Joomla Webseiten gehacked

Hallo zusammen

vor etwa einem Jahr war eine meiner Joomla-Websites schon einmal Opfer eines Hackerangriffs. Damals konnte ich die Ursache eruieren: es war eine Download & Dokumenten-Management Komponente.

Gestern 11. Februar 2010 nachmittags ca. 14:30 Uhr wurden 10 meiner 15 Joomla-Websites gehacked. Bis jetzt habe ich noch nicht herausgefunden, wo die Sicherheitslücke ist. Wenn ich die installierten Komponenten und Module dieser 15 Websites vergleiche, kann ich keinen Hinweis finden, weshalb genau diese 10 Seiten befallen waren und warum genau jene 5 nicht. Fest steht, dass der Hacker Zugriff auf die index.php der obersten Ebene hatte und dass diese Datei verändert wurde. Ebenso die .htaccess Datei.

Vermutlich bin ich nicht das einzige Opfer. Falls jemand die Ursache herausgefunden hat, wäre ich für einen Hinweis dankbar, damit ich das Leck baldmöglichst stopfen kann. Es könnte zwar auch sein, dass die Sicherheitslücke im Joomla-Core 1.5.15 und nicht in einer Komponente besteht.

Danke und Gruss
crimle

Hallo crimle,

erstmal mein Beileid.
Das ist echt bescheiden.

Gibts denn auf den 10 Seiten außer dem Joomla!-Core hinsichtlich Erweiterung noch Gemeinsamkeiten?

Hast Du schon die Verzeichnisrechte überprüft? Ist der Hacker evtl. an die FTP-Daten gekommen?
Wie werden auf dem Server die Dateien per PHP beschrieben? als FTP-User oder als www-User?

Gibts denn auf den 10 Seiten außer dem Joomla!-Core hinsichtlich Erweiterung noch Gemeinsamkeiten?

Das habe ich bereits überprüft. Ich kann keine Gemeinsamkeiten finden. Bei allen 15 ist JCE installiert, aber nur 10 wurden gehacked, also schliesse ich diese Komponente aus. Weitere Komponenten habe ich keine, die bei allen 15 Sites installiert sind.

Hast Du schon die Verzeichnisrechte überprüft? Ist der Hacker evtl. an die FTP-Daten gekommen?

Der Ordner public_html hat 711, die Ordner darunter haben 755. Wenn der Hacker meine FTP-Zugangsdaten hätte, dann wären doch alle Sites gehacked, nicht wahr? Wenn er das Passwort von einer Site kennt, dann kann er nicht auch auf die übrigen Sites gelangen, denn ich habe nicht überall die gleichen Passwörter.

Wie werden auf dem Server die Dateien per PHP beschrieben? als FTP-User oder als www-User?

Diese Frage verstehe ich jetzt nicht. Wie finde ich das heraus?

Grüsse
crimle

Hallo crimle,

crimle schrieb: [...]

Wie werden auf dem Server die Dateien per PHP beschrieben? als FTP-User oder als www-User?

Diese Frage verstehe ich jetzt nicht. Wie finde ich das heraus?

Die Dateien, die zB über das Backend hochgeladen werden, bekommen als User/Gruppe entweder den FTP-User oder den User, unter dem der Webserver läuft.

Bei letzterem muss man u.U. Verzeichnisse zum allgemeinen Schreiben frei geben, was in puncto Sicherheit ungünstig ist und die Schwachstelle gewesen sein könnte, wodurch die Attacke erfolgt ist.

Mein Provider meint, der Virus "Gumblar" sei am Werk gewesen. Ein vollständiger Systemscan hat bei mir allerdings kein Ergebnis gebracht.

Hi,

da muss ich leider passen.

Eine kurze Googelei gringt u.a. das zutage:
[url:2l8qq2ol] www.trojaner-board.de/73293-gumblar-redirecter.html [/url]

Stichwort: Trojaner auf eigenem PC, alle Passwörter ändern.

Das würde (zum Teil) auch erklären, warum 10 Installationen betroffen sind...

Danke für den Link! Ich habe meinen PC mit zwei verschiedenen Virenscannern vollständig überprüft, aber keinen Virus gefunden. Trotzdem bleibt ein mulmiges Gefühl. Alle Passwörter ändern ist sicher ratsam. Offen bleibt die Frage, warum nur 10 meiner 15 Webseiten gehackt wurden.

crimle schrieb: Offen bleibt die Frage, warum nur 10 meiner 15 Webseiten gehackt wurden.

Auch Tojaner sind nicht immer perfekt umgesetzt :-X X

Im Ernst, die Passwörter würde ich zumindest ändern, auch wenns viel Arbeit ist.
Je nach FTP-programm und Browser würde ich auch die gespeicherten PWs löschen.

Bei Firefox kannst Du Dir die gespeicherten Daten per Screenshot ja ausdrucken und dann exterminieren...

Das werde ich tun, danke! Mein Provider hat sich auch noch was einfallen lassen: der FTP-Zugang ist standardmässig blockiert und muss im ControlPanel stundenweise freigeschaltet werden. Umständlich aber was nimmt man nicht alles in Kauf wenn es um die Sicherheit geht.

Saü Crimel,

sicher etwas spät, aber hier findest du auch noch sehr gute Tipp's zur Absicherung deiner Joomla!Projekte:
--ALTER LINK WURDE ENTFERNT--