[HaBo]
| Webmaster-Security Fragen zur richtigen Serverkonfiguration oder Absicherung dynamischer Scripte gehören hier hinein. |
Joomla 1.5.x Remote Admin Password Change
Diskussion: Joomla 1.5.x Remote Admin Password Change im Forum Webmaster-Security, in der Kategorie Security Area; Anzeige hi, wurde heute Opfer dieses Exploits! Gibt es eine Möglichkeit Joomla zu patchen, thx. *** hat sich ja mittlerweile ...
 |
14.08.08, 20:08
| #1 (permalink) |
| Registriert seit: 08.10.03  Likes: 0 |  Joomla 1.5.x Remote Admin Password Change Anzeige hi, wurde heute Opfer dieses Exploits! Gibt es eine Möglichkeit Joomla zu patchen, thx. *** hat sich ja mittlerweile erledigt, daher hab ich den Exploit mal entfernt - LX *** lg freakazoid edit: hat sich bereits erledigt: http://www.joomlaos.de/Joomla_CMS_Do...ble_Patch.html |
|  |
|
14.08.08, 20:20
| #2 (permalink) | |
| Moderator   Registriert seit: 30.03.04  Likes: 14 | Hallo, Zitat:
Ansonsten gibts bestimmt Patches dagegen, nichts in den joomla Foren dazu gefunden? Aktuellste Version installiert? | |
|
| |
| HaBOT | - Anzeige - |
|
|
14.08.08, 20:49
| #3 (permalink) |
| Themenstarter Registriert seit: 08.10.03 Likes: 0 | Patch hab ich gefunden siehe oben. Komischerweise war der Administrator-Ordner via htaccess geschützt und die htpasswd nicht im web-folder. Wie kann sowas umgangen werden. Hab jetzt den Patch eingespielt und die Passwörter geändert. Ist das ausreichend oder soll ich das System neu aufsetzen. Könnte der FTP-Account auch übernommen worden sein, soll ich dort das Passwort auch lieber ändern bzw. SQL? Danke |
|
| |
|
14.08.08, 21:01
| #4 (permalink) |
| Registriert seit: 12.06.08  Likes: 0 | Das hat man bestimmt in 2sek. gefixt. Du musst einfach alle Hochkommatas mit str_replace (oder preg_replace) löschen. $db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.preg_replace('/\'/','',$db->Quote($token))); |
|
| |
|
14.08.08, 21:05
| #5 (permalink) |
| Themenstarter Registriert seit: 08.10.03 Likes: 0 | Der Patch ist doch jetzt schon drin! Die größere Frage ist doch, wie sie an dem htaccess vorbei gekommen sind? |
|
| |
|
14.08.08, 22:21
| #6 (permalink) |
| Moderator Registriert seit: 30.03.04 Likes: 14 | Hallo, also ohne Exploit ist soetwas schwer zu beantworten  Aber aus dem Gedächtnis: Die Schwäche lag irgendwo in der index.php, über diese konnte man das Admin PW ändern. Wenn aber der Adminbereich, sofern dieser _ausschließlich_ über /administrator/ erreichbar ist, noch zusätzlich per htaccess geschützt ist, kann man zwar das Admin PW ändern, man kommt aber nicht am htaccess vorbei. Evt. gelangt man aber auch anders ins Admin Bereich, kenn mich mit Joomla nicht aus. Deswegen ist es ganz praktisch, denn Admin Bereich nochmal zusätzlich mittels htaccess zu schützen, am besten mit einem anderen PW. Ansonsten: Am besten alle Passwörter ändern. Sind die wirklich eingedrungen oder wurde nur das PW geändert? Evt. auch noch mal alle Dateien neu aufspielen, sofern möglich, nicht das dort irgendwo eine PHP Backdoor eingebaut wurde. |
|
| |
|
15.08.08, 17:20
| #7 (permalink) |
| Themenstarter Registriert seit: 08.10.03 Likes: 0 | Ja, sind wirklich eingedrungen! Es wurde mindestens ein Beitrag verändert. Hab glaub ich noch ein etwas älteres Backup zu Hause, allerdings bin ich imo nicht zu Hause. Werd ich die nächsten Wochen aber sicherlich mal einpielen. Mich würde interessieren, ob man auch andersweitig in den Administrator-Bereich kommt. Damit man das dann auch absichern kann. Danke für deine Hilfe Elderan |
|
| |
|
15.08.08, 18:52
| #8 (permalink) | |
| Registriert seit: 17.09.07 Likes: 0 | Zitat:
Ich gehe davon aus, dass es sicher noch eine oder zwei lücken gibt, denen du aber mit einer htaccess entgegenwirken kannst. Wenn du dann auch noch zwei unterschiedliche, sichere passwörter wählst, so ist es schon sehr sicher! | |
|
| |
|
16.08.08, 11:38
| #9 (permalink) | ||
| Member of Honour   Registriert seit: 22.02.07  Likes: 77 | @smaster100: vieleicht wäre es doch ganz hilfreich, die Postings des Threadstellers genau zu lesen: Zitat:
Zitat:
Läuft auf dem Server noch irgendwo ein PHPmyAdmin oder ähnliches? Wenn ja: vieleicht sind die Angreifer auch irgendwie an die SQL-Daten gekommen und haben die Beiträge per Hand in der Datenbank geändert?! Ich würde definitiv erstmal ALLE Passwörter ändern und nachschauen, ob nicht irgendwo auf dem Server noch eine PHP-Shell oder andere Hintertüren installiert wurden... Ist das eigentlich ein eigener Server? vServer? oder nur Webspace irgendwo? Was hast du für Möglichkeiten, irgendwelche Logfiles einzusehen? Wie genau kannst du den Zeitpunkt des Angriffes eingrenzen? | ||
| |
|
18.08.08, 19:03
| #10 (permalink) |
| Themenstarter Registriert seit: 08.10.03 Likes: 0 | Ist leider nur Webspace.  Hab also keine Einsicht in irgendwelche Log-Files. Kann das aber evtl. mit dem Anbieter mal abklären. Den Zeitraum des Hacks kann ich auf 2 plusminus 1 einschränken. Anhand der Log-Files könnte man sicherlich einiges herausfinden. FTP und SQL PW hab ich auf jeden Fall mal ändern lassen. PMA läuft auf dem Server. Werde aber sicherlich in der nächsten Zeit mehr auf updates achten.  |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » Webmaster-Security » Joomla 1.5.x Remote Admin Password Change
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| Remote Desktop- remote installieren? | b4ck | Windows | 3 | 12.05.07 13:08 |
| GFI Scan Admin Account without password | Bogus | (In)security allgemein | 7 | 02.07.05 01:41 |
| Ton Change | newproblemo | Downloads | 2 | 17.11.04 15:54 |
| Suche Ip-Change Proggi | mmichisurf | Downloads | 6 | 20.08.04 18:50 |
| change xp serial | jones84 | Windows | 4 | 23.09.03 23:27 |
