybook Reloadet. Entweder war es möglich den Schadcode direkt anstatt des Gästebucheintrages in der Datenbank durch eine XSS-Lücke zu speichern (persistente Injection) oder mit dem Formular wurde Schadcode an mich und einen zweiten User mit höheren Rechten gesendet. Allerdings hätte wir dann noch eine speziell präparierte Website besuchen müssen.
Meine Fragen sind deshalb:
1. Welche von den Joomlaentwicklern geprüften Alternativen gibt es zu den 3 genannten Modulen.
2. Erfolgt generell eine Prüfung von Drittanbieter-Modulen, die hier im Forum empfohlen werden?
3. Ist es möglich, die Datenbank zumindest in Teilen noch zu verwenden und wer würde das zu welchem Preis ausfiltern (Einträge Gästebuch mit Leistungsbewertung)
4. Macht es Sinn, SSEQ_lib unter Joomla für eine zusätzliche Prüfung aufzusetzen (kenne das von xtc_modified)
Für Eure Mithilfe wäre ich sehr Dankbar.
Gruß
Wolfgang