ABAKUS

Ich würde mal sagen, dass Deine Seite gehackt wurde und wenn Google oder Bing als Ref übergeben wird, wird der Besucher auf eine Trojanerseite weitergeleitet. Beliebte Methode, weil das dem Webmaster erst spät auffällt.

Häufig auch mit Cookieprüfung verbunden, damit der Webmaster erst recht nichts merkt.

Ist gerade ganz beliebt gegen vBulletin im Einsatz.

Das hat der Hund aber dann wirklich gut gemacht . Vielen Dank für deine erste Analyse. Hat jemand eine Idee, in welcher Datei ich danach suchen könnte? Ist wirklich gut gemacht

Small Question:

Hast du noch mehrere Seiten auf dem Webspace? Wenn ja, bei denen das selbe?
ODER:
Eventuell sogar eigener V-Server oder Root?

PLUS:
Joomla auf dem aktuellsten Stand gewesen? Welche Mods installiert? Die alle auf dem aktuellen Stand?
PLUS:
Änder mal ganz schnell deine FTP, mySQL & Backend Zugangsdaten. Oder falls Root & vServer dort die Zugangsdaten.

Falls der Angreifer dort auch noch Zugriff haben sollte, wäre das mal sehr praktisch... Nicht das wir noch ne komplette Spamschleuder mehr im Netz haben.

Hat jemand eine Idee, in welcher Datei ich danach suchen könnte?

Das kann überall, auch mehrfach stehen. Selbst wenn du es beseitigst, ist ja die Lücke nicht geschlossen. Der Angreifer hatte definitiv Zugriff auf deine Dateien und damit auch deine Datenbank.

Als erstes solltest du eine aktuelle Joomla-Version einspielen. Soweit ich das sehe, benötigst du keine externen Module für die Seite. Deshalb würde ich diese auch weglassen...aller Wahrscheinlichkeit nach ist nämlich eine veraltete Komponente dafür verantwortlich, nicht Joomla selbst.

Grüße
Oli

PS.: ein ordentliches Impressum kann bei so einer Webseite nicht schaden

Ich habe 1.5.15 am laufen. Das Modul Smartbookmarker und die Komponenten Joomfish, Chrono Contact und Ozio Gallery 2 hab ich jedoch noch drauf.

Da haben wir den Übeltäter doch vermutlich schon: Ozio Gallery

https://secunia.com/advisories/37974/

via:

https://www.joomla-downloads.de/sicherh ... mponenten/

Grüße
Oli

https://secunia.com/advisories/37974/

Das kannst dir ja mal ansehen. Voala, haste deinen bösen Freund!

Also, Zugangsdaten komplett ändern und am besten ein Backup einspielen, wo es sicher noch nicht infiziert war das System...


EDIT: Da war einer schneller

Autsch, wie ein blutiger Anfänger (der ich eigentlich irgendwie ja auch bin )

Vielen Dank für die schnelle Hilfe. Das mit dem Backup wird wohl nichts werden, da dieses nach der Ersterstellung mit Ozio gemacht wurde. Gibts halt mehr Arbeit

Also wenn ich die www.burkinanooma.com/ URL aufrufe bekomme MASSIG Virenmeldungen meines Scanners. Vielleicht solltest Du die Seite mal vom Netz nehmen.

Also besser nicht nach BurkinaNooma und dann auf den Link bei Google klicken!

Bei mir kommen sie nur über Google, aber bis jetzt NIE VIREN ODER TROJANERMELDUNGEN, sondern nur der gewöhnliche Malwareshit. Also nicht allzuschlimm, wenn man sie aufruft, schön isses natürlich nicht :>

Kann mich da nur nochmal wieder holen.
AVIRA spielt kommplett verrückt, ein wenig unischer fühle ich mich da schon. Lasse grade mal einen Virensan laufen...

Aufruf über Googel mit Firefox

Nur mal so am Rande. Mittlerweile wird nicht mehr nur nach offensichtlichen Lücken in Softwares gesucht, sondern versucht den jeweiligen Admin auf XSS-anfällige Seiten zu locken oder auf speziell präparierte, um dann mit seinem Login im Adminbereich rumzufuschen. Das nennt man XSRF:
https://de.wikipedia.org/wiki/Cross-Sit ... st_Forgery

Es kann also durchaus sein, dass die eingesetzte Software überhaupt keinen Schutz vor XSRF bietet. Dazu sollte man den jeweiligen Support befragen. Insbesondere sollte man jedes einzele Modul hinterfragen: Könnte jemand mit meinem aktuellen Login und dem Aufrufen einer bekannten URL oder dem Absenden eines Formulars dessen Ziel eine bekannte URL, ist eine Aktion auslösen? (also statische URLs ohne zufälligen Paramentern wie Session-IDs).

Wenn man selbst XSS-Lücken auf der Seite hat und mit der aktuellen Browsersitzung bereits im Adminbereich war, kann der Angreifer auch den .htacess-Schutz überwinden (den hoffentlich jeder realisiert hat ).

Vor den XSRF-Attacken wurde übrigens vermehrt auf Trojaner gesetzt. D.h. die oben genannte Attacke kann durchaus dazu genutzt worden sein noch mehr Webmastern Trojaner unterzuschieben, damit deren Zugänge direkt live auf deren PCs extrahiert oder ausgelöst werden können.

Relativ sicher ist man, wenn man administrative Aktionen an einem getrennten "Gast"-Rechner ausführt, in dessen Browser JScript und Javascript deaktiviert sind. Und mit getrennt meine ich außerhalb des sonst genutzten Netzwerks