THEMA:

Diese Meldung eher zur Info:
Da dauert es ziemlich lange und dann schlagen sie wieder zu: die Hacker oder wie man diese Spezies nennen möchte.
Eine meiner eher "Testinstallationen" ist wie es scheint nun in eine Wordpress Installationen umfunktioniert worden, jedenfalls wenn ich im Root die Dateien ansehe ....

Mein Hoster (Hoststar) informierte mich über Schadstoff in einer Installation und hat die Seite vorübergehend gesperrt.
Ich staune immer wieder, wie das geschafft wird, trotz neuesten Joomla Updates und auch aktuellen Erweiterungen.

Im Moment komme ich nur noch über FTP and die Daten, immerhin 
natürlich kann auch bei FTP die Schwachstelle liegen ...

Hoststar spielt mir ein Backup darüber, werde danach halt den Admin doppelt absichern (HTACCESS)
Bei allen, wo ich dies so gemacht habe, ist danach meist "Ruhe"

Stefan

Hallo Stefan

War Deine "Test installation" immer up to date inkl. thrd. Komponenten? Testinstallationen gehen gerne vergessen zu "warten". Ich nehm Sie entweder ins Monitoring oder Schütze diese komplett mit einem htaccess zugriffschutz.

Lg Adi

wenn ich im Root die Dateien ansehe ....

Wäre interessant zu wissen, ob es auch Schadcode innerhalb der Joomla-Ordner hatte.
Vielleicht begrenzt sich der Schaden «nur» auf das Root (index.php) und es wurden «nur» Ordner om Root hinzugefügt.
In diesem Fall würde ich zuerst mal auf FTP als Schwachstelle tippen.

Gruss
Christof

Gehen wir davon aus dass sichere passwörter verwendet werden, sollte ftp doch weniger ein Problem sein?
Soviel ich weiss verschlüsseln manche ftp Programme (z. B. Fillezilla) passwörter nicht. Aber da müsste auch der PC kompromittiert sein (bin mir nicht sicher). 

Wäre schon noch interessant wo die Lücke oder Schwachstelle schlussendlich liegt.
​​​​​​ 
​​​​​
​​​
​​​
​​​
​​

so sieht die Installation noch vor einem Restore aus .......  einfach unglaublich,
übrigens: ich hatte für den Admin-Zugriff ein HTACCESS eingerichtet ...... kann einfach so überwunden werden??
 

Die .htaccess für den Joomla-Admin-Zugriff schützt genau den Joomla-Admin-Zugriff. Nichts weiter.
Am 10.06.2021 um 09:56 scheint das Unheil seinen AAnfang genommen zu haben.
Da wurde die Datei Scw5spO6dWg.php im Root gespeichert.
Zwei Minuten später, am 10.06.2021 um 09:58 wurde die Datei wp-signuo.php hinzugefügt.
Das könnten Vorbereitungshandlungen gewesen sein.
In der folgenden Nacht am 11.06.2021 um 02:29 wurde der Ordner «administrator» angegeriffen.
Danach war «Ruhe» bis 11.06.2021 um 12:44. Zu diesem Zeitpunkt wurde die Datei www.php ins Root kopiert.
Eine knappe Stunde später wird der Angriff fortgesetzt.
11.06.2021 um 13:37 die Datei admin.php im Root hinzugefügt.
11.06.2021 um 13:54 die Dateien xmrlpc.php und 3index.php im Root hinzugefügt.
11.06.2021 um 13:55 die index.php (Joomla-Datei) überschrieben.
11.06.2021 ab 13:59 wurden alle Joomla-Ordner überschrieben und wp- Ordner hinzugefügt.
Und so weiter...

Ich bin nicht der absolute Spezialist dafür, aber ich bin nicht überzeugt, dass dieser Schaden durch eine Sicherheitslücke irgendwo beim Joomla-Core oder einer Erweiterung ausgelöst wurde. Ich nehme an, Du hast inzwischen Dein FTP-Passwort geändert?!

