Meine Joomla Seite gehackt. HELP!

[Frey]

hallo,

meine Joomla Seite wurde wahrscheinlich gehackt.
habe heute gemerkt dass ich mit meinen Adminpasswort nicht mehr ins Backend komme.

Auf dem FTP Server in der Root liegen mehrere komische XML Dateien, wahrscheinlich von LinkLift.

die heißen LL_xxxxxxxx_xxxxxxx.xml

mit folgendem Inhalt

Code: Alles auswählen

<?xml version="1.0" encoding="UTF-8" ?>
<ll_data>
	<adspace website_key="473h2738">
		<link>
			<url>http&#58;//www.irgend-eine-seite.de/?lgJAD11GPyX9Tw2zDFRN0QbHYp2" rel="nofollow</url>
			<text>Linktext</text>
			<prefix></prefix>
			<postfix></postfix>
			<rss_url></rss_url>
			<rss_text></rss_text>
			<rss_prefix></rss_prefix>
			<rss_postfix></rss_postfix>
			<nofollow>1</nofollow>
		</link>
	</adspace>
</ll_data>

Ich habe zwar einen Account bei LinkLift aber habe dort keine Seite aktiv.

Auch liegt auf der Root ein File namens __INS__TALL__.php welches vorher dort auch nicht war.

Meine Joomla Version ist nicht sehr aktuell: Joomla! 1.5.3 Production/Stable [ Vahi ] 22-April-2008 22:00 GMT

Gibt es da ne sicherheitslücke bei der der Admin Account gehijackt werden kann?

Habe das Passwort nun über phpMyAdmin resettet und abgeändert um überhaupt wieder zugriff zu bekommen.

Wollte da jemand mit meiner Seite Linkkauf bei LinkLift betreiben. werde LL mal anschreiben.

Ne Idee wie jemand in mein System gelangen konnte. Ist da eine Sicherheitslücke bekannt?

Gruß

[e-fee]

Meine Joomla Version ist nicht sehr aktuell: Joomla! 1.5.3 Production/Stable [ Vahi ] 22-April-2008 22:00 GMT

...

Ne Idee wie jemand in mein System gelangen konnte. Ist da eine Sicherheitslücke bekannt?

Kenn mich zwar bei Joomla speziell nicht aus, aber üblicherweise sind Updates auf neue Versionen dazu da, solche Sicherheitslücken, sofern bekannt, zu stopfen. Nur sollte man dann eben auch updaten.

[Nullpointer]

ich weiß nicht, wie das bei joomla mit dem backend gelöst ist, aber bei typo3 habe ich das backend immer noch zusätzlich per htaccess und gutem passwort geschützt.
was man so hört, gibt es ja bei joomla solche lücken ja eher häufiger.

[Texxter]

Solche Lücken in Joomla gibt es fast nur bei schlecht programmierten Plugins von Drittanbietern.

Wer sein Admin-Verzeichnis nicht per htaccess schützt, ist selbst schuld, das geht natürlich auch bei Joomla. Wobei dann einige schlecht gecodete Plugins nicht funktionieren, wie bei WP.

Und wenn er sich die Syphilis in Form eines Keyloggers auf seinen Rechner geholt hat, nützt auch das beste CMS nix.

Na ja @Frey, und weil Du Joomla 1.5.3 benutzt (April 2008) und noch nicht auf 1.5.15 geupdatet hast, bekommst Du auch kein Mitleid.

[1azrael]

Ist ja auch schön das Joomla den Hackern Anleitungen gibt wie wo und was für Sicherheitslücken vorhanden sind:
https://developer.joomla.org/security/news.html
Die Seite solltest Du Dir bookmarken und regelmäßig ansurfen damit du bei so einem "tollen" System wie joomla immer auf dem Laufenden bleibst was die Sicherheit angeht.

Denk dran nicht nur dein CMS Passwort zu ändern sondern auch die FTP und Datenbankpasswörter.

[Frey]

vielen dank euch...

habe joomla geupdatet und alle PWs geändert.
werde jetzt noch das Backend besser schützen.

Nen Keylogger hab ich sicher nicht, bei mir kommt als OS nur Linux drauf

[Viktor1982]

Das hast du dir selber zuzuschreiben und daran bist ja selber schuld das du deine Version nicht ständig am laufenden hällst.

Ich hatte mal ein Dolphin Projekt habe nur zum spaß um diese kennenzulernen angelegt und 2-3 Update Versionen halt liegen lassen und wurde auch gehackt.

Mein Shop wird jeden Tag gehackt nur so mal am rande, da er gut Rankt und das ohne Metatgs, habe kein einzigen Metatag drin, ARTIO danke.

Als nächstes würde ich mich fragen warum die Russen wohl diesen Modul kostenlos zur verfügen den allen nutzern stellen und man nutzt es nicht mal.

https://www.jfirewall.com/

[Frey]

@viktor: boah jeden Tag? Was machen die Hacker bzw eher Cracker bzw. Skript Kiddies denn? kommen wahrscheinlich nicht in dein System und du siehst das nur in den Log Files oder?

[Viktor1982]

Ne ich bekomme jeden Tag ne Mail,

ATTENTION HACKER ATTACK

HACKER BLOCKED SUCCESFULL[/url]