Meine Webseite (Joomla 1.5.10) wurde gehackt

Hallo zusammen

am Mittwoch, 3. Juni 2009 wurde meine Webseite gehackt. Siehe dazu diesen PC-Tipp Artikel --ALTER LINK WURDE ENTFERNT-- . Zu diesem Zeitpunkt war meine Joomla-Webseite auf dem neuesten Stand, also auf 1.5.10.

Ich verstehe, dass Sicherheitslücken immer wieder mal vorkommen können, also auch bei Joomla. Das Patch "1.5.10 to 1.5.11" habe ich unverzüglich installiert. Aber ich stelle mir ein paar Fragen:

- der Hacker hat die index.php in der obersten Ebene des Joomla-Verzeichnisses mit einer eigenen Version ersetzt. Wie hat er das geschafft? Ich meine: hat er mein Passwort herausgefunden oder hat er einen anderen Trick angewendet? Daraus resultieren meine nächsten Fragen:
- muss ich jetzt mein FTP-Passwort ändern?
- muss ich jetzt mein Datenbank-Passwort ändern?
- warum war nur eine meiner ca. 10 Joomla Webseiten betroffen? Lag die Sicherheitslücke in einer bestimmten Erweiterung? Oder in einem bestimmten Template?

Wäre sehr interessant, wenn die Hintergründe etwas klarer wären.

Danke und Gruss
crimle

crimle schrieb: Hallo zusammen

am Mittwoch, 3. Juni 2009 wurde meine Webseite gehackt. Siehe dazu diesen PC-Tipp Artikel --ALTER LINK WURDE ENTFERNT-- . Zu diesem Zeitpunkt war meine Joomla-Webseite auf dem neuesten Stand, also auf 1.5.10.

Ich verstehe, dass Sicherheitslücken immer wieder mal vorkommen können, also auch bei Joomla. Das Patch "1.5.10 to 1.5.11" habe ich unverzüglich installiert. Aber ich stelle mir ein paar Fragen:

- der Hacker hat die index.php in der obersten Ebene des Joomla-Verzeichnisses mit einer eigenen Version ersetzt. Wie hat er das geschafft? Ich meine: hat er mein Passwort herausgefunden oder hat er einen anderen Trick angewendet?

Hi,

Ich denke nicht das sich hier jemand findet der Dir eine Anleitung liefert wie das Funktioniert, denke aber das Dein Hoster anhand der Logs darüber besser Informieren kann...

Daraus resultieren meine nächsten Fragen:
- muss ich jetzt mein FTP-Passwort ändern?
- muss ich jetzt mein Datenbank-Passwort ändern?

Je besser das Passwort je Unwahrscheinlicher

- warum war nur eine meiner ca. 10 Joomla Webseiten betroffen? Lag die Sicherheitslücke in einer bestimmten Erweiterung? Oder in einem bestimmten Template?

Joomla!, und hier spreche ich vom CORE gilt als "Relativ" sicher, so sicher wie das Interent Das Joomla! Core, die Entwickler wie auch das JSST Team sind darauf bedacht, Informationen zu möglichen Lücken so lange wie Möglich zurück zu halten und nicht zu Veröffentlichen, um so den so genannten SkriptKidis das leben nicht zu einfach zu machen.... Gefunde Lücken werden allerdings bei der veröffentlichung einer neuen Version bekannt geben, ab da an gilt Updaten!
Der weit aus grössere Sicherheits Faktor sind immer die 3PD Erweiterungen welche Regelemässig nach Updates durchsucht werden sollten!/ Müssen.

Wäre sehr interessant, wenn die Hintergründe etwas klarer wären.

Danke und Gruss
crimle

Gruess

Pete

Hallo Pete

ich hatte mir gar keine "Anleitung" vorgestellt. Aber ein Hinweis in welche Richtung die Sicherheitslücke ging.

Je besser das Passwort je Unwahrscheinlicher

Mein Passwort ist ziemlich gut (Zahlen, Gross- und Klein-Buchstaben sowie ein Sonderzeichen). Das Problem ist nur: das Passwort ist ja im Klartext in der configuration.php gespeichert. Es wäre doch denkbar, dass ein Hacker die configuraion.php auslesen kann, wenn er in der Lage ist, die index.php zu ersetzen. Oder bin ich da zu ängstlich?

Gruss
crimle

Ohne die Ursache zu kennen, die ziemlich sicher in einer der installierten Extensions oder ganz woanders und nicht in Joomla selbst liegt: Vor dem Überschreiben der index.php kann man sich schützen, wenn man die Dateirechte so weit runterdreht, daß nur noch der Webserver die Datei lesen darf. Schreibrechte braucht außer bei Updates niemand bei dieser Datei.

Dasselbe gilt für die configuration.php: Wenn die Seite einmal eingerichtet ist und alle Grundeinstellungen gemacht sind, können da auch sämtlich Schreibrechte weg.

Wie weit man die Rechte runterdrehen kann, ist von der Serverkonfiguration abhängig. Das muß jeder selbst austesten. Im Idealfall geht 400.