Gruss
Christof

nun, der Hoster hat mir ein Backup eingespielt, und die Seite gescannt, nun sei wieder alles i.O.
Die Version war wie gesagt topaktuell 3.9.27, auch die Erweiterungen habe ich jederzeit auf neuestem Stand.
Der Adminzugang war wie erwähnt zusätzlich mit .htaccess abgesichert - was kann ich mehr tun?

Hier die Antwort des Hosters:
"Woher genau der Zugriff stattgefunden hat, lässt sich im Nachhinein nur sehr schwierig feststellen.
Es müsste sich aber um eine Sicherheitslücke bei Joomla oder einem eingesetzten Plugin / Template handeln, denn mit malware infizierte Dateien können normalerweise nicht via FTP hochgeladen werden."

Stefan
 

Guten Morgen

Das Statement vom Hoster finde ich jetzt aber sehr originell!
Wieso soll sowas nicht möglich sein?
Wenn das so einfach wäre.....

Viele Grüsse
Urs

 

Das Statement vom Hoster finde ich jetzt aber sehr originell!

Nö, das ist schlichtweg einfach nur realistisch.
Dateimanipulationen im nachhinein zu finden ist recht schwierig und auch sehr zeitaufwändig und führt selten ans Ziel, da hat er schon recht.

Zugriffe gibts ja in der Regel meist per FTP und HTTP/HTTPS Protokoll. Und mind. für letzteres gibt es meist Logfiles. Wenn man jetzt weiss, welche der zusätzlichen Dateien zuerst geschrieben oder verändert wurde, und man hat das Log dazu, kann man eigentlich genau ermitteln, wo die Lücke ist. Und wenn der 'feindliche Zugriff' nicht per HTTP/S stattfand, könnte es sein dass er per FTP erfolgt ist. Oder was man sonst noch so hat (Git, SSH, WebDav....).So zumindest mal die Theorie.
(Und angenommen der Server und die Hostings sind gut genug gegeneinander abgesichert, so dass es kein Accountübergreifendes Problem ist)

Tatsächlich kann es aber sein, dass das Öffnen einer Lücke und der eigentliche Missbrauch der Seite selten zeitgleich stattfinden. Der Hacker 'sammelt' erstmal. Das heisst, die Hintertür wird Tage oder Wochen vorher schon installiert, sodass für diesen Zeitpunkt keine Logfiles mehr existieren. Auf diese Weise geht unter Anderem diese Lücke auch in die Backups rein, und ist bei einem Backup-Restore auch gleich wieder vorhanden, wenn man nicht weit genug zurückgeht.Und Access-Logs sind in der Regel relativ gross und umfangreich, und sind deshalb auch meist nur für die letzten 24/48 Stunden vorhanden (falls nicht archiviert). Und zuguterletzt kann auch das Dateierstellungs- und Modifizierdatum und somit auch der Ursprung locker manipuliert werden.

Ich habe das früher mal bei einer Kundenwebseite versucht. Ich bin dabei Datei für Datei in den Access-Logs 'gefolgt', habe dabei Stunden verbraten, und konnte am Ende trotzdem nicht den Ursprung der Lücke ermitteln, da er zu weit zurücklag.

Ich persönlich denke das Manipulationen meist per HTTP/S stattfinden. Und da vermutlich über HTTPS, denn existierende Domains mit Zertifikaten kann man von öffentlichen Listen abgreifen. Das ist effizient, geht automatisiert, und man muss nicht erst an Passwörter rankommen (mit einem Virus oder einer Brute-Force-Attacke). Es gibt aber sicher auch da Ausnahmen.

Ein guter Dateiscanner wäre da ganz hilfreich, der möglichst zeitnah (einmal täglich) Dateiänderungen meldet.

Gruess
Roger

Hoi Roger

Vielem Dank für die Erklärungen.
Da gehe ich 100% mit DIr einig! Die Wahrscheinlichkeit ist vermutlich tatsächlich sehr gering.

(Was ich im Kopf hatte: wenn man mal Zugriff zum FTP hat, kann doch alles (auch malware) hochgeladen werden. Und wenn man es nicht merkt und das Zeug nach einigen Tagen zu wirken beginnt....)

Viele Grüsse
Urs